Présentation

Article

1 - BOTNET : LA MENACE

2 - FONCTIONNEMENT D'UN BOTNET

3 - ÉVOLUTION DES CANAUX DE CONTRÔLE

4 - ANALYSE DE MALWARE « FOR DUMMIES »

5 - COMMENT SE PROTÉGER ?

6 - CONFICKER : UN APERÇU DU FUTUR ?

7 - CONCLUSIONS

8 - ANNEXE 1 : LES TECHNOLOGIES FAST FLUX

9 - ANNEXE 2 : QUAND LA BBC ACHÈTE UN BOTNET

| Réf : H5335 v1

Analyse de malware « for dummies »
Botnets, la menace invisible

Auteur(s) : Franck VEYSSET, Laurent BUTTI

Date de publication : 10 oct. 2009

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

Le monde de la sécurité Internet est un domaine en constante évolution. Les menaces évoluent, changent : DOS et DDOS (déni de service), spam et phishing, compromission de systèmes, défiguration de sites web, ver et virus... Parmi les dangers en forte progression, les botnets (roBOT NETwork) tiennent une place d’honneur. Les pirates ont en effet compris que les PC des utilisateurs constituent des ressources anonymes et gratuites leur permettant de commettre leurs méfaits. Ainsi, les PC d’utilisateurs lambda sont attaqués, compromis, puis infectés par des programmes qui permettent aux pirates d’en prendre le contrôle total en toute discrétion. Ces ordinateurs, transformés en zombies à la merci des pirates, forment un botnet, réseau de machines compromises qui obéissent au « Botnet Master », chef d’orchestre du réseau. Afin de rendre ces réseaux les plus résilients et furtifs possibles, les protocoles de communications entre zombies et botnet master sont aussi en perpétuelle évolution.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Internet security is a constantly evolving domain. Threats continuously evolve: DOS and DDOS (Denial of Service), Spam and Phishing, System compromising, Web defacement, worms and viruses etc. Amongst them, Botnets have known a significant expansion. Hackers have understood that the of the end-users’ PCs are free and anonymous resources which allow them to perpetrate wrongdoings. The PCs of legitimate users are thus attacked, compromised and finally infected by specific programs which allow hackers to take full control over them. These compromised systems, called Zombis, form a Botnet (roBOT NETwork), which are under the full control of the botmaster. Various protocols (including IRC, DNS, P2P, etc.) can be used between botmasters and zombies in order to increase the resilience and stealthiness of these botnets. This article invites the reader to deepen their knowledge of the Botnet world.

Auteur(s)

INTRODUCTION

En quelques années, le nombre de systèmes connectés à lnternet a véritablement explosé. L'arrivée des connexions « toujours actives », de type xDSL ou câble, et la faible sécurisation des machines des particuliers a apporté son lot de nouvelles menaces, parmi lesquelles les machines « zombies ». Ces machines, infectées et télépilotées, sont réunies dans des réseaux mondiaux – les « botnets » – pour être ensuite contrôlées par des individus peu scrupuleux, à la recherche de profit sur Internet, utilisant ces énormes ressources pour s'adonner au spam, phishing, attaques de déni de service et bien d'autres...

Qu'est-ce qu'un botnet ?

Selon Wikipédia, les botnets ou ordinateurs « zombies » forment des réseaux de PC infectés par des virus informatiques ou par des chevaux de Troie, contrôlés via Internet le plus souvent à des fins malveillantes.

Le terme « botnet » est l'abréviation anglaise de roBOT NETwork, ou réseau de machines « robots ».

En plus de servir à paralyser le trafic (attaque par déni de service aussi appelé DDoS), de moteur à la diffusion de spam, les botnets peuvent également être utilisés pour commettre des délits comme le vol de données bancaires et identitaires à grande échelle. Les botnets sont parfois loués à des tiers peu scrupuleux.

Selon Symantec, fin 2004, le parc le plus important de PC contaminés se trouve au Royaume-Uni (avec 25,2 % des machines). Les États-Unis décrochent la deuxième place avec 24,6 %. Ils sont suivis respectivement par la Chine (7,8 %), le Canada (4,9 %) et l'Espagne (3,8 %). La France est au sixième rang avec 3,6 % d'ordinateurs victimes d'une prise de contrôle sauvage à distance.

Selon Sophos, début 2005, la première place est attribuée aux États-Unis (35,7 % de pourriels détectés), suivis de la Corée du Sud et de la Chine, puis de la France avec 3,19 %.

