Élever un botnet en captivité

Pour attraper un criminel, il faut parfois penser comme tel.





Ainsi, les chercheurs à la recherche de cyber-escrocs qui utilisent des armées d'ordinateurs infectés, connus sous le nom de botnets, pour envoyer des courriers indésirables ou pour attaquer des sites Web créent leurs propres botnets. Heureusement, la nouvelle approche est testée à l'aide d'un cluster informatique de grande puissance qui est isolé en toute sécurité d'Internet.

Nous avons mis en place ce que nous pensions être le plus proche d'un botnet dans la nature, explique Pierre-Marc Bureau, chercheur au sein d'une entreprise de sécurité informatique. CAS , dans le cadre du projet mené par une équipe de l'École Polytechnique de Montréal avec des collaborateurs de l'Université de Nancy, France, et de l'Université Carlton, Canada. À notre connaissance, c'est la première expérience réaliste de ce genre, dit-il.

Plus de 3 000 copies de Windows XP ont été installées sur un cluster de 98 serveurs à l'Ecole Polytechnique. Chaque système informatique virtuel était enveloppé dans un logiciel qui le reliait aux autres comme s'il s'agissait d'un ordinateur individuel connecté à Internet ou à un réseau local. Chaque système a également été infecté par le ver Waledac, un logiciel désormais bien compris et largement vaincu qui, début 2010, était estimé par Microsoft à contrôler des centaines de milliers d'ordinateurs et à envoyer 1,5 milliard de messages de spam par jour.



L'équipe a imité la structure de contrôle nécessaire pour prendre en charge un botnet Waledac, dans lequel un serveur central de commande et de contrôle envoie des ordres à une poignée de bots qui diffusent ensuite ces instructions à d'autres machines.

Ces dernières années, les chercheurs ont développé des techniques pour espionner les communications en direct des botnets et même pour injecter des messages dans ces communications. Construire un botnet complet dans un environnement expérimental permet cependant beaucoup plus de liberté, déclare Bureau. Lorsque vous expérimentez sur un botnet en direct, vous pouvez provoquer une mauvaise réaction de son propriétaire qui nuit aux machines infectées, explique-t-il, et vous contrôlez également potentiellement les machines d'utilisateurs innocents, ce qui pose des problèmes éthiques et juridiques.

Avoir leur propre botnet a également donné aux chercheurs le luxe de pouvoir l'observer de l'intérieur et de l'extérieur pendant qu'il fonctionnait normalement ou était attaqué par quelqu'un essayant de désactiver le réseau, et également d'effectuer plusieurs essais qui ont donné des résultats statistiquement significatifs.



C'était, selon Bureau, un défi de convaincre le propriétaire d'un cluster d'une valeur d'environ 1 million de dollars que l'installation de logiciels malveillants sur celui-ci était une bonne idée.

Afin d'être autorisés à mener cette expérience, nous avons dû prendre de sérieuses précautions pour nous assurer qu'elle ne fuirait jamais, explique Bureau. De nombreux autres ordinateurs de l'université hôte exécutaient sans aucun doute des versions de Windows très similaires à celles utilisées dans l'expérience. Le cluster était physiquement déconnecté du réseau plus large et tout devait y être chargé à l'aide de DVD plutôt qu'en se connectant à un autre ordinateur, même pour une courte période.

L'un des résultats des expériences a été un aperçu des défis liés à la gestion d'un botnet, explique Bureau. Les experts avaient remarqué que le cryptage utilisé pour sécuriser les messages entre les robots individuels et le serveur de commande et de contrôle était faible et supposaient que ses concepteurs étaient de mauvais codeurs. En fait, il s'agissait probablement d'une décision de conception intentionnelle, dit Bureau. Nous avons trouvé notre serveur de commande et de contrôle rapidement submergé par la charge de la cryptographie. Nous avons compris qu'ils avaient pris certaines décisions en raison des exigences élevées d'un grand botnet.



L'équipe a également essayé une attaque Sybil, qui consiste à ajouter de faux robots au réseau pour influencer son comportement. Des expériences ont montré que cette approche pouvait empêcher le botnet d'envoyer du spam.

bois de Thorsten , qui dirige des recherches sur les botnets et les logiciels malveillants à l'Université de la Ruhr à Bochum, en Allemagne, convient qu'un botnet captif est un outil de recherche utile. C'est un environnement contrôlé où vous pouvez tout faire, dit-il.

Holz faisait partie d'une équipe qui a injecté des messages dans le réseau de contrôle du ver Storm, un prédécesseur répandu de Waledac, pour étudier son comportement. L'interprétation des résultats a été compliquée par le fait que des groupes de Georgia Tech et de l'Université de Californie à San Diego faisaient la même chose. Nous voyions tous apparaître des messages qui avaient été injectés par les autres groupes de recherche, dit Holz. C'est devenu un terrain de jeu pour les stratégies d'injection, et cela a compliqué nos résultats.



Un botnet captif ne sera jamais exactement comme un botnet en liberté, dit Holz. L'inconvénient est que vous ne pouvez pas tout imiter, dit-il. Un botnet Waledac typique contiendrait 50 000 à 100 000 ordinateurs infectés, contre 3 000 dans l'expérience. Le comportement d'un véritable botnet serait également façonné par les modèles de trafic sur Internet provenant d'autres sources, ce qui n'est pas capturé par la simulation.

Bureau dit qu'il espère voir et faire plus d'expériences de ce type, par exemple, pour révéler le fonctionnement de logiciels malveillants moins bien compris. Maintenant que nous avons prouvé que c'est possible pour la première fois, j'espère voir les ressources informatiques disponibles pour en faire plus.

cacher