Malwaredomains : Malwaredomains est une liste additionnelle à Adblock Plus de sites (domaines) réputés dangereux (exploitation des failles de sécurité de votre navigateur ou dans les technologies implantées, etc.).

cr  23.08.2020      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Malwaredomains est une liste additionnelle à Adblock Plus. Elle permet de bloquer l'accès aux sites (aux domaines) réputés être dangereux. Les pages de ces sites, qu'ils soient hackés ou non, tentent d'exploiter des failles de sécurité de votre navigateur ou des technologies implantées dans votre navigateur ou votre système (Java, lecteur Flash, lecteur PDF, etc.), ou offrent au téléchargement des malwares et des crapwares... toutes activités tendant à prendre le contrôle de votre ordinateur et/ou de vos données.

La liste Malwaredomains, à laquelle il est libre et gratuit de s'abonner, permet de bloquer l'accès à tous les sites identifiés comme présentant un danger (au sens de la sécurité de votre ordinateur et/ou de vos données).

Cette liste est celle des sites qui :

• Tentent d'exploiter des failles de sécurité de votre navigateur

• Tentent d'exploiter des technologies implantées dans votre navigateur (Java, lecteur Flash, lecteur PDF, etc..) pour vous infester (drive-by download)

• Offrent, en téléchargement, des malwares et des crapwares

• Ont toutes activités tendant à prendre le contrôle de votre ordinateur et/ou de vos données.

Exemples de raisons retenues pour inscrire un site dans cette liste de blocage :

• Le site utilise ou dirige vers des boîtes à outils (scanners) de recherches de failles de sécurité comme Blackhole.
  

• Le site implante des adwares.
  

• Le site s'attaque à Trusteer, un outil gratuit spécifique à la protection des transactions bancaires (entre le particulier et sa banque, par exemple).
  

• Le site implante une porte dérobée (backdoor) pour pénétrer et contrôler l'ordinateur.
  

• Le site implante un outil de zombification de l'ordinateur et l'introduit dans un BotNet.
  

• Le site s'attaque aux serveurs pour diverses raisons (compromettre les sites hébergés sur un serveur afin de déployer un scanner de failles de sécurité qui sera suivi de l'attaque de tous les internautes visitant tous les sites compromis sur ce serveur...)
  

• Le site fait la promotion de crapwares (Crapthèque), rogues, faux logiciels de sécurité...
  

• Les téléchargements disponibles sur le site sont compromis avec des chevaux de Troie.
  

• Le site déploie des spywares.
  

• Le site déploie des rootkit.
  

• Etc.
  

Malwaredomains agit au point 1 du schéma ci-dessous.

Bloquer la publicité sur les sites Web et toute la chaîne de violation de la vie privée (Tracking et Profiling)

La liste des domaines à bloquer dont AdBlock Plus se sert provient de http://www.malwaredomains.com.

Il s'agit du DNS-BH project(BH pour Black Hole - Trou noir) qui permet le blocage d'environ 10.000 domaines (15.09.2015). La sélection des domaines à bloquer provient de travaux internes à DNS-BH project et à l'extraction de domaines figurant dans d'autres mécanismes de blocages, listes de blocages et outils ou services d'analyses comme :

• WebInspector.com (un service de Comodo)

• blog Malwarebytes

• blog.sucuri.net

• Google SafeBrowsing

• hosts-file.net

• isc Sans Institute

• krebsonsecurity.com

• labs.sucuri.net

• malwareurls.joxeankoret.com

• openphish.com

• quttera.com

• mywot.com

• phishtank.com

• VirusTotal

• Etc.

Les raisons du blocage d'un domaine dans le DNS-BH project sont la constatation, par exemple, d'activités de :

• Zero Day

• PUA (Potentially Unwanted Application) ou PUP (Potentially Unwanted Program)

• L'appartenance ou dans la mouvance d'une famille de malveillances

• Le support au déploiement de malveillances, comme le BotNet Andromeda

• Tous les domaines exploitant ou étant compromis par le kit d'exploitation de failles de sécurité Angler EK (Angler Exploit Kit)

• Les domaines contenant des pages d'attaque à divers titres

• Les domaines des BotNets et les machines C&C (Command and Control Server) des BotNets

• Les domaines malicieux

• Les domaines compromis dans des opérations de spam

• Les domaines comportant des publicités trompeuses, menteuses, malicieuses

• Les domaines élivrants des malwares

• Les domaines de phishing

• Les omaines de rogues

• Les domaines pratiquant l'injection SQL

• Etc.

Origine géographiques (pays d'origine) des domaines bloqués par la liste Malwaredomains.

• On ne regarde que le top 20 de ces TLD et ccTLD (sur les 145 présents).

• On met de côté des domaines enregistrés en TLD (Top Level Domain), dont l'origine ne peut être déterminée (on ne pourrait que détecter le pays d'hébergement en faisant des " Whois " sur chacun des domaines en .com, .net, .info, .org, .biz, etc. ... ainsi que le .eu, sachant que les registrants des domaines malveillants sont masqués dans les " Whois ")

On en déduit que les pays qui nous attaquent le plus sont, comme on s'y attend, la Russie et la Chine. Derrière viennent l'Inde, l'Allemagne, la Pologne, les États-Unis, l'Angleterre et le Brésil.

Curiosités :

• On s'attendait à voir la Corée du Sud plus haut dans ce palmarès.

• La Corée du Nord n'y est pas du tout.

• Israël est à la 58ème place.

• Les .cc (Cocos (Keeling), Îles) sortent d'on ne sait où, haut dans le sondage (3ème position par pays !). Y aurait-il une raison particulière (paradis juridique ou fiscal, ou faune spéciale de cybercriminels ayant un instinct grégaire, ou déploiement spectaculaire d'une malveillance bien ficelée ?).

Top 20 des TLD et ccTLD dans Malwaredomains
(origine des sites malveillants par TLD et ccTLD)
Sur 145 TLD et ccTLD présents pour 10.388 domaines bloqués le 16.09.2015

Lorsque Malwaredomains est correctement installé, vous pouvez voir, en faisant (par exemple dans Firefox) :

Menu > Outils > Modules complémentaires > Extensions > Adblock Plus > Options > Préférence de filtre

Installation correcte de MalwareDomains dans Adblock Plus