[Définition] DHA – Directory Harvest Attack

 “Directory Harvest Attack” ou “DHA” est une technique utilisée par les spammeurs dans le but de trouver – et/ou de valider – les adresses valides d’un domaine en utilisant des techniques de “brute force”.

L’attaque est réalisée en employant une liste d’adresses e-mail (le “dictionnaire” de “dictionary attack”), contenant les adresses à utiliser.

Il y à deux techniques principales pour générer les adresses mails et créer les dictionnaires utilisés dans le cadre de attaque DHA :

Dans la première, le spammeur va créer une liste d’adresses en générant une combinaison aléatoire de chiffres et de lettres qu’il va associer ensuite au nom de domaine à attaquer. C’est l’attaque de type “brute force” la plus basique, elle est peu efficace car le nombre de combinaisons possibles va croitre drastiquement en fonction du nombre de caractères composant l’adresse (par exemple 3 milliards de combinaisons possibles pour une adresse de 8 caractères) et il va donc falloir tester un nombre important d’adresses avant d’en trouver une qui sera valide.

La seconde, plus “intelligente”, va consister à créer une liste d’adresses email en combinant les prénoms, surnoms ou encore pseudo les plus répandu et en les combinant au domaine cible de l’attaque DHA.

Le serveur mail, cible de l’attaque DHA,  va  devoir gérer un nombre conséquent de transactions SMTP, si il n’est pas calibré pour cela va entrainer au mieux des ralentissements dans l’acheminement des mails et au pire une indisponibilité du service mail.

En utilisant nos services vous bénéficierez d’une protection contre les attaques de type DHA.

Trojan Zeus (zbot)

Zeus est un trojan qui a pour but de voler des informations en utilisant un keylogger.

Le trojan Zeus se diffuse essentiellement par téléchargement depuis des sites compromis ou par le bias de phishing.

Le trojan Zeus à été identifié pour la premiere fois en juillet 2007, depuis on estime que le réseau de botnet qu’il a constitué est composé de plusieurs millions de machines ( 3.6 millions aux etats-unis).

Le 28 Octobre 2009 plus de 1,5 millions de phishing ont été postés sur Facebook dans le but de diffuser le trojan Zeus.

En Octobre 2010,  le FBI à annoncé avoir découvert un réseau de cyber-criminels qui ont utilisé le trojan Zeus pour pirater des ordinateurs et détourner plus de 70 millions de dollars. Plus de 90 personnes ont été arrêtées aux USA, en Angleterre et en Ukraine.

En mai 2011, le code source du trojan Zeus à été diffusé publiquement.

 

Botnet

Un botnet est un ensemble de machines compromises (ordinateurs personnels, serveurs, postes de travail en entreprise,..) reliées entre elles via internet.

Ce réseau, controlé à distance, est utilisé à des fins malveillantes :

  • Pour relayer des spams.
  • Pour relayer des phishing.
  • Pour lancer des attaques par denis de service (DOS).

Voici une illustration qui explique le fonctionnement d’un botnet:

qu'est ce qu'un botnet

Botnet

  1. Le gestionnaire du botnet diffuse des virus pour infecter un maximum d’ordinateurs. Sur chaque machine infectée, un programe résident va s’exécuter (le bot).
  2. Le bot va alors se faire connaitre auprés d’un serveur central qui va être utilisé pour gérer le botnet.
  3. Un spammeur va payer l’opérateur du botnet pour y avoir accés.
  4. Le spammeur utilise le botnet pour diffuser ses spams.

Credit illustration: Tom-b