§BoTnet§

 botnets - Comment s'en protéger ?
Les botnets font aujourd’hui partie intégrante des menaces à craindre sur Internet. Selon certains experts, près d'une
machine sur quatre reliée à Internet ferait partie d'un réseau de botnet. L'article présente d'une manière générale ce que
sont les botnets et comment s'en protéger.

Dans cette article, je vais vous expliquer :
• Ce qu'est un botnet.
• L'architecture d'un botnet.
• Comment s'en protéger.

Ce qu'il faut savoir...
• Quelques notions sur les attaques du Web.

Les botnets font aujourd’hui partie intégrante des menaces à craindre sur Internet. Selon certains experts, près d'une machine sur quatre reliée à Internet ferait partie d'un réseau de botnet. Que sont ces réseaux de botnet dont on parle tant ? Quels sont leurs enjeux ? Comment lutter efficacement contre eux ? Et comment un utilisateur lambda peut-il se protéger contre eux ?
Qu'est ce qu'un botnet ?
Un botnet n'est rien d'autre qu'un réseau de bots reliés entre eux sur Internet et contrôlé à partir d'un serveur. Ce serveur est contrôlé par un pirate qu'on appelle un botmaster ou encore un bot herder. Ce dernier utilise les bots à des fins malveillantes. Pour être plus concret, un botnet est donc une machine relié à Internet compromise par un virus ou encore un trojan afin d'en utiliser ses ressources.

La taille des botnets ?
Les botnets peuvent être de taille très variés. En général, ils sont composés de plusieurs milliers de machines. Mais certains botnets ont déjà atteint des tailles impressionnantes (plusieurs millions de machines). Vous trouverez dans le tableau 1 une liste de botnet très connus de par leur taille et leur activité sur la toile. Pour information, il existerait aujourd'hui sur Internet entre 4000 et 5000 botnets actifs.

Origine des botnets ?
L'origine des botnets est apparu sur IRC. Pour les plus vieux d'entre vous, souvenez-vous de l'époque ou vous chattiez sur IRC, il y avait toujours un bot pour gérer le channel sur lequel vous vous trouviez. Il servait à contrôler le channel, à faire des statistiques ou encore à proposer certains services. Par la suite, ces bots ont été détournés à des fins malveillantes notamment depuis l'arrivée de bot évolué tel que eggdrop sur IRC.

A quoi servent les botnets ?
Les botnets sont aujourd’hui créés uniquement à des fins malveillantes qui sont, entre autres, les suivantes :
• Attaque en dénis de service (DDOS ou Distributed
Denial of Service)
• Envoie de SPAM
• Vol d'informations
• Le phishing
• Exploiter les ressources des machines infectées

Ce ne sont ici que des exemples, l'utilisation des botnets étant très large.

En quoi cela profite aux pirates informatiques ?
La création d'un botnet profite beaucoup aux pirates informatiques et cela pour plusieurs raisons. Tout d'abord, le fait de posséder un botnet peut être une motivation économique. En effet, les ressources des botnets peuvent être louées à des fins malveillantes que nous avons vues précédemment. Cela peut alors constituer une importante source de revenus pour les pirates. Évidemment, au plus le botnet contient d'ordinateurs et donc de ressources, au plus les revenus sont importants. Certains pirates réussissent même à en vivre. Les personnes qui louent ce type de service qu'on appelle aussi MaaS (Malware as a Service) sont des personnes qui n'ont pas de compétences techniques.

Les tarifs appliqués sont globalement les suivants (à titre d'indicatif) :
• 15$ : infection de 1 000 systèmes ;
• 25 à 100$ : mise en place d’une attaque en déni de service (DDoS), puis 20$ l’heure et
• 100$ la journée. Les 10 premières minutes sont offertes
• 495$ : 20 millions de spams sur une période de 14 jours.

Derrière les botnets peut aussi se cacher des motivations idéologiques. En effet, depuis quelques années de nombreuses attaques dirigées par des groupes d'activistes ont été découvertes.
Certains s'en servent aussi pour faire du chantage.
L'exemple le plus connu est le fait de demander une rançon à une société sous peine de réaliser un dénis de service sur l'architecture informatique de cette dernière
Principe de fonctionnement :
Vous trouverez sur la Figure 1 le principe de fonctionnement général d'un réseau de botnet.
Le réseau de botnet est contrôlé par un botmaster à l'aide d'un serveur qu'on appelle un Command and Control Server. Le réseau est représenté par une série de machines connectées à Internet ayant été infectées.


Mode de communication des botnets 



Dans cette partie nous allons voir les différents modes de communication des botnets qui correspondent plus ou moins aux différents types de botnets qu'on peur rencontrer à l'heure actuelle.

Le protocole IRC :
Rappelez-vous que les botnets sont nés sur IRC, cela en fait donc leur architecture traditionnelle. Les machines infectées se connectent alors sur un channel IRC privé afin de recevoir des instructions.

P2P :
Afin de ne plus dépendre d'un noeud central, certains botnets utilisent le réseau peer-to-peer pour communiquer.
C'est le cas par exemple du très célèbre botnet Storm.

HTTP :
Les botnets HTTP sont bien plus efficaces que les botnets IRC ou P2P. En effet, ils se fondent dans le trafic HTTP classique et sont donc très difficiles à identifier. De plus, ils ne nécessitent pas une connexion permanente avec le serveur. Et enfin, le serveur qui contrôle les bots peut être n'importe quel serveur se trouvant sur la Toile. Il est donc facile pour les pirates d'en changer.

Web 2.0/Ajax :
Les botnets utilisant le Web2.0 sont très récents. Il utilise une technique de recherche par mot-clé sur le web
afin d'exploiter des messages Ajax pour communiquer.

L'architecture des botnets :
Dans cette partie, nous allons voir les différentes étapes nécessaires à la création d'un botnet.
La première phase lors de la création d'un botnet et évidemment de trouver des bots sur la Toile. Pour ce faire, il faut infecter des machines. Cette infection peut se faire de différentes manières que voici :

• Logiciel malveillant
• Cheval de Troie
• Faille dans un logiciel ou le navigateur web
• Ingénierie Sociale
• Injection SQL
• Cross Site Scripting (XSS)

En bref, toutes les menaces du web sont des moyens pour infecter des machines et ainsi les transformer en bot. Rappelez-vous qu'une machine sur quatre sur la Toile fait potentiellement partie d'un réseau de botnet.
Il est alors important de protéger efficacement les stations de travail. Nous verrons cette partie un peu plus loin dans l'article.
Image IPB

Activation :
Une fois la machine infectée, elle est alors déclarée auprès du centre de contrôle en tant que machine active et donc contrôlable par le botmaster.

Mise à jour :
Une fois activé, le botnet peut se mettre à jour, s'automodifier ou encore ajouter des fonctionnalités. Ce mécanisme est très puissant car il permet au botnetde pouvoir changer sa signature et ainsi de ne pas se faire repérer par les logiciels anti-virus ou autres.

Auto-protection :
Lorsque le botnet a pris possession d'une machine, il va continuellement essayer de s'auto-protéger en modifiant des paramètres du système. Cette phase passe par exemple par l'installation d'un rootkit.

Propagation :
Le botnet continue ensuite par se propager en général à l'aide du SPAM ou encore en exploitant des failles connues.

Phase opérationnelle :
Une fois contrôlée, la machine est utilisée par le botmaster pour envoyer du SPAM, réaliser des dénis de service ou autres.


Comment lutter contre les botnets


Dans cette partie, nous allons lister les moyens qui permettent de lutter contre les botnets. C'est une partie importante car elle vous aidera à protéger votre poste de travail contre ce danger de plus en plus présent.

Listes noires :
Les RBL (Real-time Black List) ou DNSBL (DNS-based Blackhole List) sont des listes d'adresses IP qui génèrent des activités malveillantes sur Internet comme du SPAM, des dénis de service, etc. Ces listes peuvent être utilisées dans des moteurs anti-spam par exemple afin de systématiquement rejeter les mails provenant des adresses IP de ces listes.
Image IPB

Observation du trafic :
On peut aussi surveiller le trafic au sein de la société.
Par exemple, du trafic IRC au sein d'une entreprise peut paraître relativement suspect. Ou encore un poste de travail qui génère des requêtes HTTP de façon régulière vers la même URL.

Protection du réseau local :
La protection du réseau local peut paraître évidente pour beaucoup d'entre vous mais de nombreuses mesures sont bien souvent oubliées.

Voici une liste des éléments à mettre en oeuvre pour avoir une protection efficace du réseau local :

• La gestion des mots de passe.
• Le patching des serveurs et des applications.
• La gestion des postes nomades.
• Disposer d'une passerelle anti-spam efficace.
• Accorder des droits restreints aux utilisateurs afin d'éviter la propagation des virus qui ont généralement besoin de droits administrateur.
• Mise en place de VLAN sur le réseau
• Mise en place de pare-feu sur le réseau
• Mise en place d'IDS/IPS
• Analyser les logs pour détecter tous flux suspects.

Protection du poste client :
Concernant les postes clients, les mesures à prendre afin d'éviter de faire partie d'un réseau de botnet sont les suivantes:

• Avoir un Anti-Virus à jour.
• Avoir un Anti-Malware à jour.
• Avoir un HIDS/HIPS à jour.
• Disposer d'un bon mot de passe.
• Gérer les droits utilisateurs.
• Avoir un Anti-Spam à jour au niveau de la boite mail.
• Mettre à jour le système d'exploitation et les applications type Adobe Reader, Java, etc.
• Installer un pare-feu.
• Ouvrir les emails et les fichiers avec prudence.

Ces mesures sont assez classiques mais trop souvent oubliées. Il est aujourd'hui très important de s'y tenir pour maintenir le parc machine sécurisé.

Exemple de botnet Storm :
Pour terminer, nous pouvons prendre l'exemple du botnet Storm qui est sans nul doute l'un des plus connus sur la Toile et aussi l'un des plus dévastateur puisqu'il a comptabilisé jusqu'à 1,7 millions de machines infectées, un record pour un botnet ! Ce botnet a été dévastateur pour plusieurs raisons. Tout d'abord il a comptabilisé un très grand nombre de machines et il a aussi était le premier botnet à entièrement utilisé un réseau P2P pour fonctionner.

Voici son mode de fonctionnement :

Infection :
L'infection se fait de manière assez classique en envoyant un SPAM contenant une pièce jointe alléchante.
Cette pièce jointe une fois exécutée installe alors un rootkit sur le poste de travail. Ce rootkit désactive les protections anti-virus et cache son processus. Ainsi, tout est fait de manière à ce que l'utilisateur ne se rende compte de rien.

Protection :
Ce bot est très intelligent et c'est ce qui en a fait sa force. En effet, il refuse de s'exécuter au sein d'une machine virtuelle par exemple. De plus, le binaire principal du bot est chiffré empêchant ainsi de se faire détecter par un anti-virus. Le bot mute toutes les heures et son algorithme ainsi que sa clef de chiffrement change en même temps. Enfin, les serveurs de distribution du malware sont quasi impossible à détecter.

Protocole :
Ce botnet fonctionne intégralement à l'aide du réseau P2P avec un mécanisme très complexe où tout est chiffré.


Conclusion


Nous avons vu à travers ce tutoriel ce qu'était un botnet et comment s'en protéger. Il faut savoir que les botnets sont aujourd'hui la principale menace sur Internet.
De plus, il est très difficile de détecter qu'un poste de travail fait partie d'un botnet tant les techniques utilisées sont de plus en plus fiables. Il est d'ailleurs conseillé de réinstaller une machine de zéro dès le moindre doute.
Surtout si cette machine fait partie d'un réseau d'entreprise. En effet, on ne nettoie plus aussi facilement qu'avant une machine infectée.
Et les botnets continueront d'évoluer avec le temps.
Un conseil : pensez à suivre les bonnes pratiques de sécurité du poste de travail pour éviter toute infection.

Aucun commentaire:

Enregistrer un commentaire