Page d'accueil Sécurité Qu'est-ce qu'un botnet et votre ordinateur en fait-il partie?

Qu'est-ce qu'un botnet et votre ordinateur en fait-il partie?

  • Michael Cain
  • 0
  • 4047
  • 543
Publicité

Un de mes termes de cybersécurité préférés est “botnet.” Il évoque toutes sortes d'images: des robots interconnectés, des légions d'ouvriers en réseau travaillant simultanément dans un seul but. Curieusement, l’image évoquée par le mot est semblable à ce qu’est un botnet - en des termes détournés, du moins.

Les botnets représentent une quantité considérable de puissance de calcul dans le monde entier. Et ce pouvoir est régulièrement (peut-être même systématiquement) la source de logiciels malveillants, de logiciels ransomware, de spam, etc. Mais comment naissent les botnets? Qui les contrôle? Et comment pouvons-nous les arrêter?

Qu'est-ce qu'un botnet??

La définition de botnet SearchSecurity indique que “Un botnet est un ensemble de périphériques connectés à Internet, pouvant inclure des ordinateurs personnels, des serveurs, des périphériques mobiles et des périphériques Internet d'objets infestés infectés et contrôlés par un type de malware commun. Les utilisateurs ignorent souvent qu'un botnet infecte leur système.”

La dernière phrase de la définition est la clé. Les périphériques d'un botnet ne sont généralement pas là volontairement. Les appareils infectés par certaines variantes de programmes malveillants sont contrôlés par des acteurs de la menace distants, les cybercriminels. Le logiciel malveillant masque les activités de réseau de robots malveillants sur le périphérique, ce qui empêche le propriétaire de connaître son rôle sur le réseau. Vous pourriez envoyer des milliers de tablettes d’agrandissement de tablettes offrant des spams par milliers - sans avoir la moindre idée.

En tant que tel, nous faisons souvent référence aux périphériques de botnet infectés. Votre PC est-il un zombie? Et qu'est-ce qu'un ordinateur Zombie? [MakeUseOf explique] Votre PC est-il un zombie? Et qu'est-ce qu'un ordinateur Zombie? [MakeUseOf explique] Vous êtes-vous déjà demandé d'où provenait tout le spam Internet? Vous recevez probablement des centaines de courriels indésirables filtrés au spam chaque jour. Est-ce que cela signifie qu'il y a des centaines et des milliers de personnes assises… à “des morts-vivants.”

Que fait un botnet??

Un botnet a plusieurs fonctions communes selon le souhait de l'opérateur de botnet:

  1. Spam: Envoi de vastes volumes de spam dans le monde entier. Par exemple, la part moyenne des spams dans le trafic mondial de courrier électronique entre janvier et septembre était de 56,69%. Lorsque le cabinet d'études en sécurité FireEye a suspendu temporairement la transition du tristement célèbre botnet Srizbi après la mise hors ligne du fameux hébergement McColo, le spam global a chuté de façon considérable (et en fait, lorsqu'il a finalement été désactivé, le spam global a temporairement chuté d'environ 50%).
  2. Malware: Fournir des logiciels malveillants et des logiciels espions aux ordinateurs vulnérables. Des malfaiteurs achètent et vendent des ressources de botnet pour renforcer leurs entreprises criminelles.
  3. Les données: Capture de mots de passe et autres informations privées. Cela rejoint ce qui précède.
  4. Cliquez sur la fraude: Un appareil infecté visite des sites Web pour générer un faux trafic Web et des impressions publicitaires..
  5. Bitcoin: Les contrôleurs de botnet dirigent les périphériques infectés vers Bitcoin et d’autres monnaies cryptées pour générer des bénéfices en toute tranquillité.
  6. DDoS: Les opérateurs de botnet dirigent la puissance des périphériques infectés sur des cibles spécifiques, en les mettant hors ligne en cas d'attaques par déni de service distribué..

Les opérateurs de botnet utilisent généralement un certain nombre de ces fonctions pour générer des bénéfices. Par exemple, les opérateurs de réseaux de zombies qui envoient des spams médicaux à des citoyens américains sont également propriétaires des pharmacies de remplacement qui livrent les marchandises. (Oh oui, il y a des produits réels à la fin de l'e-mail. Spam Nation de Brian Krebs est un excellent aperçu de cela.)