Selon Sophos, début 2007, la première place est toujours attribuée aux États-Unis avec 22 %. La deuxième place est cette fois-ci prise par la Chine (incluant Hong Kong) avec 15,9 %, puis par la Corée du Sud avec 7,4 %. La France est toujours quatrième de ce palmarès avec 5,4 %, suivie de près par l'Espagne avec 5,1 % des pourriels détectés.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5335


Cet article fait partie de l’offre

Sécurité et gestion des risques

(476 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

4. Analyse de malware « for dummies »

Les analystes de malwares ont la tâche ardue du fait du nombre sans cesse croissant de malwares qui se propagent sur Internet. Parmi ceux-ci, les bots sont très bien représentés ! Des outils sont nécessaires pour automatiser au mieux l'analyse des malwares afin d'identifier certains comportements suspicieux ou certaines souches de malwares.

Nous proposons dans ce chapitre de présenter deux techniques disponibles au grand public pour réaliser des analyses simples d'exécutables suspicieux récupérés sur Internet. Bien que cela soit souvent réalisé à des fins de recherche sur les malwares et autres botnets, cela peut tout de même se révéler utile dans certains cas pour des utilisateurs « normaux ».

Une première méthode – plutôt simple – est de réaliser une analyse par une batterie d'antivirus disponible et d'en récupérer les résultats. Un service gratuit et en ligne est fourni par la société VirusTotal. Cela est bien utile pour identifier des binaires suspects. Il ne faut surtout pas oublier qu'un antivirus est très facilement contournable par tout un ensemble de techniques (obfuscation, chiffrement, polymorphisme...) mais qu'il reste tout de même utile pour identifier des signatures de logiciels malveillants bien connus.

Une deuxième méthode – plus compliquée – est de réaliser une analyse dynamique en se reposant sur des « sandbox » publiques qui auront pour tâche de tracer le comportement de l'exécutable suspect et de résumer son comportement sur des aspects critiques (lecture/écriture dans la base de registre, lancement de processus, activité réseau...).

Pour exemple, nous avons donc utilisé ces techniques sur des binaires qui ont été récupérés sur des pots de miel ayant simulé une compromission au point de récupérer le binaire malveillant. À noter que ces binaires datent d'environ deux ans et sont donc représentatifs de l'activité botnet de l'époque.

Grâce à la figure 14, nous constatons que malgré l'ancienneté du malware, le taux de détection par les différents antivirus disponibles dans VirusTotal n'atteint pas 100 %. Cela prouve encore une fois que les antivirus sont très perfectibles...

La figure 15 présente les types de rapport d'analyse disponibles grâce à la sandbox Anubis, comme les rapports en HTML ou PDF et une trace de...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité et gestion des risques

(476 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Analyse de malware « for dummies »
Sommaire
Sommaire

    DANS NOS BASES DOCUMENTAIRES

    1 Sites Internet

    Shadowserver Foundation, une équipe de chercheurs observant les activités illicites sur l'internet http://www.shadowserver.org

    Secure Works – Étude sur les relations entre les Botnets et le SPAM http://www.secureworks.com/research/threats/topBotnets/

    [Storm Worm]

    Peacomm.C – Cracking the nutshell http://www.reconstructer.org/papers.html

    Wikipedia – Overnet http://en.wikipedia.org/wiki/Overnet

    Wikipedia – Kademlia http://en.wikipedia.org/wiki/Kademlia https://fr.wikipedia.org/wiki/Kademlia

    Botnet communication over Twitter, Reddit, social web http://compsci.ca/blog/botnet-communication-over-twitter-reddit-social-web/

    Pirated Windows 7 OS Comes With Trojan, Builds A Botnet http://www.darkreading.com/security/client/showArticle.jhtml;jsessionid=IKOBTRQ3ISVXIQSNDLRSKH0CJUNN2JVN?articleID=217400548

    Anubis : Analyzing Unknown Binaries http://anubis.iseclab.org/

    Bypassing Browser Memory Protections http://www.phreedom.org/research/bypassing-browser-memory-protections/bypassing-browser-memory-protections.pdf

    http://pax.grsecurity.net

    http://www.generation-nt.com/bbc-achat-botnet-experience-spam-ddos-actualite-247511.html...

    Cet article est réservé aux abonnés.
    Il vous reste 92% à découvrir.

    Pour explorer cet article
    Téléchargez l'extrait gratuit

    Vous êtes déjà abonné ?Connectez-vous !


    L'expertise technique et scientifique de référence

    La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
    + de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
    De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

    Cet article fait partie de l’offre

    Sécurité et gestion des risques

    (476 articles en ce moment)

    Cette offre vous donne accès à :

    Une base complète d’articles

    Actualisée et enrichie d’articles validés par nos comités scientifiques

    Des services

    Un ensemble d'outils exclusifs en complément des ressources

    Un Parcours Pratique

    Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

    Doc & Quiz

    Des articles interactifs avec des quiz, pour une lecture constructive

    ABONNEZ-VOUS