Botnet - Définition
La liste des auteurs de cet article est disponible ici.
Dérives et usages malveillants
Les premières dérives sont apparues sur les réseaux IRC : des botnets IRC (Eggdrop en décembre 1993, puis GTbot en avril 1998) furent utilisés lors d'affrontements pour prendre le contrôle du canal.
Aujourd'hui, ce terme est très souvent utilisé pour désigner un réseau de machines zombies, car l'IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l'usage premier de l'IRC. Le premier d'entre eux qui fut référencé a été W32/Pretty.worm, appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d'Eggdrop et de GTbot. A l'époque, ils ne furent pas considérés comme très dangereux, et ce n'est qu'à partir de 2002 que plusieurs botnets malveillants (Agobot, SDBot puis SpyBot en 2003) firent parler d'eux et que la menace prit de l'ampleur.
Toute machine connectée à internet est susceptible d'être une cible pour devenir une machine zombie : des réseaux de botnets ont été découverts sur des machines Windows, Linux, mais également sur des Macintosh, voire consoles de jeu ou des routeurs.
Lutte contre l'action des botnets
La constitution même d'un botnet, formé parfois de très nombreuses machines, rend la traçabilité des actions et des sources délicate. Plus le botnet est grand, plus il devient également difficile de l'enrayer et de l'arrêter puisqu'il faut à la fois stopper la propagation des agents activant le botnet et nettoyer les machines compromises.
Les anciennes générations s'appuyaient souvent sur un centre de contrôle centralisé ou facilement désactivable (adresse IP fixe pouvant être bannie, canal IRC pouvant être fermé, etc). Désormais, le peer-to-peer permet une résilience du système de communication, et les fonctions Web 2.0 détournées rendent l'interception très complexe : le botnet recherche un mot clé sur le web et l'utilise pour déterminer l'emplacement du centre de contrôle auprès duquel il doit recevoir ses ordres.
Détection
- Empreintes
- Observation du trafic
- Analyse de logs
Prévention
- Liste noires
- RBL
- DNSBL
- Listes de Botnet
- Mesures habituelles de protection du réseau (cloisonnement, restrictions, etc)
- Mesures habituelles de protection des machines (anti-virus, HIDS/HIPS, mot de passe, gestion des droits utilisateurs, anti-spam, gestion des mises-à-jour, etc)
Architecture d'un botnet
Mode actuel de communication des botnets
Via un canal de commande et contrôle (C&C)
- Canaux IRC (le premier historiquement), souvent sur un canal privé.
Via des canaux décentralisés
- P2P, pour ne plus dépendre d'un nœud central ;
- HTTP (parfois via des canaux cachés), ce qui a pour principal avantage de ne plus exiger de connexion permanente comme pour les canaux IRC ou le P2P mais de se fondre dans le trafic web traditionnel ;
- Fonctions du Web 2.0, en faisant une simple recherche sur certains mots-clés afin d'identifier les ordres ou les centres de commandes auxquels le réseau doit se connecter.
Cycle de vie
Un botnet comporte plusieurs phases de vie. Une conception modulaire lui permet de gérer ces plusieurs phases avec une efficacité redoutable, surtout dès que la machine ciblée est compromise. La phase d'infection est bien évidemment toujours la première, mais l'enchaînement de ces phases n'est pas toujours linéaire, et dépendent de la conception du botnet.
Infection de la machine
C'est logiquement la phase initiale. La contamination passe souvent par l'installation d'un outil logiciel primaire, qui n'est pas forcément l'outil final. Cette contamination de la machine utilise les mécanismes classiques d'infection :
- Virus, qui peut prendre la forme de :
- Logiciel malveillant en pièce-jointe ;
- Cheval de Troie (fichier d'apparence anodine) ;
- Faille de navigateur ou de logiciel ;
- P2P où le code malveillant se fait passer pour un fichier valide.
- Combiné avec une action d'ingénierie sociale pour tromper l'utilisateur.
Activation
Une fois installée, cette base logicielle peut déclarer la machine à un centre de contrôle, qui la considèrera alors comme active. C'est une des clés du concept de botnet, à savoir que la machine infectée peut désormais être contrôlée à distance par une (ou plusieurs) machine tierce. Dans certains cas, d'autres phases sont nécessaires (auto-protection, mise-à-jour, etc) pour passer en phase opérationnelle.