Les principaux réseaux de zombies ont légèrement changé de direction au cours des dernières années. Alors que les spams médicaux et autres types similaires de spam étaient extrêmement rentables pendant longtemps, les mesures de répression prises par les gouvernements dans plusieurs pays ont érodé les bénéfices. Ainsi, le nombre de courriers électroniques contenant une pièce jointe malveillante a augmenté pour atteindre un sur 359, selon le rapport du mois de juillet 2017 de Symantec sur les activités de renseignement..

À quoi ressemble un botnet?

Nous savons qu'un botnet est un réseau d'ordinateurs infectés. Cependant, les composants de base et l'architecture réelle du botnet sont intéressants à considérer.

Architecture

Il existe deux architectures de botnet principales:

  • Modèle client-serveur: Un botnet client-serveur utilise généralement un client de discussion (anciennement IRC, mais les botnets modernes ont utilisé Telegram et d'autres services de messagerie chiffrés), un domaine ou un site Web pour communiquer avec le réseau. L'opérateur envoie un message au serveur, le relayant aux clients, qui exécutent la commande. Bien que l’infrastructure de botnet soit très simple à complexe, un effort concentré peut désactiver un botnet client-serveur..
  • D'égal à égal: Un réseau botnet peer-to-peer (P2P) tente d'arrêter les programmes de sécurité et les chercheurs identifiant des serveurs C2 spécifiques en créant un réseau décentralisé. Un réseau P2P est plus avancé 10 termes de réseau que vous ne saviez probablement jamais et ce qu'ils signifient 10 termes de réseau que vous ne saviez probablement jamais et ce qu'ils veulent dire ici Nous allons explorer 10 termes de réseau courants, leur signification et les endroits où vous risquez d'être confronté leur. , à certains égards, qu'un modèle client-serveur. En outre, leur architecture diffère de ce que la plupart des gens envisagent. Au lieu d'un réseau unique de périphériques infectés interconnectés communiquant via des adresses IP, les opérateurs préfèrent utiliser des périphériques zombies connectés à des nœuds, connectés l'un à l'autre et au serveur de communication principal. L’idée est qu’il y a tout simplement trop de nœuds interconnectés mais séparés pour s’enlever simultanément.

Commander et contrôler

Les protocoles de commandement et de contrôle (parfois écrits C & C ou C2) se présentent sous différentes formes:

  • Telnet: Les réseaux de zombies Telnet sont relativement simples: utiliser un script pour analyser les plages IP pour les connexions par défaut telnet et serveur SSH afin d'ajouter des périphériques vulnérables pour ajouter des bots..
  • IRC: Les réseaux IRC offrent une méthode de communication à très faible bande passante pour le protocole C2. La possibilité de changer rapidement de canal confère une sécurité supplémentaire aux opérateurs de botnet, mais signifie également que les clients infectés sont facilement coupés du botnet s'ils ne reçoivent pas d'informations de canal mises à jour. Le trafic IRC est relativement facile à examiner et à isoler, ce qui signifie que de nombreux opérateurs se sont éloignés de cette méthode..
  • Domaines: Certains grands réseaux de zombies utilisent des domaines plutôt qu'un client de messagerie pour le contrôle. Les périphériques infectés accèdent à un domaine spécifique en fournissant une liste de commandes de contrôle, ce qui permet facilement des modifications et des mises à jour à la volée. L'inconvénient est l'énorme besoin de bande passante pour les grands réseaux de zombies, ainsi que la facilité relative avec laquelle les domaines de contrôle suspects sont fermés. Certains opérateurs utilisent un hébergement dit blindé pour opérer en dehors de la juridiction de pays où la loi pénale sur Internet est stricte..
  • P2P: Un protocole P2P implémente généralement la signature numérique à l'aide d'un cryptage asymétrique (une clé publique et une clé privée). Cela signifie que tant que l'opérateur détient la clé privée, il est extrêmement difficile (pour l’essentiel impossible) pour quiconque de donner des commandes différentes au botnet. De même, l'absence d'un seul serveur C2 défini rend l'attaque et la destruction d'un botnet P2P plus difficiles que ses homologues..
  • Autres: Au fil des ans, nous avons constaté que les opérateurs de réseaux de zombies utilisaient des canaux de commande et de contrôle intéressants. On pense immédiatement aux réseaux sociaux, tels que le botnet Android Twitoor, contrôlé via Twitter, ou le Mac.Backdoor.iWorm qui exploitait le subreddit de liste de serveurs Minecraft pour récupérer les adresses IP de son réseau. Instagram n'est pas en sécurité non plus. En 2017, Turla, un groupe de cyberespionnage entretenant des liens étroits avec les services de renseignement russes, utilisait des commentaires sur les photos Instagram de Britney Spears pour enregistrer l'emplacement d'un serveur C2 de diffusion de programmes malveillants..

