Technique ayant explosé en 2004 (lire l'article
du 23/09/2004), les réseaux de PC zombies (ou botnets) constituent
une menace de taille pour les entreprises contaminées, au travers
des renifleurs de claviers notamment, mais aussi pour l'ensemble
de la population Internet en relayant spam, virus et en organisant
des attaques en déni de service contre des sites Web comme dans
le cas du virus Netsky.
Les bots
font partie de la nouvelle vague des menaces de sécurité,
silencieuse et à propagation rapide. Les bots, dérivés
de robots, désignent tout programme s'exécutant
de manière automatique sur un poste. Ils deviennent
malveillants lorsque le programme s'installe sans l'accord
de l'internaute et livre des informations sur la machine sur
laquelle il s'est installé.
"Le
but, c'est de faire de l'argent, en louant des réseaux de
bots pour relayer du spam par exemple. Les machines infectées
contiennent aussi des données personnelles qui peuvent se
vendre", affirme Guillaume Lovet, responsable de la lutte
antivirale chez Fortinet. Pour rentabiliser son programme, l'auteur
limite donc au maximum la visibilité du bot, au contraire
des premiers virus.
Mais le processus de détection des bots sur le poste client
a fait aujourd'hui ses preuves. Dès lors, pour gagner en efficacité,
les créateurs de virus travaillent surtout à limiter la détection
de leur création par les laboratoires antivirus (délai appelé
fenêtre d'opportunité par les éditeurs). Cela passe par la
multiplication des variantes de virus mais aussi par l'exploitation
industrialisée de failles logicielles.
"Une des techniques pour allonger artificiellement la fenêtre
d'opportunité consiste pour les créateurs à tenter de ralentir
l'analyse, par exemple en évitant d'envoyer des mails aux
éditeurs d'antivirus. Ils jouent aussi sur la multiplication
des variantes. Une technique commence d'ailleurs à revenir,
celle du polymorphisme qui modifie le virus en se déployant,
empêchant la détection par checksum [NDLR : signature du
virus obtenue par une analyse des octets du fichiers]",
ajoute Guillaume Lovet.
La
prévention reste la seule manière efficace
de lutte contre les bots. |
Les dernières variantes du ver Mytob combinaient ainsi le
facteur de propagation d'un virus mass mailer avec les caractéristiques
d'un bot et ajoutait des octets arbitrairement en fin de fichier
pour changer sa signature. Toujours dans l'optique d'allonger
leur durée de vie, ces bots peuvent stopper les processus
correspondant à un antivirus ou un pare-feu. "Pour empêcher
que cela se produise, il suffit souvent de renommer son logiciel",
explique le responsable de Fortinet.
Dernière technique, les virus empêchent parfois l'internaute
d'accéder au site des éditeurs d'antivirus. Comme parade à
ce blocage, il suffit de modifier le fichier host présent
au sein des divers systèmes d'exploitation (Linux, Unix, Windows).
Fragiles, car rapidement détruits par les antivirus du marché,
ces réseaux de bots ne survivent qu'en contaminant sans cesse
de nouvelles victimes.
D'où la nécessité de la prévention de la contamination, prévention
d'autant plus importante qu'une fois réunis, les réseaux de
PC zombies ne peuvent presque plus être arrêtés. "Au niveau
du spam, un moyen assez répandu de lutte passe par l'utilisation
d'une liste noire RTB. A chaque fois qu'un relai de spam est
identifié, l'IP se trouve bloquée. Les attaques en déni de
service en revanche sont très difficiles à enrayer. Il faut
avoir des politiques efficaces au niveau des routeurs. Mais,
quoi qu'il arrive, c'est un problème complexe. Pendant un moment,
l'hypothèse était de bloquer les paquets en provenance d'une
adresse mais celle-ci peut être légitime", souligne Guillaume
Lovet.
Pour faciliter leur éradication, les spécialistes de la sécurité
multiplient les analyses de ces réseaux. Ainsi, selon le directeur
de la sécurité de Microsoft France, Bernard Ourghanlian, la
taille moyenne des réseaux de bots se situent entre 3 000
et 10 000 machines aujourd'hui (lire l'interview
du 15/04/2005). Des chiffres confirmés par Symantec et
par la dernière étude Honeynets.
La méthode utilisée par les professionnels de la sécurité
pour s'infiltrer dans ses réseaux, appelée pot de miel, se
calque sur celles de détection des virus. Elle consiste à
placer un réseau de machines volontairement vulnérable sur
Internet et à se laisser infecter pour découvrir le code source
du virus. Une fois décortiqué, les éditeurs obtiennent les
paramètres nécessaires pour se connecter au réseau de bots.
Les
serveurs IRC réunissent l'ensemble des PC ou serveurs
contaminés |
Aujourd'hui, la forme la plus simple et la plus exploitée
pour mettre les machines en réseau passe par les canaux web
IRC (Internet Relay Chat). L'étude Honeynets souligne les
avantages d'un tel mode d'accès : les serveurs IRC sont librement
disponibles et aisément configurables. Etudiés pendant plusieurs
mois, ces réseaux montrent un certains nombre de points communs.
Tout d'abord, la plupart d'entre eux infectent des postes
sous Windows 2000 ou XP, vulnérables c'est à dire non mis
à jour. Pour ce faire, le bot scanne sur le réseau IRC à la
recherche de postes préalablement infectés par un virus doté
d'une porte dérobée. Les postes infectés communiquent la plupart
du temps par les ports TCP 445, 135 et 139 ainsi que par le
port 137 UDP, pointe l'étude.
Les vulnérabilités les plus couramment exploitées par les
bots pour s'installer et se répandre touche les serveurs Web
(IIS et Apache), la procédure d'appel à distance de Windows
(RPC), SQL server et MySQL, WINS et les portes ouvertes utilisées
par les variantes de Bagle et Mydoom. Pendant quatre mois,
Honeynets a scanné plus de 100 botnets et observé 226 attaques
en déni de service.
Ces méthodes pourraient à l'avenir servir à découvrir et
arrêter les administrateurs de ces réseaux illégaux mais aussi
à prévenir des attaques massives. Reste à harmoniser les juridictions
internationales.
"Les problèmes sont moins techniques que juridiques. Les
serveurs IRC sont facilement identifiables, il suffit de sniffer
le trafic pour remonter la piste. Mais si le serveur en lui-même
se trouve dans un pays difficile d'accès juridiquement, il
faut se mettre en accord avec les pays locaux. C'est un juste
équilibre à trouver entre les moyens à mettre en uvre et
les dégâts infligés", résume Guillaume Lovet.
Les
grandes familles de bots
|
- Agobot
/ Phatbot / Forbot / XtremBot
- SDBot / RBot / Urboot / UrXBot
- DSNX Bots
- Q8 Bots
- Bots basés sur Perl
- Bots basés sur mIRC
|
|