Complexité de la lutte contre les réseaux de zombies p2p

Les experts en sécurité des réseaux et les autorités judiciaires et policières ont remporté plusieurs victoires contre des réseaux de zombies à infrastructure centralisée, à savoir les réseaux qui utilisent un centre de commande pour communiquer avec les bots, voler les données des utilisateurs et transmettre des commandes. La mise hors service d’un réseau de zombies P2P est bien plus complexe, comme le confirme une nouvelle enquête.

Un groupe de spécialistes de l’Institut allemand d’étude des problèmes de sécurité sur Internet, de l’Université libre d’Amsterdam et des sociétés américaines Dell Secure Works et Crowdstrike ont étudié l’évolution des réseaux de zombies P2P et ont évalué leurs capacités de résistance. L’infrastructure de la première génération de ces réseaux de zombies, comme Waledac et Storm, était, selon ces spécialistes, loin d’être parfaite et relativement vulnérable. Les descendants, développés sur la base de Sality ou de modifications p2p de ZeuS, sont bien plus résistants aux technologies de sinkholing (réorientation du trafic vers une destination à des fins d’analyse), d’injections étrangères et d’autres méthodes connues depuis longtemps pour prendre les commandes.

Certains réseaux de zombies dotés d’une infrastructure P2P plus développée ont survécu à plusieurs tentatives de renversement. Pour illustrer cette vitalité, prenons le cas de Kelihos qui est en réalité Hlux. A l’instar de nombreux autres bots, ce programme malveillant vise principalement à diffuser du courrier indésirable. Toutefois, au fil de son évolution, il a appris à voler tout ce qui pouvait représenter de l’intérêt pour un cybercriminel : depuis les identifiants personnels jusqu’à des porte-monnaies Bitcoin. Une tentative de neutralisation d’une des versions du réseau de zombies Kelihos a été présentée en direct récemment par Tillmann Werner qui a capté l’attention de tous les délégués d’une conférence RSA.

Les experts précisent dans le rapport que « de nombreux réseaux de zombies p2p sont bien plus résistants aux tentatives de liquidation que les réseaux de zombies à administration centralisée car ils ne possèdent pas de points de défaillances isolés. »

Dans les réseaux de zombies p2p, les bots communiquent entre eux et non pas avec un serveur principal. Il n’est pas rare de voir dans ces réseaux de zombies des protocoles de transfert de données personnalisés et l’analyse de ce trafic requiert une clé de décryptage. D’après les experts, les tentatives de décompte du nombre d’ordinateurs appartenant à un réseau de zombies p2p ont échoué dans la majorité des cas. Dans le cadre de l’étude, les experts ont créé un modèle capable de déjouer la protection contre l’analyse du code malveillant, contre le sinkholing et contre la segmentation du réseau en tronçons inutiles.  

Pour définir la taille des réseaux de zombies de contrôle, les chercheurs ont lancé des robots de recherche et ont introduit des capteurs spéciaux dans les réseaux. Il se fait que certains de ces réseaux de zombies comptent plus d’un million d’ordinateurs infectés. Ceci étant dit, il se peut que ces chiffres soient encore trop modestes : les robots ne parviennent pas à voir ce qu’il y a derrière les pare-feu et les serveurs proxy.

D’après les résultats de l’étude, les réseaux de zombies qui bénéficient de la plus grande protection sont ceux qui reposent sur Sality et des modifications p2p de ZeuS. La robustesse de Sality est imputable à un système d’évaluation de la réputation des pairs. ZeuS, quant à lui, utilise des listes noires des serveurs de sinkhole. Les autres réseaux de zombies utilisent à cette fin des canaux de commande de réserve, la technologie de modification dynamique des enregistrements des adresses IP (fast flux) et des algorithmes DGA. Ces derniers sont utilisés par les gestionnaires de bot TDSS/TDL-4 et, depuis peu, par Pushdo.

Kelihos est le plus vulnérable à la technique du sinkhole. En guise de canal de communication de secours, les bots utilisent des domaines de fast flux  et dans chaque version du bot, on trouve un domaine de réserve codé en dur. Les chercheurs ont découvert qu’il est facile de modifier les listes de pairs sur les bots en diffusant l’adresse du sinkhole sur le réseau de zombies. « Dans la mesure où le réseau de zombies bâti sur Kelihos v3 utilise un protocole et une architecture p2p, les attaques déjà connues pour les versions 1 et 2 à l’aide d’un sinkhole ont toujours toutes les chances de réussir » affirment les experts.

Le modèle de Sality basé sur la réputation permet de maintenir le réseau de zombies. Pour pouvoir mener sa mission à bien, le serveur sinkhole doit se bâtir une réputation parfaite dans le réseau de zombies. Sality ne possède pas de centres de commande de secours. Pour la restauration, il utilise des fichiers malveillants téléchargés au préalable.

ZeroAccess actualise presque chaque seconde la liste de pairs, les compare à la liste précédente et conserve les 256 adresses les plus récentes. Afin de préserver l’actualité des adresses de sinkhole, les chercheurs doivent littéralement inondé le réseau de zombies avec leurs diffusions. A l’instar de Sality, ZeroAccess peut rétablir son état à l’aide de plug-ins téléchargés au préalable.

« Il est possible d’isoler les bots en leur envoyant une liste de pairs avec de faux enregistrements et des balises d’horodatage récentes. Deux versions de ZeroAccess utilisent différents protocoles d’échange de listes de pairs » selon les explications des experts. « La version 1 change les listes uniquement à la demande. La prise de contrôle des pairs dans un tel réseau de zombies requiert l’envoi d’une fausse liste du sinkhole à chaque requête. »

S’agissant de la version p2p de ZeuS, elle peut être neutralisée en attaquant les nœuds de travail qui n’ont pas de connexion directe à Internet. « Il est possible de lui fournir des listes de pairs dont l’aspect change en ajoutant l’adresse IP du sinkhole.

Le rapport affirme que « Bien que notre étude a démontré que certains réseaux de zombies p2p sont dotés d’une très grande robustesse, nous avons également vu que tous les réseaux de zombies p2p réels peuvent être neutralisés à l’aide d’une des méthodes citées dans notre modèle. Ceci étant, l’application des techniques existantes d’interception aux nouveaux réseaux de zombies p2p est loin d’être aisée. Elle requiert avant tout une solide connaissance du protocole du centre de commande utilisé dans chaque réseau. De plus, une attaque contre un réseau de zombies comptant des millions de pairs requiert des ressources importantes qui devront être recrutées pour un long moment. Nous sommes convaincus qu’il est temps de trouver des méthodes alternatives de lutte contre les réseaux de zombies p2p « .

Pour conclure, nous aimerions citer un autre chiffre. D’après les statistiques de Damballa, le nombre de bots sur l’ensemble des réseaux p2p a été multiplié par 5 en un an. La population la plus importante se trouve parmi les réseaux de zombies développés sur la base de ZeroAccess.

Source : https://media.kasperskycontenthub.com/wp-content/uploads/sites/64/2013/06/21090328/p2pwned-ieee2013.pdf

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *