Qu'est-ce qu'un botnet et votre ordinateur en fait-il partie?
Un de mes termes de cybersécurité préférés est “botnet.” Il évoque toutes sortes d'images: des robots interconnectés, des légions d'ouvriers en réseau travaillant simultanément dans le même but. Curieusement, l’image évoquée par le mot est semblable à ce qu’est un botnet - en des termes détournés, du moins.
Les botnets représentent une quantité considérable de puissance de calcul dans le monde entier. Et ce pouvoir est régulièrement (peut-être même systématiquement) la source de logiciels malveillants, de logiciels ransomware, de spam, etc. Mais comment naissent les botnets? Qui les contrôle? Et comment pouvons-nous les arrêter?
Qu'est-ce qu'un botnet??
La définition de botnet SearchSecurity indique que “Un botnet est un ensemble de périphériques connectés à Internet, pouvant inclure des ordinateurs personnels, des serveurs, des périphériques mobiles et des périphériques Internet d'objets infestés infectés et contrôlés par un type de malware commun. Les utilisateurs ignorent souvent qu'un botnet infecte leur système.”
La dernière phrase de la définition est la clé. Les périphériques d'un botnet n'y sont généralement pas disposés. Les appareils infectés par certaines variantes de programmes malveillants sont contrôlés par des acteurs de la menace à distance, les cybercriminels. Le logiciel malveillant masque les activités de réseau de robots malveillants sur le périphérique, ce qui empêche le propriétaire de connaître son rôle sur le réseau. Vous pourriez envoyer des milliers de tablettes d’agrandissement de tablettes offrant des spams par milliers - sans avoir la moindre idée.
En tant que tel, nous faisons souvent référence aux périphériques de botnet infectés. Votre PC est-il un zombie? Et qu'est-ce qu'un ordinateur Zombie? [MakeUseOf explique] Votre PC est-il un zombie? Et qu'est-ce qu'un ordinateur Zombie? [MakeUseOf explique] Vous êtes-vous déjà demandé d'où venait tout le spam Internet? Vous recevez probablement des centaines d'e-mails indésirables filtrés au spam chaque jour. Est-ce que cela signifie qu'il y a des centaines et des milliers de personnes assises… Read More to as “des morts-vivants.”
Que fait un botnet??
Un botnet a plusieurs fonctions communes selon le souhait de l'opérateur de botnet:
- Spam: Envoi de vastes volumes de spam dans le monde entier. Par exemple, la part moyenne des spams dans le trafic mondial de courrier électronique entre janvier et septembre était de 56,69%. Lorsque le cabinet d'études en sécurité FireEye a suspendu temporairement la transition du tristement célèbre réseau de zombies Srizbi après la mise hors service du fameux hébergement McColo, le spam global a chuté de façon considérable (et en fait, lorsqu'il a finalement été désactivé, le spam global a temporairement chuté d'environ 50%).
- Malware: Fournir des logiciels malveillants et des logiciels espions aux ordinateurs vulnérables. Des malfaiteurs achètent et vendent des ressources de botnet pour renforcer leurs entreprises criminelles.
- Les données: Capture de mots de passe et autres informations privées. Cela rejoint ce qui précède.
- Cliquez sur la fraude: Un appareil infecté visite des sites Web pour générer un faux trafic Web et des impressions publicitaires..
- Bitcoin: Les contrôleurs de botnet dirigent les périphériques infectés vers Bitcoin et d’autres monnaies cryptées pour générer des profits en toute tranquillité.
- DDoS: Les opérateurs de botnet dirigent la puissance des périphériques infectés sur des cibles spécifiques, en les mettant hors ligne en cas d'attaques par déni de service distribué..
Les opérateurs de botnet utilisent généralement un certain nombre de ces fonctions pour générer des bénéfices. Par exemple, les opérateurs de réseaux de zombies qui envoient des spams médicaux à des citoyens américains sont également propriétaires des pharmacies d'imitation qui livrent les marchandises. (Oh oui, il y a des produits réels à la fin de l'e-mail. Spam Nation de Brian Krebs est un excellent regard à ce sujet.)
