Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov  
Les Analyses les plus Populaires



Evolution des menaces informatiques au 3e trimestre 2014



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



10 astuces simples pour renforcer la sécurité de votre Mac



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Botnet Business

13.05.2008   |   comment

Vitaly Kamluk

Ce rapport se penche sur les réseaux de zombies ou botnets, la manière dont ils sont formés et les individus qui gagnent leur vie grâce à ceux-ci. Les lecteurs qui possèdent déjà une certaine expérience en la matière pourront lire les dernières tendances observées dans le développement des réseaux de zombies.

Cette analyse d’un expert des laboratoires Kaspersky Lab est la première d'une série consacrée à la problématique des réseaux de zombies.

Cela fait près de 10 ans que les réseaux de zombies existent et depuis leur apparition, les experts n'ont cessé d'avertir le public du danger qu'ils représentent. Malgré cela, le problème des réseaux de zombies n'est toujours pas traité comme il se doit et de nombreux utilisateurs (tant qu'ils ne sont pas déconnectés d'Internet, tant qu'ils n'ont pas perdu de l'argent sur leur carte de crédit ou tant que leur boîte aux lettres ou leur compte de messagerie électronique n'a pas été détourné) ont du mal à cerner la véritable menace que posent les réseaux de zombies.

Qu'est-ce qu'un réseau de zombie

Avant toute chose, il convient d'expliquer ce qu'est un réseau de zombies ou botnet.

Le réseau de zombies est un réseau d'ordinateurs infectés par un programme malveillant de type Backdoor qui permet au cybercriminel de prendre à distance les commandes des machines infectées (séparément, d'un groupe d'ordinateurs du réseau ou de l'ensemble du réseau).

Les programmes malveillants de type Backdoor développés spécialement pour bâtir des réseaux de zombies sont des bots. Ces programmes exploitent les failles présentes sur les ordinateurs.

Les réseaux de zombies possèdent des ressources de traitement considérables, ils sont une arme cybernétique terrible et constituent une source de revenus illégitimes pour les individus mal intentionnés. Qui plus est, le maître du réseau de zombies peut administrer les ordinateurs infectés depuis n'importe où, qu'il s'agisse d'une autre ville, d'un autre pays ou d'un autre continent. Via Internet et grâce à son organisation, il peut « gérer » en préservant l'anonymat.

L'administration de l'ordinateur infecté par le bot peut être directe ou non. En cas d'administration directe, l'individu mal intentionné peut établir la liaison avec l'ordinateur infecté et l'administrer à l'aide des instructions reprises dans le corps du programme bot. En cas d'administration indirecte, le bot établit lui-même la connexion avec le centre d'administration ou avec d'autres machines du réseau, envoie des requêtes et exécute l'instruction reçue.

Dans les deux cas, le propriétaire de l'ordinateur infecté ne soupçonne même pas que sa machine est utilisée par des individus mal intentionnés. C'est la raison pour laquelle les ordinateurs infectés par un bot qui sont placés sous le contrôle secret des cybercriminels sont appelés des zombies et le réseau qu'ils forment devient un réseau de zombies. Dans la majorité des cas, les ordinateurs qui figurent dans les réseaux de zombies sont des ordinateurs de particuliers.

Utilisation des réseaux de zombies

Les individus mal intentionnés peuvent exploiter les réseaux de zombies afin d'effectuer un large éventail de tâches criminelles, depuis la diffusion de courrier indésirable jusqu'à des opérations de cyber-guerre entre Etats.

Diffusion du courrier indésirable. Il s'agit d'une des options d'exploitation des réseaux de zombies les plus répandues et les plus simples. Selon les estimations des experts, plus de 80% des messages non sollicités sont envoyés par l'intermédiaire de zombies. Le courrier indésirable n'est pas nécessairement envoyé par les propriétaires des réseaux de zombies. En effet, les spammeurs peuvent louer de tels réseaux pour une certaine somme.

Souvent, ce sont les spammeurs qui connaissent la véritable valeur des réseaux de zombies. D'après nos calculs, le spammeur moyen peut gagner entre 50 000 et 100 000 dollars américains par an. Les réseaux de zombies comptant des milliers de machines permettent aux spammeurs d'envoyer des millions de messages en très peu de temps. Outre la vitesse et l'ampleur de la diffusion, les réseaux de zombies offrent un autre avantage aux spammeurs. Les adresses utilisées activement pour la diffusion de courrier indésirable se retrouvent souvent dans la liste noire des serveurs de messagerie et les messages en provenance de ces adresses sont bloqués automatiquement ou marqués comme du courrier indésirable. La diffusion du courrier indésirable depuis des centaines de milliers d'adresses des utilisateurs des zombies permet aux spammeurs d'éviter ce problème.

L'autre "bonus" offert est que les spammeurs ont la possibilité de récolter des adresses électroniques sur les machines infectées. Les adresses volées sont soit vendues aux spammeurs, soit utilisées par les propriétaires du réseau de zombies afin de diffuser du courrier indésirable. Dans ce contexte, un réseau de zombies en développement permet d'obtenir toujours de nouvelles adresses.

Cyber-chantage. La deuxième utilisation la plus répandue des réseaux de zombies pour gagner de l'argent consiste à utiliser les dizaines ou les centaines de milliers d'ordinateurs pour lancer des attaques par déni de service (DDoS). Dans ce genre d'attaque, les machines infectées par le bot créent un flux de requêtes fictives adressées au serveur attaqué dans le réseau. Suite à la surcharge, le serveur devient inaccessible aux utilisateurs. Pour arrêter l'attaque, les individus mal intentionnés requièrent le versement d'une rançon.

De nos jours, de nombreuses sociétés fonctionnent uniquement via Internet et pour elles, un serveur qui devient inaccessible signifie l'impossibilité de travailler et entraîne naturellement des pertes financières. Pour rétablir le plus vite possible leurs serveurs, ces sociétés sont plus disposées à répondre aux exigences des maîtres chanteurs qu’à demander l'aide à la police. Les cybercriminels misent sur ce point, ce qui explique le nombre croissant d'attaques par déni de service.

Ces attaques peuvent également intervenir dans des conflits politiques. Dans ce cas, ce sont les serveurs d'institutions gouvernementales ou d'organismes de l’Etat qui sont attaqués. Le danger de ce genre d'attaque provient de leur côté provocateur : la cyberattaque des serveurs d'un pays peut être réalisée depuis les serveurs d'un autre et administrée depuis un troisième.

Accès anonyme au réseau. Les individus mal intentionnés peuvent contacter les serveurs du réseau via un zombie et commettre des cybercrimes au nom des machines infectées, par exemple pénétrer dans un site ou transférer de l'argent volé.

Vente et location de réseaux de zombies. Une des méthodes utilisées pour gagner de l'argent de manière illicite à l'aide des réseaux de zombies consiste à vendre ou à louer des réseaux "clés en main". La création de réseaux de zombies en vue de les vendre est une direction particulière prise par le milieu cyber-criminel.

Hameçonnage (phishing). Les adresses de site d'hameçonnage peuvent se retrouver assez rapidement dans les listes noires. Le réseau de zombies permet aux individus qui pratiquent ce genre d'escroquerie de changer rapidement l'adresse du site d'hameçonnage en utilisant les ordinateurs infectés en guise de serveur proxy. L'escroc peut ainsi dissimuler l'adresse réelle de son site.

Vol de données confidentielles. Il est probable que ce genre d'activité criminelle ne cessera jamais d'attirer les cybercriminels et grâce aux réseaux de zombies, les vols de mots de passe (accès aux services de messagerie, à ICQ, à des serveurs FTP ou à des services Web) et d'autres données confidentielles des utilisateurs peut être multiplié par mille. Le bot qui infecte les ordinateurs du réseau de zombies peut télécharger d'autres programmes malveillants tels qu'un cheval de Troie capable de voler des mots de passe. Dans ce cas, tous les ordinateurs faisant partie du réseau de zombies sont infectés par le cheval de Troie et les individus mal intentionnés peuvent obtenir les mots de passe de toutes les machines infectées. Les mots de passe ainsi volés sont revendus ou utilisés pour réaliser des infections en masse de pages Web (par exemple, les mots de passe pour tous les comptes FTP découverts) afin de diffuser le bot et d'élargir le réseau de zombies.

Type d’instructions pour les bots

Les instructions exécutées par les bots sont diverses mais en règle générale, il s'agit de celles qui sont reprises dans la liste ci-dessus. Le nom des instructions peut varier en fonction de la version du bot mais la fonction est la même.

Update : télécharger et exécuter le fichier exécutable indiqué ou le module depuis le serveur défini. Cette instruction est une instruction élémentaire car elle est exécutée en premier lieu. Elle permet d'actualiser le fichier exécutable du bot sur ordre du propriétaire du réseau de zombies lorsque celui-ci désire installer une version plus moderne du bot. Cette instruction permet d'infecter l'ordinateur avec d'autres programmes malveillants (virus, vers) et d'installer d'autres bots sur l'ordinateur. Grâce à cette instruction, il est possible d'installer simultanément sur tous les ordinateurs des chevaux de Troie qui recherchent tous les mots de passe saisis à un moment donné sur l'ordinateur et conservés dans sa mémoire et les envoient vers un serveur connecté à Internet.

Flood : lancer le processus de création de requêtes fictives vers un serveur désigné dans le réseau afin de le mettre hors service ou de surcharger le canal Internet d'un segment régional du réseau. La création d'un tel flux peut entraîner de graves dysfonctionnements du serveur et le rendre inaccessibles aux utilisateurs habituels. Ce type d'attaque réalisée à l'aide de réseaux de zombies est une attaque par déni de service (DDoS). Il existe un nombre important de variantes de requêtes de réseau fictives et c'est la raison pour laquelle nous nous contenterons de l'explication générale.

Spam : télécharger le modèle du message non sollicité et commencer la diffusion de celui-ci vers les adresses indiquées (chaque bot reçoit une partie d'adresses).

Proxy : utiliser cet ordinateur en tant que serveur proxy. Souvent, cette fonction n'est pas considérée comme une instruction mais directement incluse dans les fonctions générales du bot. Il s'agit d'une des fonctions qui permet d'utiliser n'importe quel ordinateur du réseau en tant que serveur proxy afin de dissimuler l'adresse réelle de l'individu mal intentionné qui administre le réseau de zombie.

Il existe d'autres instructions, mais elles ne figurent pas parmi les instructions les plus utilisées et elles ne sont exploitées que dans quelques réseaux de zombies. Ces instructions complémentaires permettent d'obtenir des captures de l'écran de l'utilisateur, de contrôler les frappes au clavier, de consulter le fichier avec le protocole de communication de réseau de l'utilisateur (utilisé pour le vol de données d'accès et d'autres données confidentielles), de transmettre le fichier indiqué depuis l'ordinateur de l'utilisateur, de relever le numéro de série d'un logiciel, d'obtenir des informations détaillées sur le système de l'utilisateur et sur son environnement, de consulter la liste des ordinateurs qui appartiennent au réseau de zombie, etc.

