La facilité avec laquelle cet individu a constitué son empire est pour le moins déconcertante. Il aurait commencé deux ans plus tôt, après avoir lu un article dans Yahoo. Il vise les OS Microsoft en utilisant des failles connues et des exploits très génériques (RPC/DCOM, LSASS, PnP), des bots classiques qu'il télécharge principalement de Chine et dont il modifie le paramétrage.

changed settings, and started it - thats all - anyone
could do that - thats scary :)

S'il dément utiliser son botnet à des fins illégales, en dehors de quelques flood IRC et des installations d'adwares, il est clair que ce genre de réseau peut rapporter un joli pécule à moindre frais et surtout sans grand risque. Une fois amorcé, le réseau se déploit tout seul par simple infection de machines vulnérables. Les robots sont commandés via IRC, réseau auquel il est simple d'accéder par rebond et/ou système anonymisant. En plus du faible risque d'être pris, les peines encourues sont ridicules comparées à ce qu'on risque dans la criminalité traditionnelle. Autant de facteurs qui expliquent qu'en 2005, la criminalité sur Internet aurait dépassé le trafic de drogue en terme de chiffre d'affaire aux États Unis, le chantage au DDoS étant aujourd'hui monnaie courante contre des entreprises dont l'activité se fait exclusivement en ligne. Argent facile...

On constatera une très bonne gestion informative quant aux hôtes disponibles. Les commandes sysinfo et netinfo retournent une foultitude d'informations sur les machine[1] :

[01\|USA\|758890]	SYSINFO// [CPU]: 1775MHz.
[RAM]: 253,424KB total, 114,824KB free. [OS]: Windows
(null) (5.1 - 2600). [Sysdir]: C:\WINDOWS\System32.
[Computer Name]: XXXXX-XXX. [Current User]: SYSTEM.
[Date]: 08:Mar:2006. [Time]: 07:14:59. [Uptime]: 1
day 20:10. [Free Space]: 24GB/36GB.
[01\|USA\|758890]	NETINFO// [Connection Type]:
LAN (LAN Connection). [Internal IP]: XXX.XX.X.XXX.
[External IP]: XXX.XX.X.XXX. [Hostname]:
xxxxx-xxx.xxxx.gov. [Private]: No.[Country]: United
States.[Speedtest]: Upload: 0.00 KB/s, Download:
0.00 KB/s.[Bandwidth]: Downloaded: 1,283MB,
Uploaded: 520MB.

Un petit topo complet : identification, localisation (permet de cibler un DDoS), puissance de calcul (ça se vend), espace disque libre (ça se vend aussi), bande passante (ça sert bien pour les DDoS), etc. Bien qu'elles ne soient pas mentionnées ici, de nombreuses commandes existent pour upload ou downloader des fichiers, les exécuter au besoin, installer des logiciels (spywares, adwares), relayer du spam, bouncer et anonymiser des connexions, lancer des attaques en règle, etc.

J'aime bien en particulier une des dernière remarques de Witlog :

Raider you play with honeypots, i play with real
boxes :) that's the differense

Ce qui me fait une excellente transition pour mon paragraphe spécial Bartavelle/jme, avant de vous laisser découvrir le reste de la discussion par vous-même. Pour étudier les malwares et donc les bots, nos amis allemands ont développé mwcollect. Cet outils leur a permis de récolter et analyser un sacré paquets de saletés, mais aussi d'étudier la diffusion des botnets. Vous pouvez consulter le honeyblog maintenu par Thorsten pour voir l'avancée de leurs travaux.

Notes

[1] J'ai anonymisé l'extrait, mais vous trouverez facilement dans le log de quelle machine il s'agit