Spam Nation: L'histoire de la cybercriminalité organisée - de l'épidémie mondiale à votre porte Spam Nation: L'histoire de la cybercriminalité organisée - de l'épidémie mondiale à votre porte Acheter maintenant sur Amazon 6,00 $
Les principaux réseaux de zombies ont légèrement changé de direction au cours des dernières années. Alors que les spams médicaux et autres types similaires de spam étaient extrêmement rentables pendant longtemps, la répression exercée par le gouvernement dans plusieurs pays a érodé les bénéfices. Ainsi, le nombre de courriels contenant une pièce jointe malveillante a augmenté pour atteindre un sur 359, selon le rapport du mois de juillet 2017 de Symantec sur les activités de renseignement..
À quoi ressemble un botnet?
Nous savons qu'un botnet est un réseau d'ordinateurs infectés. Cependant, les composants de base et l’architecture réelle du botnet sont intéressants à considérer.
Architecture
Il existe deux architectures de botnet principales:
- Modèle client-serveur: Un botnet client-serveur utilise généralement un client de discussion (anciennement IRC, mais les botnets modernes ont utilisé Telegram et d'autres services de messagerie chiffrés), un domaine ou un site Web pour communiquer avec le réseau. L'opérateur envoie un message au serveur, le relayant aux clients, qui exécutent la commande. Bien que l’infrastructure de botnet soit très simple à complexe, un effort concentré peut désactiver un botnet client-serveur..
- D'égal à égal: Un réseau de zombies peer-to-peer (P2P) tente d'arrêter les programmes de sécurité et les chercheurs identifiant des serveurs C2 spécifiques en créant un réseau décentralisé. Un réseau P2P est plus avancé 10 termes de réseau que vous ne saviez probablement jamais et ce qu'ils signifient 10 termes de réseau que vous ne saviez probablement jamais et ce qu'ils veulent dire ici Nous allons explorer 10 termes de réseau courants, leur signification et les endroits que vous rencontrerez probablement leur. Lire Plus, à certains égards, qu'un modèle client-serveur. En outre, leur architecture diffère de la façon dont la plupart envisagent. Au lieu d'un réseau unique de périphériques infectés interconnectés communiquant via des adresses IP, les opérateurs préfèrent utiliser des périphériques zombies connectés à des nœuds, connectés l'un à l'autre et au serveur de communication principal. L'idée est qu'il y a tout simplement trop de nœuds interconnectés mais séparés pour pouvoir descendre simultanément.
Commander et contrôler
Les protocoles de commandement et de contrôle (parfois écrits C & C ou C2) se présentent sous différentes formes:
- Telnet: Les réseaux de zombies Telnet sont relativement simples: utiliser un script pour analyser les plages IP pour les connexions par défaut telnet et serveur SSH afin d'ajouter des périphériques vulnérables pour ajouter des bots..
- IRC: Les réseaux IRC offrent une méthode de communication à très faible bande passante pour le protocole C2. La possibilité de changer rapidement de canal confère une sécurité supplémentaire aux opérateurs de botnet, mais signifie également que les clients infectés sont facilement coupés du botnet s'ils ne reçoivent pas d'informations de canal mises à jour. Le trafic IRC est relativement facile à examiner et à isoler, ce qui signifie que de nombreux opérateurs se sont éloignés de cette méthode..
- Domaines: Certains grands réseaux de zombies utilisent des domaines plutôt qu'un client de messagerie pour le contrôle. Les périphériques infectés accèdent à un domaine spécifique en servant une liste de commandes de contrôle, ce qui permet facilement des modifications et des mises à jour à la volée. L'inconvénient est l'énorme besoin de bande passante pour les grands réseaux de zombies, ainsi que la facilité relative avec laquelle les domaines de contrôle suspects sont fermés. Certains opérateurs utilisent un hébergement dit blindé pour opérer en dehors de la juridiction de pays où la loi pénale sur Internet est stricte..
- P2P: Un protocole P2P implémente généralement la signature numérique à l'aide d'un cryptage asymétrique (une clé publique et une clé privée). Cela signifie que tant que l'opérateur détient la clé privée, il est extrêmement difficile (pour l’essentiel impossible) pour quiconque de donner des commandes différentes au botnet. De même, l'absence d'un seul serveur C2 défini rend l'attaque et la destruction d'un botnet P2P plus difficiles que ses homologues..
- Autres: Au fil des ans, nous avons vu des opérateurs de réseaux de zombies utiliser des canaux de commande et de contrôle intéressants. On pense immédiatement aux réseaux sociaux, tels que le botnet Android Twitoor, contrôlé via Twitter, ou le Mac.Backdoor.iWorm qui exploitait le subreddit de liste de serveurs Minecraft pour récupérer les adresses IP de son réseau. Instagram n'est pas en sécurité non plus. En 2017, Turla, un groupe de cyberespionnage entretenant des liens étroits avec les services de renseignement russes, utilisait des commentaires sur les photos Instagram de Britney Spears pour enregistrer l'emplacement d'un serveur C2 de diffusion de programmes malveillants..
Des morts-vivants
Les appareils infectés (les zombies) constituent la dernière pièce du puzzle..
Les opérateurs de botnet recherchent et infectent délibérément les périphériques vulnérables pour accroître leur puissance de fonctionnement. Nous avons répertorié les principales utilisations de botnet ci-dessus. Toutes ces fonctions nécessitent de la puissance de calcul. De plus, les opérateurs de réseaux de zombies ne sont pas toujours amis, ils échangent la puissance de leurs machines infectées..
La grande majorité des propriétaires de périphériques zombies ne sont pas conscients de leur rôle dans le botnet. Parfois, cependant, les programmes malveillants de botnet agissent comme un canal pour d’autres variantes de programmes malveillants..
Cette vidéo ESET donne une explication intéressante sur la façon dont les réseaux de zombies se développent:
Types d'appareils
Les appareils en réseau se connectent à un rythme effarant. Et les botnets ne sont pas seulement à la recherche d'un PC ou d'un Mac. Comme vous le lirez plus en détail dans la section suivante, les périphériques de l'Internet des objets sont tout aussi sensibles (sinon plus) aux variantes de programmes malveillants de type botnet. Surtout si elles sont recherchées en raison de leur sécurité effroyable.
Si je dis à mes parents de leur rendre leur nouvelle télévision intelligente qu'ils ont mise en vente parce qu'IOT est extrêmement précaire, est-ce que cela fait de moi une bonne fille ou une mauvaise fille??
J'ai demandé s'il pouvait écouter les commandes vocales, ils ont dit oui; J'ai fait un craquement. Ils ont dit que nous parlerions demain.- Tanya Janca (@shehackspurple) 28 décembre 2017
Les smartphones et les tablettes ne sont pas sécurisés non plus. Android a vu plusieurs réseaux de zombies au cours des dernières années. Android est une cible facile. Comment les logiciels malveillants pénètrent-ils dans votre smartphone? Comment les logiciels malveillants pénètrent-ils dans votre smartphone? Pourquoi les fournisseurs de logiciels malveillants souhaitent-ils infecter votre smartphone avec une application infectée, et comment les logiciels malveillants parviennent-ils dans une application mobile? En savoir plus: Open Source, plusieurs versions de système d'exploitation et de nombreuses vulnérabilités à la fois. Ne vous réjouissez pas si vite, utilisateurs d'iOS. Quelques variantes de programmes malveillants ciblant les appareils mobiles Apple, bien qu’elles soient généralement limitées aux iPhones jailbreakés avec des vulnérabilités de sécurité.
Un routeur vulnérable est un autre routeur cible vulnérable. 10 façons dont votre routeur n'est pas aussi sécurisé que vous le pensez 10 façons dont votre routeur n'est pas aussi sécurisé que vous le pensez Voici 10 façons dont votre routeur pourrait être exploité par des pirates informatiques et des pirates sans fil . Lire la suite . Les routeurs utilisant des microprogrammes anciens et peu sûrs sont des cibles faciles pour les réseaux de zombies, et de nombreux propriétaires ne se rendront pas compte que leur portail Internet est infecté. De même, un nombre tout à fait ahurissant d'internautes ne parvient pas à modifier les paramètres par défaut de leurs routeurs. 3 Mots de passe par défaut à modifier et pourquoi 3 Mots de passe par défaut à modifier et pourquoi Les mots de passe sont peu pratiques, mais nécessaires. De nombreuses personnes ont tendance à éviter les mots de passe dans la mesure du possible et préfèrent utiliser les paramètres par défaut ou le même mot de passe pour tous leurs comptes. Ce comportement peut rendre vos données et… Lire plus après l'installation. À l'instar des appareils IoT, cela permet aux logiciels malveillants de se propager à une vitesse vertigineuse, l'infection de milliers d'appareils rencontrant peu de résistance..
Prendre un botnet
Supprimer un botnet n'est pas une tâche facile pour un certain nombre de raisons. Parfois, l’architecture de botnet permet à un opérateur de reconstruire rapidement. À d'autres moments, le botnet est tout simplement trop grand pour être détruit d'un seul coup. La majorité des mises au rebut de réseaux de robots nécessitent une coordination entre les chercheurs en sécurité, les agences gouvernementales et les autres pirates informatiques, qui s'appuie parfois sur des astuces ou des backdoors inattendus..
Un problème majeur auquel sont confrontés les chercheurs en sécurité est la relative facilité avec laquelle les opérateurs copycat démarrent des opérations utilisant le même malware.
GameOver Zeus
Je vais utiliser le botnet GameOver Zeus (GOZ) comme exemple de retrait. GOZ était l’un des plus gros réseaux de zombies récents, avec plus d’un million de dispositifs infectés à son apogée. L’utilisation principale du botnet était le vol d’argent (distribution du ransomware CryptoLocker: une histoire de ransomware: où il a commencé et où va-t-il. Une histoire de ransomware: où il a été lancé et où il va. originaires de Russie et d’Europe de l’Est avant de devenir une menace de plus en plus puissante. Mais que reste l’avenir pour les ransomwares? En savoir plus) et pour le courrier indésirable et, en utilisant un algorithme sophistiqué de génération de domaine peer-to-peer, semblait imparable.
Un algorithme de génération de domaine permet au botnet de pré-générer de longues listes de domaines à utiliser en tant que “points de rendez-vous” pour le malware botnet. Les points de rendez-vous multiples rendent l’arrêt de la propagation presque impossible, car seuls les opérateurs connaissent la liste des domaines..
En 2014, une équipe de chercheurs en sécurité, travaillant en collaboration avec le FBI et d'autres agences internationales, a finalement forcé GameOver Zeus hors ligne, dans le cadre de l'opération Tovar. Ce n'était pas facile. Après avoir remarqué les séquences d’enregistrement de domaine, l’équipe a enregistré quelque 150 000 domaines au cours des six mois qui ont précédé le début de l’opération. C'était pour bloquer tout futur enregistrement de domaine des opérateurs de botnet.
Ensuite, plusieurs FAI ont confié le contrôle des opérations aux nœuds proxy de GOZ, utilisés par les opérateurs de botnet pour communiquer entre les serveurs de commande et de contrôle et le botnet réel. Elliot Peterson, enquêteur principal du FBI sur l'opération Tovar, a déclaré: “Nous avons pu convaincre les robots que nous étions bons à parler, mais tous les pairs, les mandataires et les supernodes contrôlés par les méchants étaient mauvais à parler et devaient être ignorés.”
Le propriétaire de Botnet, Evgeniy Bogachev (alias en ligne Slavik), s’est rendu compte que le takedown était en place au bout d’une heure et a tenté de riposter quatre ou cinq heures plus tard. “concédant” défaite.
Après coup, les chercheurs ont réussi à déchiffrer le cryptage notoire de CryptoLocker ransomware, en créant des outils de décryptage gratuits pour les victimes. CryptoLocker Is Dead: Voici comment vous pouvez récupérer vos fichiers! CryptoLocker est mort: voici comment récupérer vos fichiers! Lire la suite .
Les botnets IoT sont différents
Les mesures pour combattre GameOver Zeus étaient vastes mais nécessaires. Il montre que la puissance d’un botnet intelligemment conçu exige une approche globale de la réduction, nécessitant “tactiques juridiques et techniques innovantes avec des outils traditionnels d'application de la loi” aussi bien que “De solides relations de travail avec des experts du secteur privé et des homologues des forces de l'ordre dans plus de 10 pays du monde.”
Mais tous les botnets ne sont pas pareils. À la fin d’un réseau de zombies, un autre opérateur apprend de la destruction.
En 2016, le plus gros et le plus méchant botnet était Mirai. Avant de prendre une décision partielle, le botnet Mirai basé sur l’Internet des objets a touché plusieurs cibles importantes Pourquoi votre crypto pièce n’est pas aussi sécurisée que vous le pensez Pourquoi votre crypto pièce n’est pas aussi sécurisée que vous le pensez Bitcoin continue à atteindre de nouveaux sommets. Le nouveau venu sur la crypto-monnaie Ethereum menace d'exploser dans sa propre bulle. L'intérêt pour la blockchain, l'exploitation minière et la crypto-monnaie est à son plus haut niveau. Alors, pourquoi les amateurs de crypto-monnaie sont-ils menacés? Lisez plus avec des attaques DDoS stupéfiantes. Une de ces attaques a atteint 620 Gbps sur le blog du chercheur en sécurité Brian Krebs, forçant finalement la protection contre les attaques DDoS de Krebs à le laisser tomber en tant que client. Dans les jours qui ont suivi, une autre attaque a frappé le fournisseur français d’hébergement en cloud, OVH, avec 1,2 To / s dans la plus grande attaque jamais enregistrée. L'image ci-dessous illustre le nombre de pays touchés par Mirai.
Même si Mirai n’était pas proche du plus grand botnet jamais vu, il produisait les plus grandes attaques. Mirai a utilisé de manière dévastatrice des bandes d'appareils IoT ridiculement insécurisés. Votre maison intelligente est-elle menacée par les vulnérabilités de l'Internet des objets? Votre maison intelligente est-elle menacée par les vulnérabilités de l'Internet des objets? L'Internet des objets est-il sécurisé? Vous l'espériez, mais une étude récente a montré que les problèmes de sécurité soulevés il y a plusieurs années n'avaient pas encore été résolus. Votre maison intelligente pourrait être en danger. En savoir plus, en utilisant une liste de 62 mots de passe par défaut non sécurisés pour collecter des périphériques (admin / admin était en haut de la liste, voir figure).
Marcus Hutchins (alias MalwareTech), chercheur en sécurité, explique que la puissance massive de Mirai s'explique en partie par le fait que la majorité des appareils IoT restent là sans rien faire jusqu'à ce qu'ils soient sollicités. Cela signifie qu'ils sont presque toujours en ligne et qu'ils ont presque toujours des ressources réseau à partager. Un opérateur de botnet traditionnel analyserait ses pics de puissance et ses attaques temporelles en conséquence. IoT botnets, pas tellement.
Ainsi, à mesure que des appareils IoT mal configurés sont mis en ligne, les chances d’exploitation augmentent..
Rester en sécurité
Nous avons appris ce que fait un botnet, comment il se développe et plus encore. Mais comment empêchez-vous que votre appareil en fasse partie? La première réponse est simple: mettez à jour votre système. Comment réparer Windows 10: FAQ du débutant Comment réparer Windows 10: FAQ du débutant Vous avez besoin d'aide avec Windows 10? Nous répondons aux questions les plus fréquemment posées sur l’utilisation et la configuration de Windows 10. En savoir plus. Des mises à jour régulières corrigent des failles vulnérables dans votre système d'exploitation, ce qui réduit les possibilités d'exploitation..
Le second est le téléchargement et la mise à jour d’un programme antivirus et d’un programme anti-programme malveillant. Il existe de nombreuses suites antivirus gratuites offrant une excellente protection contre les impacts. Investissez dans un programme anti-programme malveillant, tel que Malwarebytes. Guide de suppression complète des logiciels malveillants Guide de suppression complète des logiciels malveillants Les logiciels malveillants sont omniprésents de nos jours et éradiquer les logiciels malveillants de votre système est un processus fastidieux qui nécessite des instructions. Si vous pensez que votre ordinateur est infecté, c’est le guide dont vous avez besoin. Lire la suite . Un abonnement Malwarebytes Premium vous coûtera 24,95 $ pour l'année, vous offrant une protection contre les logiciels malveillants en temps réel. Vaut bien l'investissement, à mon avis.
Enfin, procurez-vous une sécurité supplémentaire pour votre navigateur. Les kits d'exploitations au volant sont une nuisance, mais ils sont facilement évitables lorsque vous utilisez une extension de blocage de script telle que uBlock Origin.
Votre ordinateur faisait-il partie d'un botnet? Comment as-tu réalisé? Avez-vous découvert quelle infection utilisait votre appareil? Faites-nous savoir vos expériences ci-dessous!
Explorer plus sur: Botnet, Computer Security.