BotNet

02/26/2020 skem Articles 0

Site partenaire de prestation

https://sokem.fr
Botnet
Botnet

Introduction

Ce document explique en profondeur sur le botnet qui a été conçu pour le but bien précis et qui nuit à la sécurité du système information. De nos jours, l’explosion de l’IOT dans notre vie, augmente considérablement le nombre potentiel des machines susceptibles d’être infecter par les botnets.

Les objets connectés ont encore de beaux jours devant eux, ce sont les objets que nous utilisons tous les jours et qui deviennent connectés ou high-techs : Tee-shirt, Montres, Chaussures, Lunettes, etc… Les objets high-techs, aussi appelées intelligents (smart), envahissent nos foyers. Aujourd’hui faisant intégrante de notre vie quotidienne, leur utilité est indiscutable pour le côté pratique, ludique et technologique.

Botnet

Les botnets ont été découverts par le grand public au début des années 2000. Quand un adolescent canadien a lancé une série d’attaques par déni de service contre plusieurs sites Web célèbres. L’adolescent, connu sous le nom de Mafiaboy, a ciblé Yahoo, ETrade, Dell, eBay, Amazon et d’autres sites pendant plusieurs jours, en inondant les sites avec d’énormes quantités de trafic indésirable jusqu’à que leurs services crashent.

Bien que Mafiaboy, dont le vrai nom est Michael Calce, n’a pas utilisé de botnet pour lancer ses attaques, mais c’est semblable au fonctionnement du botnet de nos jours. Suite à cette incident, les experts en sécurité avaient averti que les botnets (un large réseau d’ordinateurs infectés par le même virus) peuvent faire des attaques DDoS et qui représentent une menace majeure pour la stabilité et l’intégrité d’Internet. 

Définition

Un botnet (une contraction de la langue Anglais « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches.

Fonctionnalité

Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s’est étendu aux réseaux de machines zombies, utilisés notamment pour le minage de cryptomonnaies mais aussi des usages malveillants, comme l’envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS).

Aujourd’hui, ce nom est très souvent utilisé pour désigner un réseau de machines zombies, car l’IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l’usage premier de l’IRC.

Les botnets connus dans l’année 2000

Le premier d’entre eux qui fut référencé a été W32/Pretty.worm, appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d’Eggdrop et de GTbot. À l’époque, ils ne furent pas considérés comme très dangereux, et ce n’est qu’à partir de 2002 que plusieurs botnets malveillants (Agobot, SDBot puis SpyBot en 2003) firent parler d’eux et que la menace prit de l’ampleur.

Toute machine connectée à internet est susceptible d’être une cible pour devenir une machine zombie : les machines Windows, qui représentent la majorité des machines contaminées, mais aussi, dans une moindre mesure, les machines Linux, Apple, voire consoles de jeu ou des routeurs.

Motivation des pirates

Plusieurs motivations sont possibles qui peuvent être, économique, idéologique ou personnelle.

Pour l’objectif :

  • Relayer le spam pour du commerce illégal ou pour de la manipulation d’information.
  • Réaliser des opérations d’hameçonnage.
  • Identifier et infecter d’autres machines par diffusion de virus et de programmes malveillants (malware).
  • Participer à des attaques grouper de Deni de service (DDoS).
  • Génération de façon abusif des clics sur un lien publicitaire au sein d’une page Web (Fraude au clic).
  • Capturer de l’information sur les machines compromises (vol puis revente d’information).
  • Exploiter la puissance de calcul des machines ou effectuer des opérations de calcul distribué notamment pour cassage de mot de passe.
  • Voler des sessions utilisateurs par credential stuffing.
  • Mener des opérations de commerce illicite en gérant l’accès à des sites de ventes de produits interdits ou de contrefaçons via des techniques de fast flux, simple ou double-flux ou RockPhish.
  • Miner des cryptomonnaies, telles que le Bitcoin.

Les failles exploitées par les Botnets

Les botnets exploitent les failles via :

  • Un canal de commande et contrôle (C&C).
  • Canaux IRC (le premier historiquement), souvent sur un canal privé via des canaux décentralisés.
  • P2P, pour ne plus dépendre d’un nœud central.
  • HTTP (parfois via des canaux cachés 20), ce qui a pour principal avantage de ne plus exiger de connexion permanente comme pour les canaux IRC ou le P2P mais de se fondre dans le trafic web traditionnel.
  • Fonction du web 2, en faisant une simple recherche sur certains mots-clés afin d’identifier les ordres ou les centres de commandes auxquels le réseau doit se connecter.
  • Il a même été mis en évidence un réseau de botnets utilisant Twitter comme centre de commande et de contrôle.

Son cycle de vie

Un botnet comporte plusieurs phases de vie. Une conception modulaire lui permet de gérer ces phases avec une efficacité redoutable, surtout dès que la machine ciblée est compromise. La phase d’infection est bien évidemment toujours la première, mais l’enchaînement de ces phases n’est pas toujours linéaire, et dépend de la conception du botnet.

Méthode d’infection

C’est logiquement la phase initiale. La contamination passe souvent par l’installation d’un outil logiciel primaire, qui n’est pas forcément l’outil final. Cette contamination de la machine utilise les mécanismes classiques d’infection :

  • Virus, qui peut prendre la forme de logiciel malveillant.
    • Logiciel en pièce-jointe.
    • Cheval de Troie (fichier d’apparence anodine, comme des applications ou des fichiers classiques.
    • Failles de navigateur ou de logiciel.
    • P2P où le code malveillant se fait passer pour un fichier valide.
    • Intentionnel comme les botnets locaux qui multiplie généralement les processus de flood.

Combiné avec une action d’ingénierie sociale pour tromper l’utilisateur.

Une fois installé, cette base logicielle peut déclarer la machine à un centre de contrôle, qui la considération alors comme active. C’est une des clés du concept de botnet. Cette machine infectée peut être contrôler à distance par une ou plusieurs machine tierce. Dans certain cas, d’autres phases sont nécessaires (autoprotection, mise à jour, etc…) pour être opérationnelle.

Comment reconnaître les machines infectées

Vous pouvez reconnaître un ordinateur infecté par un botnet sensiblement de la même façon dont vous pouvez identifier un ordinateur infecté par d’autres types de logiciels malveillants.

Les signes comportent un ordinateur fonctionnant lentement, se comportant bizarrement, donnant des messages d’erreur ou dont le ventilateur se met soudainement en route alors que l’ordinateur est inactif. Tous ces signes sont les symptômes possibles de l’utilisation à distance de votre ordinateur dans le cadre d’un réseau de bots.

Comment retirer le Botnet du système s’il est infecté ?

Pour retirer un PC d’un réseau de botnet, vous devez supprimer le logiciel malveillant qui le contrôle. La meilleure façon de le faire est d’exécuter une analyse antivirus de votre ordinateur. Celle-ci devrait localiser le logiciel malveillant du botnet, puis le supprimer pour vous, une solution facile pour un problème sérieux.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*