Des morts-vivants

La dernière pièce du casse-tête de botnet sont les dispositifs infectés (les zombies).

Les opérateurs de botnet recherchent et infectent délibérément les périphériques vulnérables pour accroître leur puissance de fonctionnement. Nous avons répertorié les principales utilisations de botnet ci-dessus. Toutes ces fonctions nécessitent de la puissance de calcul. De plus, les opérateurs de réseaux de zombies ne sont pas toujours amis, ils échangent la puissance de leurs machines infectées..

La grande majorité des propriétaires de périphériques zombies ne sont pas conscients de leur rôle dans le botnet. Parfois, cependant, les programmes malveillants de botnet agissent comme un canal pour d’autres variantes de logiciels malveillants..

Cette vidéo ESET donne une explication intéressante sur la façon dont les réseaux de zombies se développent:

Types d'appareils

Les appareils en réseau se connectent à un rythme effarant. Et les botnets ne sont pas seulement à la recherche d'un PC ou d'un Mac. Comme vous le verrez dans la section suivante, les périphériques de l'Internet des objets sont tout aussi susceptibles (sinon plus) aux variantes de programmes malveillants de botnet. Surtout s'ils sont recherchés pour leur sécurité effroyable.

Si je dis à mes parents de leur rendre leur nouvelle télévision intelligente qu'ils ont mise en vente car IOT est extrêmement précaire, cela fait-il de moi une bonne fille ou une mauvaise fille?
J'ai demandé s'il pouvait écouter les commandes vocales, ils ont dit oui; J'ai fait un craquement. Ils ont dit que nous parlerions demain.

- Tanya Janca (@shehackspurple) 28 décembre 2017

Les smartphones et les tablettes ne sont pas sécurisés non plus. Android a vu plusieurs botnets au cours des dernières années. Android est une cible facile. Comment les logiciels malveillants pénètrent-ils dans votre smartphone? Comment les logiciels malveillants pénètrent-ils dans votre smartphone? Pourquoi les fournisseurs de logiciels malveillants souhaitent-ils infecter votre smartphone avec une application infectée, et comment les logiciels malveillants parviennent-ils dans une application mobile? : Open Source, plusieurs versions de système d’exploitation et de nombreuses vulnérabilités à la fois. Ne vous réjouissez pas si vite, utilisateurs d'iOS. Quelques variantes de programmes malveillants ciblant les appareils mobiles Apple ont été utilisées, bien qu’elles se limitent généralement aux iPhones jailbreakés avec des failles de sécurité..

Un routeur vulnérable est un autre routeur cible vulnérable. 10 façons dont votre routeur n'est pas aussi sécurisé que vous le pensez 10 façons dont votre routeur n'est pas aussi sécurisé que vous le pensez Voici 10 façons dont votre routeur peut être exploité par des pirates informatiques et des pirates sans fil . . Les routeurs exécutant des microprogrammes anciens et peu sûrs sont des cibles faciles pour les réseaux de zombies, et de nombreux propriétaires ne se rendront pas compte que leur portail Internet est infecté. De même, un nombre tout à fait ahurissant d'internautes ne parvient pas à modifier les paramètres par défaut de leurs routeurs. De nombreuses personnes ont tendance à éviter les mots de passe dans la mesure du possible et préfèrent utiliser les paramètres par défaut ou le même mot de passe pour tous leurs comptes. Ce comportement peut rendre vos données et… après l'installation. À l'instar des appareils IoT, cela permet aux logiciels malveillants de se propager à une vitesse vertigineuse, l'infection de milliers d'appareils rencontrant peu de résistance..

Prendre un botnet

Supprimer un botnet n'est pas une tâche facile pour un certain nombre de raisons. Parfois, l’architecture de botnet permet à un opérateur de reconstruire rapidement. À d'autres moments, le botnet est tout simplement trop grand pour être détruit d'un seul coup. La majorité des mises au rebut de réseaux de zombies nécessitent une coordination entre les chercheurs en sécurité, les agences gouvernementales et les autres pirates, en s’appuyant parfois sur des astuces ou des backdoors inattendus..

Un problème majeur auquel sont confrontés les chercheurs en sécurité est la relative facilité avec laquelle les opérateurs en copieur démarrent des opérations en utilisant le même malware.

GameOver Zeus

Je vais utiliser le botnet GameOver Zeus (GOZ) comme exemple de retrait. GOZ était l’un des plus gros réseaux de zombies récents, avec plus d’un million de dispositifs infectés à son apogée. L’utilisation principale du botnet était le vol d’argent (distribution du ransomware CryptoLocker. Histoire du ransomware: début et fin des événements. Historique du ransomware: début et fin du projet. Ransomware date du milieu des années 2000 et ressemble à de nombreuses menaces de sécurité informatique, originaires de Russie et d’Europe de l’Est avant de devenir une menace de plus en plus puissante. Mais quel avenir pour les ransomwares?) et pour le courrier indésirable et, en utilisant un algorithme sophistiqué de génération de domaine poste à poste, semblait impossible à arrêter.

Un algorithme de génération de domaine permet au botnet de pré-générer de longues listes de domaines à utiliser en tant que “points de rendez-vous” pour le malware botnet. Les points de rendez-vous multiples rendent l’arrêt de la propagation presque impossible, car seuls les opérateurs connaissent la liste des domaines..

En 2014, une équipe de chercheurs en sécurité travaillant en collaboration avec le FBI et d'autres agences internationales a finalement forcé GameOver Zeus hors ligne, dans le cadre de l'opération Tovar. Ce n'était pas facile. Après avoir remarqué les séquences d’enregistrement de domaine, l’équipe a enregistré quelque 150 000 domaines au cours des six mois précédant le début de l’opération. C'était pour bloquer tout futur enregistrement de domaine des opérateurs de botnet.

Ensuite, plusieurs FAI ont confié le contrôle de l’exploitation des nœuds proxy de GOZ, utilisés par les opérateurs de botnet pour communiquer entre les serveurs de commande et de contrôle et le botnet réel. Elliot Peterson, enquêteur principal du FBI sur l'opération Tovar, a déclaré: “Nous avons réussi à convaincre les robots que nous étions bons à parler, mais tous les pairs, les mandataires et les supernodes contrôlés par les méchants étaient mauvais à parler et devaient être ignorés.”

Le propriétaire de Botnet, Evgeniy Bogachev (alias en ligne Slavik), s’est rendu compte que le takedown était en place au bout d’une heure et a tenté de riposter quatre ou cinq heures plus tard. “concédant” défaite.

Après coup, les chercheurs ont réussi à déchiffrer le cryptage notoire de CryptoLocker ransomware, créant ainsi des outils de décryptage gratuits pour les victimes. CryptoLocker Is Dead: voici comment vous pouvez récupérer vos fichiers! CryptoLocker Is Dead: Voici comment récupérer vos fichiers! .

Les botnets IoT sont différents

Les mesures pour lutter contre GameOver Zeus étaient vastes mais nécessaires. Il montre que la puissance d’un botnet intelligemment conçu exige une approche globale de la réduction, nécessitant “tactiques juridiques et techniques innovantes avec des outils répressifs traditionnels” aussi bien que “relations de travail solides avec des experts du secteur privé et des homologues des forces de l'ordre dans plus de 10 pays du monde.”

