Assiste.com
cr 23.08.2020 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Logiciels (logithèque) |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Malwaredomains est une liste additionnelle à Adblock Plus. Elle permet de bloquer l'accès aux sites (aux domaines) réputés être dangereux. Les pages de ces sites, qu'ils soient hackés ou non, tentent d'exploiter des failles de sécurité de votre navigateur ou des technologies implantées dans votre navigateur ou votre système (Java, lecteur Flash, lecteur PDF, etc.), ou offrent au téléchargement des malwares et des crapwares... toutes activités tendant à prendre le contrôle de votre ordinateur et/ou de vos données.
La liste Malwaredomains, à laquelle il est libre et gratuit de s'abonner, permet de bloquer l'accès à tous les sites identifiés comme présentant un danger (au sens de la sécurité de votre ordinateur et/ou de vos données).
Cette liste est celle des sites qui :
Tentent d'exploiter des failles de sécurité de votre navigateur
Tentent d'exploiter des technologies implantées dans votre navigateur (Java, lecteur Flash, lecteur PDF, etc..) pour vous infester (drive-by download)
Ont toutes activités tendant à prendre le contrôle de votre ordinateur et/ou de vos données.
Exemples de raisons retenues pour inscrire un site dans cette liste de blocage :
Le site utilise ou dirige vers des boîtes à outils (scanners) de recherches de failles de sécurité comme Blackhole.
Le site implante des adwares.
Le site s'attaque à Trusteer, un outil gratuit spécifique à la protection des transactions bancaires (entre le particulier et sa banque, par exemple).
Le site implante une porte dérobée (backdoor) pour pénétrer et contrôler l'ordinateur.
Le site implante un outil de zombification de l'ordinateur et l'introduit dans un BotNet.
Le site s'attaque aux serveurs pour diverses raisons (compromettre les sites hébergés sur un serveur afin de déployer un scanner de failles de sécurité qui sera suivi de l'attaque de tous les internautes visitant tous les sites compromis sur ce serveur...)
Le site fait la promotion de crapwares (Crapthèque), rogues, faux logiciels de sécurité...
Les téléchargements disponibles sur le site sont compromis avec des chevaux de Troie.
Le site déploie des spywares.
Le site déploie des rootkit.
Etc.
La possibilité d'utiliser la liste Malwaredomains avec une telle simplicité dans AdBlock Plus, sans faire appel à un autre logiciel, est due au fait que cette liste utilise la même syntaxe que les listes de blocage publicitaire utilisées par AdBlock Plus.
AdBlock Plus doit avoir été installé préalablement. Voir AdBlock Plus.
|
Malwaredomains agit au point 1 du schéma ci-dessous.
|
La liste des domaines à bloquer dont AdBlock Plus se sert provient de http://www.malwaredomains.com.
Il s'agit du DNS-BH project(BH pour Black Hole - Trou noir) qui permet le blocage d'environ 10.000 domaines (15.09.2015). La sélection des domaines à bloquer provient de travaux internes à DNS-BH project et à l'extraction de domaines figurant dans d'autres mécanismes de blocages, listes de blocages et outils ou services d'analyses comme :
WebInspector.com (un service de Comodo)
blog.sucuri.net
hosts-file.net
isc Sans Institute
krebsonsecurity.com
labs.sucuri.net
malwareurls.joxeankoret.com
openphish.com
quttera.com
phishtank.com
Etc.
Les raisons du blocage d'un domaine dans le DNS-BH project sont la constatation, par exemple, d'activités de :
PUA (Potentially Unwanted Application) ou PUP (Potentially Unwanted Program)
L'appartenance ou dans la mouvance d'une famille de malveillances
Le support au déploiement de malveillances, comme le BotNet Andromeda
Tous les domaines exploitant ou étant compromis par le kit d'exploitation de failles de sécurité Angler EK (Angler Exploit Kit)
Les domaines contenant des pages d'attaque à divers titres
Les domaines des BotNets et les machines C&C (Command and Control Server) des BotNets
Les domaines malicieux
Les domaines compromis dans des opérations de spam
Les domaines comportant des publicités trompeuses, menteuses, malicieuses
Les domaines élivrants des malwares
Les domaines de phishing
Les omaines de rogues
Les domaines pratiquant l'injection SQL
Etc.
Origine géographiques (pays d'origine) des domaines bloqués par la liste Malwaredomains.
On ne regarde que le top 20 de ces TLD et ccTLD (sur les 145 présents).
On met de côté des domaines enregistrés en TLD (Top Level Domain), dont l'origine ne peut être déterminée (on ne pourrait que détecter le pays d'hébergement en faisant des " Whois " sur chacun des domaines en .com, .net, .info, .org, .biz, etc. ... ainsi que le .eu, sachant que les registrants des domaines malveillants sont masqués dans les " Whois ")
On en déduit que les pays qui nous attaquent le plus sont, comme on s'y attend, la Russie et la Chine. Derrière viennent l'Inde, l'Allemagne, la Pologne, les États-Unis, l'Angleterre et le Brésil.
Curiosités :
On s'attendait à voir la Corée du Sud plus haut dans ce palmarès.
La Corée du Nord n'y est pas du tout.
Israël est à la 58ème place.
Les .cc (Cocos (Keeling), Îles) sortent d'on ne sait où, haut dans le sondage (3ème position par pays !). Y aurait-il une raison particulière (paradis juridique ou fiscal, ou faune spéciale de cybercriminels ayant un instinct grégaire, ou déploiement spectaculaire d'une malveillance bien ficelée ?).
|
Lorsque Malwaredomains est correctement installé, vous pouvez voir, en faisant (par exemple dans Firefox) :
Menu > Outils > Modules complémentaires > Extensions > Adblock Plus > Options > Préférence de filtre
|
Collection de dossiers : Les logithèques |
---|