Comment la prochaine génération de botnets exploitera les réseaux anonymes et comment les battre

Les botnets sont des programmes informatiques qui communiquent entre eux via Internet. Certains sont tout à fait bénins, comme ceux qui contrôlent les chats sur Internet. Mais de nombreux botnets sont entièrement malveillants, des programmes qui envoient du spam ou participent à des attaques par déni de service, etc. Ces réseaux sont contrôlés par des criminels individuels qui les utilisent à des fins néfastes telles que générer des revenus illicites ou attaquer d'autres sites Web.





Le travail de recherche et d'arrêt de cette activité criminelle est devenu une entreprise mondiale. La première génération de botnets était relativement simple à arrêter. Puisqu'ils étaient contrôlés par un seul ordinateur quelque part sur le Web, l'astuce consistait à trouver cet ordinateur et à l'éteindre.

C'était simple lorsque les programmes eux-mêmes contenaient les informations nécessaires pour communiquer avec le serveur de commande et de contrôle.

Mais ces dernières années, ce jeu du chat et de la souris est devenu beaucoup plus sophistiqué. Les botnets prennent désormais systématiquement des mesures pour masquer l'emplacement du serveur de commande et de contrôle. Une approche, connue sous le nom de flux rapide, consiste à créer un flux constant d'adresses IP et à en mapper simultanément des centaines ou des milliers à un nom de domaine. Quiconque espérait trouver le serveur de commande et de contrôle devrait rechercher chaque adresse IP avant qu'elle ne change.



Plus récemment, les botnets ont commencé à exploiter le réseau Tor qui est conçu pour permettre aux gens de communiquer anonymement sur Internet. Ceci, combiné à l'avènement de monnaies électroniques intraçables telles que Bitcoin, a conduit à la montée du chantage et des rançongiciels qui ne peuvent pas être retrouvés même après qu'un paiement a été effectué.

Aujourd'hui, Amirali Sanatinia et Guevara Noubir de la Northeastern University de Boston affirment que la prochaine génération de botnets sera probablement encore plus sophistiquée. Ils expliquent comment ils pensent que ces botnets vont évoluer, mais suggèrent également un moyen simple de les neutraliser.

Sanatinia et Noubir affirment que l'anonymat offert par les réseaux de type Tor sera irrésistible pour les maîtres des botnets, de sorte que la plupart des innovations se produiront dans ce domaine. Pour exploiter cet anonymat, ces botnets devront exploiter une technique appelée routage en oignon qui encapsule les messages dans différentes couches de cryptage, comme les couches d'un oignon.



Chaque serveur traversé par le message décrypte une couche de l'oignon révélant sa prochaine destination. Lorsque la couche finale est révélée, le message a atteint sa destination. L'anonymat vient du fait qu'aucun serveur le long de la route ne sait quoi que ce soit du message, sauf sa prochaine destination.

Sanatinia et Noubir pensent clairement que ce niveau d'anonymat sera difficile à résister pour les maîtres des botnets. Par conséquent, ils baptisent la prochaine génération de botnets qui exploiteront cet OnionBots et passent du temps à expliquer exactement comment ils devront travailler pour tirer le meilleur parti du routage en oignon.

Cela ressemble étrangement à un grand pas vers le désastre - le document est un document d'information utile pour quiconque souhaite configurer un OnionBot. Cependant, Sanatinia et Noubir ont également trouvé un moyen de neutraliser ces types d'OnionBots.



L'idée de base est d'injecter dans le réseau des programmes qui s'attachent préférentiellement aux OnionBots. Ils se reproduisent ensuite et entourent efficacement chaque OnionBot afin qu'il ne soit plus connecté à aucune autre partie du réseau. Lorsque cela se produit, l'OnionBot est isolé et neutralisé.

Cela ne veut pas dire qu'il est possible de se protéger complètement contre une attaque d'OnionBots. Mais Sanatinia et Noubir espèrent lancer le travail sur la lutte contre cette nouvelle génération de bots avant même qu'elle ne commence. Il y a encore de nombreux défis qui doivent être relevés de manière préventive par la communauté de la sécurité, nous espérons que ce travail suscitera de nouvelles idées pour concevoir de manière proactive des atténuations contre les nouvelles générations de botnets cryptographiques, disent-ils.

Il peut être risqué de le faire publiquement. D'un autre côté, une approche publique peut puiser dans le bassin le plus large de talents en matière de sécurité. Suggestions sur la façon d'améliorer cette stratégie dans la section des commentaires ci-dessous.



Réf : arxiv.org/abs/1501.03378 : OnionBots : renverser l'infrastructure de confidentialité pour les cyberattaques

cacher