L'un de mes termes préférés en matière de cybersécurité est «botnet». Il évoque toutes sortes d'images: des robots interconnectés, des légions de travailleurs en réseau alimentant simultanément un seul objectif. Curieusement, l'image que le mot évoque est similaire à celle d'un botnet - du moins en termes de rond-point.
Botnets représentent une quantité importante de puissance de calcul dans le monde entier. Et cette puissance est régulièrement (peut-être même régulièrement) la source de logiciels malveillants, ransomware, spam, et plus encore. Mais comment les botnets apparaissent-ils? Qui les contrôle? Et comment pouvons-nous les arrêter?
Qu'est-ce qu'un botnet?
La définition du botnet SearchSecurity stipule qu '«un botnet est une collection d'appareils connectés à Internet, qui peuvent inclure des PC, des serveurs, des appareils mobiles et des appareils connectés à Internet, qui sont infectés et contrôlés par un type commun de logiciels malveillants. Les utilisateurs ignorent souvent qu'un botnet infecte leur système. "
La dernière phrase de la définition est la clé. Les appareils dans un botnet ne sont généralement pas là volontairement. Les appareils infectés par certaines variantes de logiciels malveillants sont contrôlés par des acteurs de la menace à distance, appelés cybercriminels. Le logiciel malveillant masque les activités malveillantes des réseaux de zombies sur l'appareil, ce qui empêche le propriétaire de connaître son rôle dans le réseau. Vous pourriez envoyer des spams offrant des comprimés d'agrandissement de l'appendice par milliers - sans un soupçon.
En tant que tel, nous nous référons souvent à des dispositifs de botnet infectés est votre PC A Zombie? Et qu'est-ce qu'un ordinateur Zombie, de toute façon? [MakeUseOf explique] Votre PC est-il un zombie? Et qu'est-ce qu'un ordinateur Zombie, de toute façon? [MakeUseOf Explains] Vous êtes-vous déjà demandé d'où venait tout le spam Internet? Vous recevez probablement des centaines d'emails indésirables filtrés par spam tous les jours. Est-ce que cela signifie qu'il ya des centaines et des milliers de personnes là-bas, assis ... Lire la suite à comme "zombies".
Que fait un botnet?
Un botnet a plusieurs fonctions communes selon le désir de l'opérateur botnet:
- Spam: Envoi de vastes volumes de spam dans le monde entier. Par exemple, la part moyenne des pourriels dans le trafic de courrier électronique mondial entre janvier et septembre était de 56, 69%. Lorsque la firme de recherche en sécurité FireEye a interrompu temporairement la transition du fameux botnet Srizbi après la mise hors ligne de l'infâme hébergement McColo, les spams mondiaux ont chuté (et en fait, le spam mondial a baissé d'environ 50%).
- Malware: Fournir des logiciels malveillants et des logiciels espions aux machines vulnérables. Les ressources de botnet sont achetées et vendues par des malfaiteurs pour favoriser leurs entreprises criminelles.
- Données: Capture de mots de passe et d'autres informations privées. Ceci est lié à ce qui précède.
- Fraude par clic: un appareil infecté visite des sites Web pour générer un trafic Web et des impressions publicitaires erronés.
- Bitcoin: les contrôleurs Botnet dirigent les périphériques infectés vers Bitcoin et d'autres crypto-monnaies pour générer des profits tranquillement.
- DDoS: les opérateurs de botnet dirigent la puissance des périphériques infectés sur des cibles spécifiques, les mettant hors ligne dans des attaques de déni de service distribué.
Les opérateurs de botnet transforment généralement leurs réseaux en un certain nombre de ces fonctions pour générer des profits. Par exemple, les opérateurs de botnet qui envoient des spams médicaux à des citoyens américains possèdent également les pharmacies knock-off qui livrent les marchandises. (Oh oui, il y a des produits réels à la fin de l'email.) La Spam Nation de Brian Krebs est un excellent aperçu de cela.)
Spam Nation: L'histoire intérieure de la cybercriminalité organisée - de l'épidémie mondiale à votre porte d'entrée Spam Nation: L'histoire intérieure de la cybercriminalité organisée - de l'épidémie mondiale à votre porte d'entrée Acheter maintenant sur Amazon $ 9.31
Les principaux botnets ont légèrement changé de direction au cours des dernières années. Alors que les spams médicaux et autres types de spam étaient extrêmement rentables depuis longtemps, la répression gouvernementale dans plusieurs pays a érodé les profits. En conséquence, le nombre de courriels portant une pièce jointe malveillante a atteint un sur 359, selon le rapport de juillet 2017 de Symantec.
À quoi ressemble un botnet?
Nous savons qu'un botnet est un réseau d'ordinateurs infectés. Cependant, les composants principaux et l'architecture de botnet réelle sont intéressants à considérer.
Architecture
Il existe deux architectures de botnet principales:
- Modèle client-serveur: un botnet client-serveur utilise généralement un client de chat (anciennement IRC, mais les botnets modernes ont utilisé Telegram et d'autres services de messagerie cryptés), un domaine ou un site Web pour communiquer avec le réseau. L'opérateur envoie un message au serveur, le relayant aux clients qui exécutent la commande. Bien que l'infrastructure du botnet diffère de base à très complexe, un effort concentré peut désactiver un botnet client-serveur.
- Peer-to-Peer: Un botnet peer-to-peer (P2P) tente d'arrêter les programmes de sécurité et les chercheurs qui identifient des serveurs C2 spécifiques en créant un réseau décentralisé. Un réseau P2P est plus avancé 10 Termes de réseautage que vous ne connaissez probablement jamais, et ce qu'ils signifient 10 Termes de réseautage que vous n'avez probablement jamais connus et ce qu'ils signifient Nous explorerons 10 termes de réseautage communs, ce qu'ils signifient et où vous risquez de rencontrer leur. En savoir plus, à certains égards, qu'un modèle client-serveur. En outre, leur architecture diffère de la façon dont la plupart envisagent. Au lieu d'un seul réseau de dispositifs infectés interconnectés communiquant via des adresses IP, les opérateurs préfèrent utiliser des dispositifs zombies connectés à des nœuds, à leur tour, connectés les uns aux autres et au serveur de communication principal. L'idée est qu'il y a simplement trop de nœuds interconnectés mais séparés à démonter simultanément.
Commander et contrôler
Les protocoles de commandement et de contrôle (parfois écrits C & C ou C2) se présentent sous différentes formes:
- Telnet: Les réseaux de zombies Telnet sont relativement simples, utilisant un script pour analyser les plages d'adresses IP pour les connexions de serveur Telnet et SSH par défaut afin d'ajouter des périphériques vulnérables pour ajouter des bots.
- IRC: Les réseaux IRC offrent une méthode de communication à très faible bande passante pour le protocole C2. La possibilité de changer rapidement de canal confère une sécurité supplémentaire aux opérateurs de botnets, mais cela signifie également que les clients infectés sont facilement coupés du botnet s'ils ne reçoivent pas les informations de canal mises à jour. Le trafic IRC est relativement facile à examiner et à isoler, ce qui signifie que de nombreux opérateurs se sont éloignés de cette méthode.
- Domaines: certains grands botnets utilisent des domaines plutôt qu'un client de messagerie pour le contrôle. Les périphériques infectés accèdent à un domaine spécifique servant une liste de commandes de contrôle, permettant facilement les changements et les mises à jour à la volée. L'inconvénient est l'énorme besoin en bande passante pour les grands botnets, ainsi que la facilité relative avec laquelle les domaines de contrôle suspectés sont fermés. Certains opérateurs utilisent des systèmes d'hébergement à l'épreuve des balles pour opérer en dehors de la juridiction des pays dotés d'une législation pénale Internet stricte.
- P2P: Un protocole P2P implémente généralement la signature numérique en utilisant un cryptage asymétrique (une clé publique et une clé privée). Ce qui signifie que l'opérateur détient la clé privée, il est extrêmement difficile (essentiellement impossible) pour quiconque d'émettre des commandes différentes pour le botnet. De même, l'absence d'un seul serveur C2 défini rend l'attaque et la destruction d'un botnet P2P plus difficile que ses homologues.
- Autres: Au fil des années, nous avons vu des opérateurs de botnet utiliser des canaux de commande et de contrôle intéressants. Ceux qui viennent immédiatement à l'esprit sont les réseaux sociaux, tels que le botnet Android Twitoor, contrôlé via Twitter, ou le Mac.Backdoor.iWorm qui exploite la liste de serveurs Minecraft subreddit pour récupérer les adresses IP de son réseau. Instagram n'est pas sûr non plus. En 2017, Turla, un groupe de cyber-espionnage ayant des liens étroits avec les services secrets russes, utilisait des commentaires sur les photos Instagram de Britney Spears pour stocker l'emplacement d'un serveur C2 de distribution de logiciels malveillants.
Des morts-vivants
La dernière pièce du puzzle de botnet est les dispositifs infectés (c.-à-d. Les zombies).
Les opérateurs de botnet recherchent et infectent intentionnellement les périphériques vulnérables afin d'augmenter leur puissance de fonctionnement. Nous avons listé les principales utilisations de botnet ci-dessus. Toutes ces fonctions nécessitent une puissance de calcul. De plus, les opérateurs de botnet ne sont pas toujours amis les uns avec les autres, transformant la puissance de leurs machines infectées les unes sur les autres.
La grande majorité des propriétaires d'appareils zombies ne sont pas conscients de leur rôle dans le botnet. Parfois, cependant, le malware botnet agit comme un canal pour d'autres variantes de logiciels malveillants.
Cette vidéo ESET donne une bonne explication de l'expansion des réseaux de zombies:
Types d'appareils
Les appareils en réseau arrivent en ligne à un rythme effréné. Et les botnets ne sont pas seulement à la recherche d'un PC ou d'un Mac. Comme vous le lirez dans la section suivante, les périphériques Internet of Things sont tout aussi sensibles (sinon plus) aux variantes de programmes malveillants botnet. Surtout si elles sont recherchées à cause de leur sécurité effroyable.
Si je disais à mes parents de retourner leur toute nouvelle smart TV qu'ils ont mise en vente parce que IOT est extrêmement précaire, est-ce que ça fait de moi une bonne fille ou une mauvaise fille?
J'ai demandé s'il pouvait écouter les commandes vocales, ils ont dit oui; J'ai fait un bruit de craquement. Ils ont dit qu'on parlerait demain.- Tanya Janca (@shehackspurple) 28 décembre 2017
Les smartphones et les tablettes ne sont pas sécurisés non plus. Android a vu plusieurs botnets au cours des dernières années. Android est une cible facile Comment Malware entrer dans votre Smartphone? Comment un logiciel malveillant entre-t-il dans votre Smartphone? Pourquoi les fournisseurs de logiciels malveillants veulent-ils infecter votre smartphone avec une application infectée, et comment les logiciels malveillants pénètrent-ils dans une application mobile en premier lieu? Lire la suite: il est open source, a plusieurs versions du système d'exploitation, et de nombreuses vulnérabilités à la fois. Ne vous réjouissez pas si vite, les utilisateurs d'iOS. Il y a eu quelques variantes de logiciels malveillants ciblant les appareils mobiles Apple, bien que généralement limitées aux iPhones jailbreakés avec des failles de sécurité.
10 façons dont votre routeur n'est pas aussi sécurisé que vous le pensez 10 façons dont votre routeur n'est pas aussi sécurisé que vous le pensez Voici 10 façons dont votre routeur pourrait être exploité par des pirates informatiques et des pirates de l'air sans fil . Lire la suite . Les routeurs exécutant des microprogrammes anciens et non sécurisés sont des cibles faciles pour les botnets, et de nombreux propriétaires ne se rendront pas compte que leur portail Internet est infecté. De même, un nombre stupéfiant d'utilisateurs Internet ne parviennent pas à modifier les paramètres par défaut sur leurs routeurs. 3 Mots de passe par défaut que vous devez changer et pourquoi 3 mots de passe par défaut Vous devez changer et pourquoi les mots de passe sont incommodes, mais nécessaires. Beaucoup de gens ont tendance à éviter les mots de passe dans la mesure du possible et sont heureux d'utiliser les paramètres par défaut ou le même mot de passe pour tous leurs comptes. Ce comportement peut rendre vos données et ... Lire la suite après l'installation. Comme les périphériques IoT, cela permet aux programmes malveillants de se propager à un rythme stupéfiant, avec une résistance réduite à l'infection de milliers d'appareils.
Abattre un botnet
Abattre un botnet n'est pas une tâche facile, pour un certain nombre de raisons. Parfois, l'architecture du botnet permet à un opérateur de se reconstruire rapidement. À d'autres moments, le botnet est tout simplement trop grand pour être détruit d'un seul coup. La majorité des opérations de destruction de botnets nécessitent une coordination entre les chercheurs en sécurité, les agences gouvernementales et d'autres pirates informatiques, en s'appuyant parfois sur des astuces ou des backdoors inattendus.
Un problème majeur auquel sont confrontés les chercheurs en sécurité est la relative facilité avec laquelle les opérateurs de copie commencent leurs opérations en utilisant le même logiciel malveillant.
GameOver Zeus
Je vais utiliser le botnet GameOver Zeus (GOZ) comme exemple de retrait. GOZ était l'un des plus grands botnets récents, avec plus d'un million d'appareils infectés à son apogée. L'utilisation principale du botnet était le vol monétaire (distribution du CryptoLocker ransomware). Une histoire de Ransomware: Où elle a commencé et où elle va Une histoire de Ransomware: Où elle a commencé et où elle va Ransomware date du milieu des années 2000 et comme beaucoup de menaces de sécurité informatique, originaire de Russie et d'Europe de l'Est avant d'évoluer pour devenir une menace de plus en plus puissante, mais ce que réserve l'avenir pour ransomware? Read More) et spam et, en utilisant un algorithme de génération de domaine peer-to-peer sophistiqué, semblait imparable.
Un algorithme de génération de domaine permet au botnet de pré-générer de longues listes de domaines à utiliser comme "points de rendez-vous" pour le malware botnet. Des points de rendez-vous multiples rendent l'arrêt de la propagation presque impossible, car seuls les opérateurs connaissent la liste des domaines.
En 2014, une équipe de chercheurs en sécurité, travaillant de concert avec le FBI et d'autres agences internationales, a finalement forcé GameOver Zeus à se déconnecter, dans le cadre de l'opération Tovar. Ce n'était pas facile. Après avoir noté des séquences d'enregistrement de domaine, l'équipe a enregistré quelque 150 000 domaines au cours des six mois précédant le début de l'opération. Cela devait bloquer tout futur enregistrement de domaine par les opérateurs de botnet.
Ensuite, plusieurs FAI ont donné le contrôle d'opération des nœuds proxy de GOZ, utilisés par les opérateurs de botnet pour communiquer entre les serveurs de commande et de contrôle et le botnet réel. Elliot Peterson, l'enquêteur principal du FBI sur l'opération Tovar, a déclaré: «Nous avons réussi à convaincre les bots que nous étions bons à parler, mais tous les pairs et les proxies contrôlés par les méchants étaient mauvais pour parler et devraient Etre ignoré."
Le propriétaire d'un botnet, Evgeniy Bogachev (alias Slavik en ligne), a réalisé que le démontage était en place après une heure, et a tenté de se défendre pendant encore quatre ou cinq heures avant de "concéder" sa défaite.
Dans la foulée, les chercheurs ont réussi à casser le fameux cryptage CryptoLocker ransomware, créant des outils de décryptage gratuits pour les victimes CryptoLocker Is Dead: Voici comment vous pouvez récupérer vos fichiers! CryptoLocker est mort: Voici comment vous pouvez récupérer vos fichiers! Lire la suite .
Les Botnets IoT sont différents
Les mesures pour combattre GameOver Zeus étaient étendues mais nécessaires. Il illustre que la puissance d'un botnet intelligent exige une approche globale de l'atténuation, nécessitant «des tactiques juridiques et techniques innovantes avec des outils d'application de la loi traditionnels» ainsi que de «solides relations de travail avec des experts du secteur privé et des forces de l'ordre». pays du monde entier. "
Mais tous les botnets ne sont pas identiques. Lorsqu'un botnet arrive à sa fin, un autre opérateur apprend de la destruction.
En 2016, le plus gros et le plus méchant botnet était Mirai. Avant son démantèlement partiel, le botnet Mirai basé sur l'Internet des Objets a atteint plusieurs cibles importantes Pourquoi votre pièce de monnaie cryptée n'est pas aussi sûre que vous pensez Pourquoi votre pièce de cryptage n'est pas aussi sûre que vous le pensez Bitcoin continue d'atteindre de nouveaux sommets. Le nouveau venu de cryptomonnaie Ethereum menace d'exploser dans sa propre bulle. L'intérêt pour la blockchain, l'exploitation minière et la crypto-monnaie est à son plus haut niveau. Alors pourquoi les amateurs de crypto-monnaie sont-ils menacés? Lire la suite avec des attaques DDoS stupéfiantes. Une telle attaque a frappé le blog du chercheur de sécurité Brian Krebs avec 620Gbps, forçant finalement la protection DDoS de Krebs à le laisser tomber en tant que client. Une autre attaque dans les jours suivants a frappé le fournisseur d'hébergement cloud français OVH avec 1, 2 Tbps dans la plus grande attaque jamais vue. L'image ci-dessous illustre le nombre de pays touchés par Mirai.
Bien que Mirai ne soit même pas proche d'être le plus grand botnet jamais vu, il a produit les plus grandes attaques. Mirai a fait un usage dévastateur de la panoplie de dispositifs IoT ridiculement insécurisés. Votre maison intelligente est-elle en péril à cause des vulnérabilités de l'Internet des objets? Votre maison intelligente est-elle vulnérable aux vulnérabilités de l'Internet des objets? L'Internet des objets est-il sûr? Vous l'espéreriez, mais une étude récente a souligné que les problèmes de sécurité soulevés il y a plusieurs années n'ont pas encore été résolus. Votre maison intelligente pourrait être à risque. En savoir plus, en utilisant une liste de 62 mots de passe par défaut non sécurisés pour amasser des périphériques (admin / admin était en haut de la liste, allez figure).
Le chercheur en sécurité, Marcus Hutchins (alias MalwareTech), explique que la raison de la puissance massive de Mirai s'explique en partie par le fait que la majorité des appareils IoT sont assis là, ne faisant rien avant d'être demandés. Cela signifie qu'ils sont presque toujours en ligne et qu'ils ont presque toujours des ressources réseau à partager. Un opérateur de botnet traditionnel analyserait ses périodes de pointe et ses attaques temporelles en conséquence. Les botnets IoT, pas tellement.
Ainsi, plus les appareils IoT sont mal configurés, plus les chances d'exploitation augmentent.
Rester en sécurité
Nous avons appris ce que fait un botnet, comment il se développe et plus encore. Mais comment arrêtez-vous que votre appareil en fasse partie? Eh bien, la première réponse est simple: mettre à jour votre système Comment réparer Windows 10: FAQ d'un débutant Comment réparer Windows 10: FAQ d'un débutant Besoin d'aide avec Windows 10? Nous répondons aux questions les plus fréquemment posées sur l'utilisation et la configuration de Windows 10. En savoir plus. Les mises à jour régulières corrigent des failles vulnérables dans votre système d'exploitation, réduisant ainsi les possibilités d'exploitation.
La seconde est le téléchargement et la mise à jour d'un programme antivirus et d'un programme anti-programme malveillant. Il existe de nombreuses suites antivirus gratuites qui offrent une excellente protection à faible impact. Investir dans un programme anti-programme malveillant, comme Malwarebytes Guide complet de suppression des logiciels malveillants Guide complet de suppression des programmes malveillants Malware est partout ces jours-ci, et l'éradication des logiciels malveillants de votre système est un processus long, nécessitant des conseils. Si vous pensez que votre ordinateur est infecté, c'est le guide dont vous avez besoin. Lire la suite . Un abonnement Premium Malwarebytes vous coûtera 24, 95 $ pour l'année, vous offrant une protection contre les logiciels malveillants en temps réel. Vaut bien l'investissement, à mon avis.
Enfin, prenez une sécurité supplémentaire du navigateur. Drive-by kits d'exploitation sont une nuisance, mais ils sont facilement évitables lorsque vous utilisez une extension de blocage de script comme uBlock origine Qu'est-ce que Cryptojacking et comment pouvez-vous l'éviter? Qu'est-ce que Cryptojacking et comment pouvez-vous l'éviter? Une nouvelle menace de sécurité est en ville: le cryptojacking, dans lequel votre ordinateur est piraté pour générer des Bitcoins. Mais à quel point est-il répandu, et comment pouvez-vous empêcher votre système d'être subverti de cette façon? Lire la suite .
Votre ordinateur faisait-il partie d'un botnet? Comment t'es-tu rendu compte? Avez-vous découvert quelle infection utilisait votre appareil? Faites-nous savoir vos expériences ci-dessous!