Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Les principes de fonctionnement des botnets

Основы ботоведения

D'autres publications de cette rubrique (2)
  • Ajouter aux favoris
    Ajouter aux favoris

Pêche aux bots

Lu par: 6608 Commentaires: 4 Cote de popularité: 8

mercredi 3 octobre 2018

Seules les autorités sont autorisées à effectuer des actions nécessaires à l’identification des criminels. La recherche d’informations dans l’ordinateur d’un présumé criminel ne peut notamment être effectuée qu'avec l’approbation d’une Cour de justice. La question qui se pose est la suivante : comment les éditeurs d’antivirus peuvent-ils disposer d’informations sur le nombre de machines contaminées par tel ou tel Trojan ou sur les pays dans lesquels les utilisateurs sont les plus touchés ?

Le diagramme suivant montre le nombre d’adresses IP uniques relatives aux appareils infectés. Il est à noter que l'illustration affiche uniquement le nombre de bots observés par les analystes de Doctor Web, le nombre réel d'appareils contaminés pouvant être supérieur.

#drweb

L’illustration suivante montre les origines géographiques des attaques utilisant Linux.ProxyM depuis les 30 derniers jours :

#drweb

https://news.drweb.fr/show/?i=11467&c=23&p=0

Les adeptes des théories du complot ne seront pas étonnés par ce fait car ils savent bien qui écrit des virus !

Mais en réalité, tout est beaucoup plus intéressant. Pour commencer, nous allons parler un peu plus de la structure du botnet. Les cybercriminels souhaitent que le botnet soit résistant. C’est tout à fait logique : Si tous les robots se connectent à un seul centre de commande, ce dernier peut être facilement bloqué (ce qui a été le cas lors de l'épidémie WannaCry). Naturellement, dans ce cas, l’attaquant perd le contrôle de tout son réseau.

En option, les bots peuvent utiliser un générateur d'adresses provenant d'un centre de commande afin qu'en cas de blocage d'une adresse, ils se connectent à une autre adresse. L’essentiel est d’être en mesure d’enregistrer des nouvelles adresses. Mais ici, il y a un piège pour les intrus. Les experts peuvent comprendre comment le botnet fonctionne et ne pas bloquer un serveur mais intercepter la gestion de ce serveur ; par exemple, en s’adressant à son hébergeur.

Une autre option est de créer un réseau peer-to-peer décentralisé : dans ce cas, les bots se connectent les uns aux autres ou à des sites spécialisés intermédiaires à la recherche d’informations particulières. Ils ne s'adressent pas aux centres de gestion directement, ce qui leur évite d’être détectés et bloqués.

Il est intéressant de noter que cette structure du botnet permet de contaminer des réseaux qui réunissent des ordinateurs n'ayant pas de connexion Internet. Il suffit qu'un seul PC soit connecté à Internet pour que les autres soient contaminés automatiquement.

Le sinkholing (du mot anglais. sinkhole, ce qui signifie « bouche d'égout ») est une technologie permettant d'intercepter la gestion des botnets. L’interception se déroule en plusieurs étapes. D'abord, les analystes examinent le code d'un Trojan. Ensuite, ils créent un domaine auquel les bots pourront se connecter. Puis il reste à attendre que les bots sélectionnent ce serveur pour s’y connecter (ou un groupe de serveurs). Tout se passe comme à la pêche.

Les spécialistes de Damballa ont étudié un des nouveaux botnets utilisant l’algorithme de génération de domaine (domain generation algorithms, DGA) pour installer de nouveaux serveurs C & C. Après avoir enregistré plusieurs domaines, le trafic a été détourné vers le point de sinkholing Georgia Tech Information Security Center (GTISC). L’étude a duré quelques semaines.

L'utilisation de la technologie sinkholing est tout à fait légale. De plus, le sinkholing permet non seulement de mieux examiner un botnet mais il est également en mesure d'empêcher son fonctionnement, car il reconnecte les bots au serveur contrôlé par les chercheurs ou les autorités et souvent par l'hébergeur qui souhaite aider l'enquête. Tous les résultats de ces interceptions sont transmis à la police.

Les spécialistes des sociétés Abuse.ch, BrillantIT et Proofpoint ont réussi à réaliser un sinkholing de la structure de gestion du réseau EITest comptant plus de 52 000 serveurs piratés.

EITest est utilisé par les pirates pour rediriger les utilisateurs vers des sites malveillants, des pages contenant des exploits dont Anger et RIG, ou bien vers des sites contenant des schémas frauduleux.

EITest est apparu en 2011 sur le marché noir et au départ, ses opérateurs utilisaient le réseau à leurs propres fins uniquement, en général pour rediriger le trafic vers des sites contenant le jeu d'exploits Glazunov servant à la contamination des appareils par le Trojan Zaccess. À cette époque, EITest n’était pas particulièrement menaçant, mais en 2013, ses créateurs ont commencé à retravailler la structure du réseau et un an plus tard à le louer à d’autres criminels auteurs de virus.

Selon l'expert de Proofpoint connu sous le nom de Kafeine, l'équipe EITest a commencé à vendre le trafic intercepté provenant de sites piratés à 20 $ pour 1000 utilisateurs.

Au début de cette année, les experts de BrillantIT ont pu révéler la méthode de connexion des sites contaminés à leur infrastructure de gestion et ils ont pu intercepter le domaine stat-dns.com, ce qui leur a permis de prendre le contrôle de toutes les opérations d'EITest. Tous les jours, le botnet traitait le trafic provenant de plus de 52 000 sites contaminés, dont la majorité des ressources utilisaient WordPress.

Selon les chercheurs, les opérateurs d’EITest ne cherchent pas à rétablir le contrôle sur le réseau et il n’est pas exclu qu’ils soient en train de créer un nouveau botnet. Actuellement, plusieurs réseaux pour diffuser des logiciels malveillants, comme Fobos, Ngay et Seamless sont disponibles sur le marché noir. Deux autres joueurs - Afraidgate et psevdoDarkleech - ne se manifestent pas au cours des derniers mois.

https://www.securitylab.ru/news/492642.php

L'analyse du botnet et du serveur de contrôle.

La technologie de sinkholing comporte un point faible : si les serveurs intermédiaires sont nombreux, les chercheurs ne peuvent s'enregistrer que sur une partie d’entre eux. Dans ce cas, il est impossible de tout contrôler. Il est également impossible d'estimer la taille réelle du botnet, mais seulement celle de la partie contrôlée.

Et parfois, il s’avère qu'un botnet est examiné par plusieurs groupes de chercheurs :

Microsoft, en collaboration avec le FBI, de grandes organisations financières et d’autres sociétés informatiques ont présenté les résultats d’une opération visant à intercepter des botnet Citadel. Il a été signalé que le contrôle a été pris sur 1000 botnets et que 4000 noms de domaines ont pu être supprimés.

Il s’est avéré qu'une partie des noms de domaine appartenait aux chercheurs. Un des spécialistes les plus connus en sinkholing, le chercheur Suisse propriétaire du site Abuse.ch et d'un tracker de botnets a été touché. Le 7 juin 2013, il perdait plus de 300 noms de domaines. Ce type d’incident n’est pas une première. A la suite d'une opération contre les botnets ZeuS, un chercheur a également perdu plusieurs centaines de domaines.

http://wwhois.ru/news-kompaniya-microsoft-po-oshibke-zahvatila...

En utilisant les capacités d’un réseau décentralisé, les chercheurs peuvent intercepter l’ensemble du réseau. Puisque les pirates souhaitent maintenir la viabilité du réseau face aux tentatives de le détruire, ils ont besoin de mises à jour et d'une possibilité d’utiliser les commandes de contrôle. Par conséquent, il est possible d'envoyer à tout le réseau, via un serveur contrôlé, la commande de connecter un botnet à un serveur particulier ou bien une commande de désinstallation du Trojan.

Le projet Lumières sur la sécurité recommande

Le sinkholing illustre parfaitement les mots : "Quiconque se sert de l’épée périra par l'épée".

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs