Détection de botnets DIY: Techniques et défis
Les Botnets existent depuis plus de deux décennies et, avec l’essor de l’Internet des objets (IoT), ils se sont répandus sur des appareils que personne n’imaginait : routeurs, appareils mobiles et même grille-pain.
Certains réseaux de zombies sont des légions de soldats de robots en attente d’une commande pour attaquer un serveur cible, généralement pour submerger le serveur avec une attaque par déni de service distribué (DDoS). D’autres réseaux de zombies ciblent des appareils spécifiques en volant des mots de passe ou en minant des crypto-monnaies. L’extraction de crypto-monnaie, en particulier, a récemment constitué une menace de plus en plus importante pour les organisations, avec des réseaux de zombies tels que Coinhive et CryptoLoot permettant aux cybercriminels de gagner jusqu’à 100 millions de dollars par an au détriment de la puissance de calcul des victimes. Smominru, l’un des plus grands botnets d’extraction de crypto-monnaie, a infecté plus d’un demi-million de machines en utilisant le tristement célèbre exploit EternalBlue divulgué par la NSA.
Pour prévenir les infections par botnet, les organisations doivent être en mesure de les détecter. Mais la détection de botnet n’est pas facile. Explorons quelques-unes des principales techniques et défis de la détection de botnet.
Méthodes de détection de botnet
Alors, qu’est-ce qu’un botnet? En termes simples, il s’agit d’un cluster de robots — des ordinateurs et des périphériques compromis — qui exécutent des commandes données par le propriétaire du botnet. Habituellement, le propriétaire du botnet dédiera un serveur de commande et de contrôle (C2), un serveur compromis pour communiquer avec les robots, généralement via des commandes de chat de relais Internet. Le propriétaire du botnet utilise le serveur C2 pour ordonner aux botnets d’exécuter des attaques, qu’il s’agisse d’attaques DDoS, de vol de données, de vol d’identité ou d’un autre type d’attaque. Ainsi, le pistolet fumant qui pointe vers un botnet est son serveur C2.
Malheureusement, trouver le C2 n’est généralement pas une tâche simple. De nombreuses commandes de botnet émergent de plusieurs serveurs ou prennent des formes cachées, masquant les commandes malveillantes comme des activités inoffensives telles que le trafic réseau Tor, le trafic sur les médias sociaux, le trafic entre les services peer-to-peer ou les algorithmes de génération de domaine. Pour compliquer encore les choses, les commandes sont souvent très subtiles, ce qui rend difficile la détection d’anomalies.
Une méthode pour tenter de détecter les C2 est de décomposer et d’analyser le code malveillant. Les organisations peuvent essayer de désassembler le code compilé, à partir duquel elles peuvent parfois identifier la source racine des commandes du botnet. Cependant, étant donné que les créateurs et les administrateurs de botnet utilisent de plus en plus le cryptage intégré, cette technique est de moins en moins efficace.
Généralement, la détection C2 nécessite une visibilité sur la communication entre un serveur C2 et ses robots, mais seules les solutions de sécurité qui protègent spécifiquement les serveurs C2 auront ce type de visibilité. Une approche plus courante pour détecter les réseaux de zombies consiste à suivre et à analyser les attaques elles—mêmes — dans lesquelles les solutions de sécurité standard offrent une visibilité – et à déterminer quelles attaques proviennent des réseaux de zombies.
En regardant les tentatives d’exploit, il y a quelques indications possibles pour un botnet. Par exemple, si les mêmes adresses IP attaquent les mêmes sites, en même temps, en utilisant les mêmes charges utiles et les mêmes modèles d’attaque, il y a de fortes chances qu’elles fassent partie d’un botnet. Cela est particulièrement vrai si de nombreuses adresses IP et sites sont impliqués. Un exemple important est une tentative DDoS par un botnet sur un service Web.
Faux positifs
La probabilité de faux positifs rend la détection du botnet particulièrement difficile. Certaines charges utiles sont largement utilisées, ce qui augmente la probabilité qu’un motif se produisant au hasard déclenche un faux positif. De plus, les attaquants peuvent modifier leurs adresses IP en utilisant un réseau privé virtuel ou un proxy, ce qui donne l’impression que de nombreux attaquants ou robots sont impliqués alors qu’il n’y en a vraiment qu’un.
Les outils de piratage et les scanners de vulnérabilités se comportent également suffisamment comme les réseaux de zombies pour renvoyer souvent des faux positifs. En effet, les outils de piratage génèrent les mêmes charges utiles et les mêmes modèles d’attaque, et de nombreux pirates les utilisent, quelle que soit la couleur de leur chapeau. Et, si différents acteurs effectuent un test de pénétration sur les mêmes sites en même temps, cela peut ressembler à une attaque de botnet.
Les organisations peuvent souvent identifier les faux positifs en googlant la charge utile et en référençant toute information documentée autour de celle-ci. Une autre technique consiste simplement à glaner toute information facilement disponible dans la demande brute dans la solution de sécurité. Par exemple, si un scanner de vulnérabilités est à blâmer, la plupart des solutions de sécurité le révéleront en l’identifiant, en particulier s’il s’agit de l’un des scanners de vulnérabilités les plus courants.
Les faux positifs sont un défi inévitable dans la détection des botnets compte tenu de l’énorme quantité d’incidents potentiels; des recherches récentes montrent que 27% des professionnels de l’informatique reçoivent plus d’un million d’alertes de sécurité chaque jour, tandis que 55% en reçoivent plus de 10 000. Mais avec les bonnes techniques et la diligence, les organisations peuvent distinguer le trafic inoffensif du trafic malveillant et piloté par les botnets.
Contenu connexe:
- 7 Hacks Non Informatiques Qui Ne Devraient Jamais Se produire
- Le Nouveau Botnet Montre l’évolution de la Culture Technologique et Criminelle
- Paul Vixie Sur la Sécurité DNS & Retraits de Botnets (vidéo)
- Le Guide Anti-Botnet Vise à Lutter contre les Menaces automatisées
Rejoignez Dark Reading EN DIRECT pour deux sommets sur la cybersécurité à Interop 2019. Apprenez des experts en sécurité informatique les plus compétents du secteur. Consultez l’agenda Interop ici.