Types de réseaux de zombies

Le classement des réseaux de zombies est assez simple de nos jours. Il repose sur l'architecture des réseaux de zombies et sur les protocoles utilisés pour administrer les bots.

Classification des réseaux de zombies en fonction de l'architecture

Jusqu'à présent, nous connaissions uniquement deux types d’architectures de réseaux de zombies.

  1. Réseaux de zombies à centre unique. Dans les réseaux de zombies correspondant à cette architecture, tous les ordinateurs du réseau se connectent à un seul centre d'administration ou C&C (Control & Command Center en anglais, centre de contrôle et de commande). Le centre attend la connexion des nouveaux bots, les enregistre dans sa base, surveille leur état et leur envoie des instructions sélectionnées par le propriétaire du réseau de zombies dans la liste des instructions possibles pour le bot. Par conséquent, le centre de commande permet de voir tous les zombies connectés et afin de pouvoir administrer le réseau de zombies de manière centralisée, le propriétaire du réseau doit absolument pouvoir accéder au centre de commande.



    Ill. 1. Topologie centralisée (C&C)

    Les réseaux de zombies à administration centralisée sont les plus répandus. Ils sont plus faciles à créer, plus faciles à administrer et ils réagissent plus vite aux instructions. De la même manière, la lutte contre les réseaux de zombies à administration centralisée est également plus aisée : pour neutraliser réseau dans son ensemble, il suffit de fermer le C&C.

  2. Réseaux de zombies décentralisés ou réseaux de zombies P2P . (de l'anglais "peer-to-peer" qui désigne une connexion de type "point-point"). Dans le cadre du réseau de zombies décentralisé, les bots ne se connectent pas à un centre d'administration mais à quelques ordinateurs infectés du réseau de zombies. Les instructions sont transmises de bot à bot : chaque bot possède une liste d'adresses de quelques "voisins" et lorsqu'il reçoit une instruction de l'un d'entre eux, il la transmet aux autres et assure ainsi la diffusion de l'instruction. Dans ce contexte, l'individu mal intentionné doit pouvoir accéder uniquement à un ordinateur du réseau afin de pouvoir administrer l'ensemble du réseau de zombie.



    Ill. 2. Topologie décentralisée (P2P)

    Dans la pratique, la création d'un réseau de zombies décentralisé n'est pas commode car chaque nouvel ordinateur infecté doit recevoir la liste des bots avec lesquels il sera en communication dans le réseau de zombies. Il est bien plus simple de commencer par administrer le réseau de zombies sur un serveur centralisé où il reçoit la liste des bots "voisins" puis de faire passer le bot en mode d'interaction via une connexion P2P. Cette topologie mixte appartient au type P2P même si à un moment donné les bots utilisent un centre de commande. La lutte contre les réseaux de zombies décentralisés est plus compliquée car ils ne possèdent pas un centre d'administration effectif.

Classement des réseaux de zombies en fonction du protocole de réseau utilisé

Afin de transmettre une instruction au bot, le maître du réseau de zombies doit au moins établir une connexion de réseau entre le zombie et l'ordinateur qui envoie l'instruction. Toutes les interactions de réseau reposent sur des protocoles de réseau qui définissent les règles de communication des ordinateurs dans le réseau. C'est la raison pour laquelle il existe un classement des réseaux de zombies en fonction du protocole de communication utilisé.

Sur la base du protocole de réseau utilisé, les réseaux de zombies peuvent être répartis dans les catégories suivantes.

  1. Orientation IRC.

    Il s'agit d'un des tout premiers types de réseau de zombies dans lequel l'administration des bots s'opérait via IRC (Internet Relay Chat). Chaque ordinateur infecté se connectait au serveur IRC indiqué dans le corps du bot, entrait dans un canal défini et attendait les instructions du maître.

  2. Orientés vers les messageries instantanées.

    Ce type de réseau de zombies n'est pas très répandu. Le seul élément qui le distingue de ses congénères orientés vers IRC, c'est utilisation des canaux de messagerie instantanée (AOL, MSN, ICQ, etc.) pour transmettre les données. Le peu de popularité dont jouissent ces réseaux de zombies provient des difficultés liées à la création d'un nouveau compte de messagerie instantanée pour chaque bot. Il se fait que les bots doivent être sur le réseau et être toujours en ligne. Dans la mesure où la majorité des services de messagerie instantanée ne permettent pas la connexion depuis différents ordinateurs à l'aide du même compte, chaque bot doit posséder son propre numéro de service de messagerie instantanée. Et les fournisseurs de services de messagerie instantanée empêchent les enregistrements automatiques de comptes. Par conséquent, le propriétaire d'un réseau de zombies orienté vers les messageries instantanées est limité au niveau du nombre de comptes enregistrés et, par conséquent, au niveau du nombre de bots qui peuvent être en ligne simultanément. Bien entendu, les bots peuvent utiliser le même compte et se connecter une fois à un moment déterminé, envoyer les données au numéro du propriétaire et attendre la réponse pendant un laps de temps défini mais cette méthode n'est pas sans problèmes : un réseau de ce genre réagit très lentement aux instructions.

  3. Orientés vers Internet.

    Les réseaux de zombies qui basent leur administration via WWW sont relativement récents et se développent rapidement. Le bot se connecte à un serveur Web déterminé, reçoit les instructions et transmet les données en guise de réponse. Ces réseaux de zombies sont populaires étant donné la facilité de leur mise au point, le nombre important de serveurs Web sur Internet et la simplicité de l'administration via une interface Web.

  4. Autres.

    Outre les catégories citées ci-dessus, il existe d'autres types de réseaux de zombies qui communiquent selon leur propre protocole inspiré de TCP/IP : ils utilisent uniquement les protocoles communs TCP, ICMP et UDP.

Evolution des réseaux de zombies

Le début des réseaux de zombies remonte aux années 1998-1999 avec l'apparition des premiers programmes de type Backdoor, les célèbres NetBus et BackOrifice2000. Il s'agissait de concepts, à savoir des programmes qui intégraient des solutions technologiques inconnues jusqu'alors. NetBus et BackOrifice 2000 furent les premiers à offrir un ensemble complet de fonctions d'administration à distance de l'ordinateur infecté qui permettait à l'individu mal intentionné de travailler avec les fichiers sur l'ordinateur distant, d'exécuter de nouveaux programmes, de prendre des captures d'écran, d'ouvrir et de fermer le lecteur de cédérom, etc.

Conçus à l'origine comme des chevaux de Troie, ces backdoors (trappes) fonctionnaient sans l'autorisation de l'utilisateur. Afin de pouvoir administrer l'ordinateur infecté, l'individu mal intentionné devait lui-même établir une connexion avec chaque machine infectée. Les premières trappes fonctionnaient dans les réseaux locaux sur la base du protocole TCP/IP et étaient en réalité des variantes de démonstration de l'utilisation de Windows API pour l'administration à distance d'un ordinateur.

Au début des années 2000, les clients d'administration à distance des ordinateurs permettaient déjà d'administrer simultanément plusieurs machines. Toutefois, à la différence des trappes actuelles, NetBus et BackOrificie 2000 faisaient office de serveur de réseau : ils ouvraient un port déterminé et attendaient passivement la connexion du maître (les programmes de type Backdoor utilisés aujourd'hui dans la construction de réseaux de zombies établissent la connexion eux-mêmes).

Plus tard, un individu mal intentionné s'arrangea pour que les ordinateurs infectés par les trappes ouvrent eux-mêmes la connexion et soient toujours en ligne (pour autant qu'ils soient branchés et en ordre de marche). Il s'agissait certainement d'un pirate informatique car les réseaux de zombies de la nouvelle génération utilisaient le canal de communication traditionnel des pirates, à savoir IRC (Internet Relay Chat). Il est probable que le développement de nouveaux réseaux de zombies a été grandement facilité par le fait que dès le début, il était possible de trouver dans IRC des bots dont le code source était accessible. Il est vrai que ces bots ne visaient pas l'administration à distance mais prévoyaient d'autres fonctions (ces programmes répondaient aux requêtes des utilisateurs, par exemple ils offraient des informations sur la météo ou sur la dernière connexion au chat d'un utilisateur défini).

Les nouveaux bots, après avoir infecté l’ordinateur, commencèrent à se connecter aux serveurs IRC et à établir des communications en tant que visiteur via un canal IRC donné pour recevoir les messages du maître du réseau de zombies. Le propriétaire pouvait se connecter à n'importe quel moment, voir la liste des bots, envoyer les instructions directement à l'ensemble des ordinateurs infectés ou envoyer un message privé à une machine en particulier. Il s'agissait du premier mécanisme de réalisation d'un réseau de zombies à administration centralisée, ce qui allait devenir par la suite le C&C (Command & Control Centre).

Le développement de tels bots n'était pas compliqué étant donné la simplicité de la syntaxe du protocole IRC. L'utilisation d'un serveur IRC ne requiert pas obligatoirement un logiciel client spécialisé. Il suffit de posséder un client de réseau universel tel que Netcat ou Telnet.

L'apparition des réseaux de zombies IRC fut assez vite dévoilée. Dès que les premiers articles à leur sujet furent publiés dans les journaux de pirates informatiques, les "voleurs" de réseaux de zombies firent leur apparition. Il s'agissait de personnes qui possédaient probablement les mêmes connaissances que les propriétaires des réseaux de zombies mais qui voulaient gagner de l'argent plus facilement. Ils recherchaient les canaux IRC dont le nombre élevé de visiteurs était suspect, y entraient puis étudiaient et "volaient" le réseau de zombies : ils interceptaient l'administration du réseau, réorientaient les bots vers d'autres canaux IRC protégés par un mot de passe et obtenaient ainsi le contrôle total sur un réseau de machines infectées créé par quelqu'un d'autre.

L'étape suivante du développement des réseaux de zombie fut le déplacement des centres d'administration sur l'ensemble de la Toile. Tout d'abord, les pirates informatiques développèrent des outils d'administration à distance du serveur sur la base de scripts tels que Perl et PHP, plus rarement ASP, JSP et quelques autres. Ensuite, quelqu'un établissait une connexion de l'ordinateur du réseau local avec un serveur sur Internet qui permettait d'administrer l'ordinateur depuis n'importe où. Le schéma d'administration à distance d'un ordinateur dans un réseau local en contournant les moyens de protection tels que les proxy ou le NAT fut publié sur Internet et il devint très vite populaire dans certains milieux. L'administration à distance reposait sur l'établissement d'une connexion HTTP avec le serveur d'administration en utilisant les paramètres locaux de l'ordinateur. Si l'utilisateur avait défini dans les paramètres du système l'adresse, le port, le nom d'utilisateur et le mot de passe pour le serveur proxy, alors le mécanisme d'autorisation de la bibliothèque des fonctions pour la prise en charge du protocole HTTP (Wininet.dll) était lancé automatiquement. Du point de vue de la programmation, il s'agissait d'une solution simple et accessible.

Les développements semi légitimes d'outils d'administration à distance conçus pour contourner la protection des machines dans les réseaux locaux et obtenir l'accès à distance donnèrent le coup d'envoi de la création des réseaux de zombies orientés vers le Web. Un peu plus tard, un script simple d'administration d'un petit réseau d'ordinateurs fut créé et les individus mal intentionnés trouvèrent un moyen d'utiliser de tels réseaux à des fins détournées.

Les réseaux de zombies orientés vers le Web étaient une solution très pratique dont la popularité n'a pas faibli à ce jour. Il est possible d'administrer de nombreux ordinateurs à l'aide de n'importe quel dispositif qui a accès à Internet, y compris à l'aide d'un téléphone mobile prenant en charge la technologie WAP/GPRS et n'importe quel écolier peut trouver son chemin dans une interface Web. La poursuite du développement d'Internet et le perfectionnement des technologies des applications Web ont également stimulé l'utilisation des réseaux de zombies orientés vers le Web.

Il y eut également des tentatives de création de réseaux de zombies administrés via les canaux de messagerie instantanée. Ce type de réseau de zombie n'a toutefois pas remporté un grand succès, principalement parce qu'il requiert l'ouverture de comptes de messagerie instantanée et dans la mesure où les dispositifs de protection contre les créations automatiques de comptes ne cessent de changer, il est pratiquement impossible de créer automatiquement une multitude de comptes.

Mais l'évolution des réseaux de zombies n'est pas terminée : après avoir étudié les différentes variantes d'utilisation des protocoles, les développeurs de réseaux de zombies se sont tournés vers l'architecture du réseau. Le fait est que le réseau de zombies d'architecture classique (une multitude de zombies et un centre d'administration) était particulièrement vulnérable car il dépendait d'un noeud critique, le centre d'administration dont la désactivation entraînerait la perte du réseau. Les solutions qui proposent l'infection simultanée des ordinateurs par différents bots qui s'adressent à des centres d'administration différents fonctionnent parfois mais de tels réseaux sont bien plus compliqués à entretenir car il faut surveiller deux ou trois centres d'administration.

Selon les experts, les réseaux de zombies bâtis sur l'architecture P2P (sans centre d'administration) sont plus efficaces et plus dangereux. Le propriétaire du réseau n'a qu'à envoyer l'instruction à une des machines et par la suite, les bots transmettent l'instruction eux-mêmes. En principe, n'importe quel ordinateur du réseau de zombies peut se connecter à n'importe quel autre ordinateur qui appartient au même réseau. Les expériences sur la création de ce genre de réseau de zombies ont été menées pendant de longues années et ce n'est qu'en 2007 que le premier réseau de zombies d'envergure basé sur l'architecture P2P a fait son apparition. Les experts de la sécurité informatique se penchent désormais sur les réseaux de zombies P2P.

Réseaux de zombies P2P : le réseau de zombies « de la tempête »

L'attention des spécialistes de la sécurité informatique fut attirée en 2007 par un réseau de zombies P2P créé à l'aide du programme malveillant Storm Worm. Les auteurs du ver de la tempête avaient tellement bien diffusé leur création qu'ils furent vraisemblablement obligés de créer une usine entière pour créer de nouvelles versions du programme malveillant. Depuis janvier 2007, nous recevons chaque jour entre 3 et 5 versions de Storm Worm (Email-Worm.Win32.Zhelatin selon la classification de Kaspersky Lab).

Certains spécialistes estiment que Storm Worm est un programme malveillant conçu pour bâtir des réseaux de zombies de nouvelle génération. Les caractéristiques suivantes du réseau de zombies de la tempête indiquent que le bot a été développé et diffusé par des professionnels et que l'architecture et la protection du réseau ont été soigneusement élaborées :

  1. Le code du bot connaît des mutations, ce qui rappelle les virus polymorphes. La différence de Storm Worm vient du fait que le code à l'origine de la mutation ne se trouve pas dans le programme (comme dans les virus polymorphes) mais sur un ordinateur spécial dans le réseau. Ce mécanisme a été baptisé polymorphisme serveur (server-side polymorphism).
  2. Les mutations sont assez fréquentes (un taux de mutation d'une fois par heure a été enregistré) et, élément important, elles se passent du côté du serveur, ce qui veut dire que les mises à jour des bases antivirus sont inutiles pour de nombreux utilisateurs.
  3. Le réseau de zombie de la tempête protège ses ressources contre les chercheurs trop curieux. De nombreux éditeurs de logiciels antivirus téléchargent fréquemment de nouveaux exemplaires du vers depuis les serveurs à l'origine de la propagation du programme malveillant. Lorsque le bot détecte des requêtes fréquentes en provenance d'une même adresse, il lance une attaque par déni de service contre cette adresse.
  4. Le bot malveillant tente de fonctionner le plus discrètement possible dans le système. Il est évident qu'un programme qui lance des attaques en permanence va être très vite découvert par les utilisateurs et les administrateurs. C'est la raison pour laquelle le dosage de l'activité qui ne requiert pas un volume important de ressources de l'ordinateur est bien plus dangereux du point de vue du programme malveillant.
  5. Au lieu de communiquer avec un serveur central, le vers de la tempête contacte uniquement quelques ordinateurs "voisins" dans le réseau infecté, ce qui rend pratiquement impossible la tâche d'identification de tous les zombies du réseau P2P. Il est possible de mettre sur pied des groupes d'espionnage selon le même principe : chaque membre d'un tel groupe connaît quelques autres membres du groupe et la chute d'un espion ne signifie pas automatique la découverte de l'ensemble du groupe.
  6. Les auteurs du vers modifient en permanence les modes de diffusion. Au début, le programme malveillant était diffusé en tant que pièce jointe dans des messages non sollicités (principalement sous la forme d'un PDF), ensuite ces messages reprenaient un lien vers les fichiers infectés. Nous avons même recensé des tentatives de diffusions automatiques dans des blogs avec des liens vers des pages Web infectées. Et les méthodes les plus rusées d'ingénierie sociale accompagnent n'importe quel moyen de diffusion de ce programme malveillant.

Le réseau de zombies de la tempête est à l'origine de plusieurs problèmes. Outre la diffusion massive de courrier indésirable, il serait intervenu dans diverses attaques par déni de service d'envergure dans le monde entier et, à en croire certains experts, il aurait également joué un rôle dans les attaques cybernétiques lancées contre l'Estonie en 2007. Le potentiel d'un tel réseau met mal à l'aise les fournisseurs d'accès Internet et les hébergeurs de sites. Le fait que la taille réelle du réseau de zombies de la tempête soit toujours un secret contribue à ce malaise. Alors que d'autres réseaux de zombies, qui reposent en tout ou en partie sur un centre de commande, peuvent être vus tels qu'ils sont (le centre de commande montre chaque zombie connecté), aucun expert n'a jamais vu la liste des ordinateurs infectés et recrutés dans le réseau de zombies de la tempête. Selon les estimations, le nombre d'ordinateurs du réseau de zombies Storm Worm pourrait être compris entre 50 000 et 10 millions.

Vers la fin de l'année 2007, le réseau de zombies de la tempête s'est un peu affaibli mais nous continuons toujours à recevoir chaque jour plusieurs nouvelles versions du bot. Certains spécialistes pensent que le réseau de zombies a été vendu en morceaux tandis que d'autres estiment qu'il n'était pas rentable. son développement et son entretien coûtaient plus que l'argent gagné.

Mayday

Selon nous, Mayday est un autre réseau de zombies qui se distingue quelque peu de ses prédécesseurs par la technologie employée, ce qui le rend intéressant. Le nom du bot (Backdoor.Win32.Mayday dans la classification de Kaspersky Lab) et du réseau créé grâce à lui viennent du nom de domaine contacté par un des exemplaires du programme malveillant qui contenait le mot "mayday".

Mayday est un autre réseau de zombies construit selon l'architecture P2P. Une fois qu'il a été lancé, le bot se connecte au serveur indiqué dans le corps du programme, s'enregistre dans sa base de données et reçoit la liste de tous les bots du réseau infecté (dans le cas de Storm Worm, il s'agissait uniquement d'une partie de la liste). Ensuite, le bot établit des connexions d'ordinateur à ordinateur avec d'autres bots qui appartiennent au réseau de zombies.

Nous avons recensé 6 serveurs différents dans le monde entier (Grande-Bretagne, Etats-Unis, Pays-Bas, Allemagne) contactés par les bots au moment de la construction du réseau de zombies. Au début du mois de mars, seul un serveur était toujours opérationnel. Celui-ci comptait près de 3 milles bots (pour rappel, selon les estimations les plus modestes, le réseau de zombies de la tempête comptait des dizaines de milliers d'ordinateurs infectés). Outre la taille, Mayday est devancé par son "grand frère" dans plusieurs aspects importants : dans le réseau de zombies Mayday, le protocole de communication utilisé est élémentaire et non crypté, le code du programme malveillant n'est pas soumis à un traitement spécial permettant de compliquer l'analyse des logiciels antivirus et, ce qui est plus important, les nouvelles versions du bot ne sont pas du tout diffusées selon les mêmes fréquences que les versions de Storm Worm. Le pogramme Backdoor.Win32.Mayday fut détecté pour la première fois par Kaspersky Lab à la fin du mois de novembre 2007 et au cours des quatre derniers mois, nous avons ajouté à notre collection un peu plus de 20 versions différentes du programme.

S'agissant des nouveautés technologiques, il convient de signaler l'intégration de deux approches inhabituelles.

Tout d'abord, dans le réseau Mayday, la communication d'ordinateur à ordinateur (P2P) repose dès le début sur le transfert de messages ICMP avec une charge utile de 32 octets.

La majorité des utilisateurs du protocole ICMP (Internet Control Message Protocol - protocole de message de contrôle sur Internet) connaît ce dernier via l'utilitaire PING qui utilise ICMP pour vérifier l'accès au réseau de l'hôte. Toutefois, les fonctions de bases du protocole sont bien plus étendues. Voici ce que nous dit Wikipedia sur le protocole ICMP : « ICMP est un protocole de communicationprotocole de réseau, qui fait partie de la suite des protocoles Internetpile de protocoles TCP/IP. Il est utilisé principalement pour véhiculer des messages d'erreur ou relatifs à d'autres situations exclusives qui surviennent lors du transfert de données. Le protocole ICMP est également doté de quelques fonctions de services ».

L'illustration 10 reprend l'interface du sniffer de paquets de réseau qui enregistre le transfert de paquets ICMP du bot Mayday. A notre connaissance, aucun autre bot n'avait jamais utilisé ICMP pour transmettre des données.



Ill. 3. Paquets ICMP envoyés par le bot Mayday

A l'aide du protocole ICMP, il est possible de vérifier l'accès des bots dans le réseau infecté ainsi que leur identification. Dans la mesure où le bot Mayday est orienté vers un fonctionnement dans Windows XP SP2, il remplace, après le lancement, la règle du pare-feu Windows afin d'autoriser la réception de paquets ICMP.

La deuxième particularité du réseau de zombies Mayday, et peut-être la caractéristique principale, est son centre d'administration.

Le mécanisme connu sous le nom de CGI (Common Gateway Interface) est utilisé pour le fonctionnement des centres d'administration des réseaux de zombies orientés vers le Web. A l'origine, la technologie des serveurs Web fut conçue pour pouvoir utiliser les fichiers exécutables en tant que réalisation CGI et par la suite, divers scripts firent leur apparition. Une application CGI génère en temps réel le contenu demandé par l'utilisateur de la page Web, garantit l'exécution des programmes et affiche les résultats de son travail avec les statistiques du serveur. Un script CGI fonctionne de la même manière mais il requiert un interprète, un moteur de script, pour afficher les résultats de son travail. En règle générale, les centres de commande des réseaux de zombies orientés vers le Web sont développés par des individus mal intentionnés à l'aide de moteur de script.

Grâce à une collaboration avec les forces de police, nous avons pu obtenir une copie du programme qui fonctionne dans le centre de commande du réseau de zombies Mayday. L'application serveur Mayday est une fichier exécutable ELF complet (sans modules) de 1,2 Mo (équivalent Linux des fichiers exécutables EXE de Microsoft Windows) qui ne requiert pas la présence de moteur de script dans le système. A première vue, il n'y a rien d'étonnant à ce que les auteurs de Mayday développent une application CGI avec un script CGI. Toutefois, une telle décision suscite plusieurs questions.

Le développement d'une application CGI est en plusieurs points plus compliqué que le développement d'un script CGI car l'opération requiert des efforts particuliers pour produire un code stable et fiable. A l'heure actuelle, 99% des applications Web reposent sur un script et les programmes CGI monolithiques sont créés uniquement lorsqu'il faut absolument tout optimiser jusqu'au moindre détail. En règle générale, cette démarche est adoptée par les grandes entreprises lorsqu'elles développent des projets qui doivent fonctionner dans des conditions de charge élevée. Ainsi, on retrouve des programmes exécutable monolithiques CGI dans des systèmes Web tels qu’e-Bay, Paypal, Yahoo, etc.

Pourquoi dès lors créer un fichier exécutable sans module dans le cas du réseau de zombies Mayday ? Une des explications possibles serait le désir des développeurs de compliquer la tâche des tiers qui souhaiteraient modifier, reconfigurer puis revendre le centre d'administration. Quoi qu'il en soit, l'analyse de la structure de l'application serveur de Mayday laisse croire qu'un produit aussi sérieux (le code est précis, le système de classes est universel) est le fruit d'une équipe de programmeurs bien organisés. De plus, pour créer l'application du réseau de zombies Mayday, les individus mal intentionnés ont probablement dû travailler sur deux projets différents : un pour Windows et l'autre pour Linux.

Au printemps 2008, Kaspersky Lab n'a enregistré aucune nouvelle version du bot Mayday. Il se peut que les auteurs du programme malveillant aient pris des vacances et que le réseau de zombies Mayday se manifeste à nouveau à court terme.

Le commerce des réseaux de zombies

L'état du marché parallèle créé autour des réseaux de zombies peut nous aider à comprendre pourquoi ces réseaux continuent à se développer et pourquoi la problématique est toujours d'actualité. De nos jours, les cybercriminels qui utilisent les réseaux de zombies n'ont pas besoin de connaissances particulières ou de sommes considérables. Le marché noir des réseaux de zombies offre à un prix raisonnable tout ce qu'il faut à la personne désireuse d’acquérir un réseau de zombies : l'application, des réseaux constitués et des services d'hébergement anonymes.

Penchons-nous un instant sur cet aspect d'Internet afin de voir comment fonctionne le secteur des réseaux de zombies qui offre des services aux propriétaires de tels réseaux.

Le premier élément indispensable à la création d'un réseau de zombies, c'est le bot lui-même, à savoir le programme qui permet d'exécuter à distance certaines actions sur l'ordinateur de la victime à l'insu de celle-ci. L'application requise pour la création d'un réseau de zombies peut se procurer facilement sur Internet. Il suffit de trouver l'annonce et de contacter la personne qui l'a passée.



Ill. 4. Annonce pour la vente d'un bot et d'un tableau de bord (traduit du russe)

Le prix d'un bot varie entre 5 et 1 000 dollars américains en fonction de la diffusion du bot, de sa détection par les logiciels antivirus, des instructions qu'il prend en charge, etc.

Pour construire le plus élémentaire des réseaux de zombies orientés vers le Web, il faut disposer d'un endroit où placer le centre de commande. N'importe quelle personne qui le souhaite peut acheter un tel espace avec un service d'assistance et la possibilité de travailler anonymement avec le serveur (l'hébergeur garantit dans ce cas l'inaccessibilité des journaux à quiconque, y compris aux organes compétents). Les annonces semblables à celle reprise ci-après sont nombreuses sur Internet.



Ill. 5. Offre de service d'hébergement pour la construction d'un réseau de zombies

Une fois que le centre de commande est placé, il faut obtenir les machines infectées par le bot. Il est possible d'acheter une réseau préparé avec le bot d'une autre personne. Dans la mesure où les vols de réseaux de zombies entre individus mal intentionnés sont fréquents, l'acheteur, en règle générale, préfère utiliser son propre programme et son propre centre de commande une fois qu'il a reçu le contrôle garanti du réseau de zombies. Pour ce faire, le bot du réseau acheté reçoit l'instruction de télécharger et d'exécuter un nouveau bot (avec une nouvelle adresse de centre de commande) puis s'autodétruit. Le bot d'autrui est remplacé et le réseau de zombies commence à interagir avec le nouveau centre de commande. Un tel "redémarrage" des réseaux de zombies s'impose aussi bien du point de vue de la protection que de l'anonymat : il est tout à fait possible que le "vieux" centre de commande et le "vieux" bot aient déjà été remarqués, avant la vente, par les spécialistes de la sécurité informatique.

Malheureusement, la construction de son propre réseau de zombies ne pose pas de difficultés particulières : il existe des outils spéciaux pour ce faire. Les plus populaires d'entre eux sont les paquets logiciels tels que Mpack, Icepack et WebAttacker. Ils permettent d'infecter les systèmes informatiques des visiteurs d'une page Web malveillante en exploitant les vulnérabilités du navigateur et de ses modules externes. Ces programmes sont désignés sous l'expression "système Web d'infection massive" ou simplement ExploitPack. Une fois que le code d'exploitation a été activé, le navigateur télécharge sur l'ordinateur de l'utilisateur un fichier exécutable et l'exécute. Ce fichier est le bot qui ajoute le nouveau zombie au réseau et transfère son administration à l'individu mal intentionné.

Malheureusement, il est si facile de trouver ces outils que même un adolescent peut se les procurer et tenter de gagner de l'argent en les revendant.



Ill. 6. Un adolescent de 16 vend MPack

Il est intéressant de constater qu'ExploitPack est à l'origine le fruit des travaux de pirates russes et qu'il a trouvé par la suite des utilisateurs dans d'autres pays. Ces programmes malveillants ont été localisés (ce qui témoigne de leur réussite commerciale sur le marché noire) et ils sont désormais énormément utilisés en Chine par exemple.



Ill. 7. version originale russe de IcePack



Ill. 8. Version d’Icepack traduite en chinois

Plus un système est populaire et couronné de succès sur le marché du cybercrime, plus il est facile à utiliser. Les développeurs de tels systèmes l'ont bien compris et par conséquent, pour renforcer la popularité de leur création et pour augmenter la demande, ils mettent au point des mécanismes d'installation et de configuration simplifiés, qu'il s'agisse d'un système pour le centre de commande ou simplement d'un ExploitPack.

Ainsi, l'installation d'un centre de commande, suppose en général la copie des fichiers sur le serveur Web et la requête du script install.php à l'aide du navigateur. L'existence d'une interface Web dans l'installateur facilite énormément la tâche : le cybercriminel n'a qu'à remplir correctement les champs du formulaire pour que le centre de commande soit configuré correctement et qu'il puisse commencer à fonctionner.



Ill. 9. Installateur Web d'un centre de commande

Les cybercriminels savent que tôt ou tard les logiciels antivirus commenceront à déceler les bots. Par conséquent, les machines infectées dotées d'un logiciel antivirus seront perdues et la vitesse d'infection de nouveaux ordinateurs sera considérablement réduite. Les propriétaires de réseaux de zombies utilisent quelques moyens pour tenter de préserver leur réseau. Le plus efficace consiste à protéger le programme malveillant contre la détection grâce à un code exécutable spécial : le marché du cybercrime propose un large éventail de services de cryptage, de compactage et d'obfuscation.


Ill. 10. Offre de service de traitement des programmes pour mettre le code à l'abri des logiciels antivirus

Ainsi, Internet propose tout ce qui est indispensable à la réussite de l'existence et du développement des réseaux de zombies. Il est pour l'instant impossible d'interrompre le développement du secteur des réseaux de zombies.

Conclusion

A l'heure actuelle, les réseaux de zombies constituent une des principales sources de revenus illégaux sur Internet et ils peuvent se transformer en armes redoutables entre les mains d'individus mal intentionnés. Il ne faut pas s'attendre à ce que les cybercriminels abandonnent un instrument aussi efficace et les spécialistes de la sécurité informatique sont inquiets pour l'avenir en raison des développements des technologies propres aux réseaux de zombies.

Le danger de ces réseaux est renforcé par la simplicité croissante de leur utilisation qui, bientôt, sera à la portée du premier écolier venu. La possibilité d'accéder à l'administration d'un réseau de machines infectées est déterminée non pas par les connaissances spéciales de l'individu mal intentionné mais par la taille de son portefeuille. Et les prix sur le marché développé et structuré des réseaux de zombies sont raisonnables.

La construction de réseaux de zombies internationaux est intéressante non seulement pour les cybercriminels mais également pour les Etats qui sont disposés à utiliser ce genre de réseau en tant qu'outil de pression politique ou qu'arme dans les cyberguerres entre Etats. De plus, la possibilité de pouvoir gérer anonymement les machines infectées quel que soit leur emplacement géographique permet de provoquer de tels conflits dans un intérêt particulier : il suffit d'organiser une cyberattaque sur les serveurs d'un pays depuis les ordinateurs d'un autre.

Les réseaux composés de dizaines, de centaines de milliers voire de millions d'ordinateurs infectés possèdent un potentiel dangereux qui, heureusement, n'a pas encore été pleinement exploité. Entre-temps, la majorité de cette puissance repose sur les ordinateurs infectés de particuliers. Ce sont eux qui représentent la majorité des zombies et ce sont eux que les individus mal intentionnés utilisent à leur fin.

Pensez à dix de vos amis et connaissances qui possèdent un ordinateur et il est plus que probable que l'ordinateur de l'un d'entre eux appartienne à un réseau de zombies quelconque. Et qui sait, il s'agit peut-être de votre ordinateur ?

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com