Mise-à-jour
Une fois la machine infectée et l'activation réalisée, le botnet peut se mettre-à-jour, s'auto-modifier, ajouter des fonctionnalités, etc. Cela a des impacts importants sur la dangerosité du botnet, et sur la capacité des outils de lutte à enrayer celui-ci, car un botnet peut ainsi modifier sa signature virale et d'autres caractéristiques pouvant l'amener à être découvert et identifié.
Auto-protection
D'origine, ou après une phase de mise-à-jour, le botnet va chercher à s'octroyer les moyens de continuer son action ainsi que des moyens de dissimulation. Cela peut comporter :
- Installation de rootkits ;
- Modification du système (changement des règles de filtrage réseau, désactivation d'outils de sécurité, etc) ;
- Auto-modification (pour modifier sa signature) ;
- Exploitation de failles du système hôte, etc.
Propagation
La taille d'un botnet est à la fois gage d'efficacité et de valeur supplémentaire pour les commanditaires et les utilisateurs du botnet. Il est donc fréquent qu'après installation, la machine zombie va chercher à étendre le botnet :
- Par diffusion virale, souvent au cours d'une campagne de spam (liens web, logiciel malveillant en PJ, etc)
- Par scan :
- Pour exploiter des failles qu'il saura reconnaître ;
- Pour utiliser des backdoors connues ou déjà installées ;
- Pour réaliser des attaques par force brute, etc.
Phase opérationnelle
Une fois installé, et déclaré, la machine zombie peut obéir aux ordres qui lui sont donnés pour accomplir les actions voulues par l'attaquant (avec, au besoin, installation d'outils complémentaires via une mise-à-jour distante) :
- Envoi de spam ;
- Attaques réseau ;
- Participation au service de serveur DNS dynamique, ou DDNS (fast flux) ;
- Utilisation des ressources systèmes pour du calcul distribué (cassage de mot de passe), etc
Illustration d'un exemple de botnet
Voici le principe de fonctionnement d'un botnet servant à envoyer du pourriel :
- Le pirate tente de prendre le contrôle de machines distantes, par exemple avec un virus, en exploitant une faille ou en utilisant un cheval de Troie.
- Une fois infectées, les machines vont terminer l'installation ou prendre des ordres auprès d'un centre de commande, contrôlé par le pirate, qui prend donc ainsi la main par rebond sur les machines contaminées (qui deviennent des machines zombies).
- Une personne malveillante loue un service auprès du pirate.
- Le pirate envoie la commande aux machines infectées (ou poste un message à récupérer, selon le mode de communication utilisé). Celles-ci envoient alors des courriers électroniques en masse.
Taille des botnets
Il est extrêmement difficile d'avoir des chiffres fiables et précis, puisque la plupart des botnets ne peuvent être détectés qu'indirectement. Certains organismes comme shadowserver.org tentent d'établir des chiffres à partir de l'activité réseau, de la détection des centres de commandes (C&C), etc.
Nombre de réseaux (botnets)
Au mois de février 2010, on estimait qu'il existait entre 4 000 et 5 000 botnets actifs. Ce chiffre est à considérer comme une fourchette basse, puisque les botnets gagnent en furtivité et que la surveillance de tout le réseau internet est impossible.
Taille d'un réseau
La taille d'un botnet varie mais il devient courant qu'un réseau puisse comprendre des milliers de machines zombies. En 2008, lors de la conférence RSA, le top 10 des réseaux comprenait de 10 000 à 315 000 machines, avec une capacité d'envoi de mail allant de 300 millions à 60 milliards par jour (pour Srizbi, le plus important botnet à cette date).
Fin 2009, MessageLabs donnait le top 10 suivant :
| Nom du botnet | Nombre de machines | Capacité en mails par minute |
|---|---|---|
| Rustock | 540 000 à 810 000 | 14 000 000 |
| Cutwail | 1 100 000 à 1 600 000 | 12 800 000 |
| Bagle | 520 000 à 780 000 | 12 000 000 |
| Bobax | 110 000 à 160 000 | 10 000 000 |
| Grum | 580 000 à 860 000 | 6 800 000 |
| Maazben | 240 000 à 360 000 | 1 500 000 |
| Festi | 140 000 à 220 000 | 900 000 |
| Mega-D | 50 000 à 70 000 | 690 000 |
| Xarvester | 20 000 à 36 000 | 615 000 |
| Gheg | 50 000 à 70 000 | 300 000 |
Nombre total de machines infectées
Dans son rapport de 2009, la société MessageLabs estime également que 5 millions de machines sont compromises dans un réseau de botnets destiné au spam.