Mais tous les botnets ne sont pas pareils. À la fin d’un réseau de zombies, un autre opérateur apprend de la destruction.

En 2016, le plus gros et le plus méchant botnet était Mirai. Avant de prendre une décision partielle, le botnet Mirai basé sur l’Internet des objets a touché plusieurs cibles importantes Pourquoi votre crypto pièce n’est pas aussi sécurisée que vous le pensez Pourquoi votre crypto pièce n’est pas aussi sécurisée que vous le pensez Bitcoin continue à atteindre de nouveaux sommets. Le nouveau venu sur la crypto-monnaie Ethereum menace d'exploser dans sa propre bulle. L'intérêt pour la blockchain, l'exploitation minière et la crypto-monnaie est à son plus haut niveau. Alors, pourquoi les amateurs de crypto-monnaie sont-ils menacés? avec des attaques DDoS stupéfiantes. Une de ces attaques a frappé le blog du chercheur en sécurité Brian Krebs avec 620 Gbps, forçant finalement la protection contre les attaques DDoS de Krebs à le laisser tomber en tant que client. Dans les jours qui ont suivi, une autre attaque a frappé le fournisseur français d’hébergement en cloud, OVH, avec 1,2 To / s dans la plus grande attaque jamais vue. L'image ci-dessous illustre le nombre de pays touchés par Mirai.

Même si Mirai n’était pas près d’être le plus grand botnet jamais vu, il produisait les plus grandes attaques. Mirai a utilisé de manière dévastatrice des bandes d'appareils IoT ridiculement insécurisés. Votre maison intelligente est-elle menacée par les vulnérabilités de l'Internet des objets? Votre maison intelligente est-elle menacée par les vulnérabilités de l'Internet des objets? L'Internet des objets est-il sécurisé? Vous l'espériez, mais une étude récente a montré que les problèmes de sécurité soulevés il y a plusieurs années n'avaient pas encore été résolus. Votre maison intelligente pourrait être en danger. , en utilisant une liste de 62 mots de passe par défaut non sécurisés pour accumuler des périphériques (admin / admin était en haut de la liste, voir figure).

Marcus Hutchins (alias MalwareTech), chercheur en sécurité, explique que la puissance massive de Mirai s'explique en partie par le fait que la majorité des appareils IoT restent là sans rien faire jusqu'à ce qu'ils soient sollicités. Cela signifie qu'ils sont presque toujours en ligne et qu'ils disposent presque toujours de ressources réseau à partager. Un opérateur de botnet traditionnel analyserait ses pics de puissance et ses attaques temporelles en conséquence. IoT botnets, pas tellement.

Ainsi, à mesure que des appareils IoT moins bien configurés sont mis en ligne, les chances d’exploitation augmentent..

Rester en sécurité

Nous avons appris ce que fait un botnet, comment il se développe et plus encore. Mais comment empêchez-vous que votre appareil en fasse partie? La première réponse est simple: mettez à jour votre système. Comment réparer Windows 10: FAQ du débutant Comment réparer Windows 10: FAQ du débutant Vous avez besoin d'aide avec Windows 10? Nous répondons aux questions les plus fréquemment posées sur l’utilisation et la configuration de Windows 10.. Des mises à jour régulières corrigent les failles vulnérables de votre système d'exploitation, ce qui réduit les possibilités d'exploitation..

Le second est le téléchargement et la mise à jour d’un programme antivirus et d’un programme anti-programme malveillant. Il existe de nombreuses suites antivirus gratuites offrant une excellente protection contre les impacts. Investissez dans un programme anti-programme malveillant, tel que Malwarebytes. Guide de suppression complète des logiciels malveillants Guide de suppression complète des logiciels malveillants Les logiciels malveillants sont omniprésents de nos jours et éradiquer les logiciels malveillants de votre système est un processus long, qui nécessite des instructions. Si vous pensez que votre ordinateur est infecté, c’est le guide dont vous avez besoin. . Un abonnement Malwarebytes Premium vous coûtera 24,95 $ pour l'année, vous offrant une protection contre les logiciels malveillants en temps réel. Vaut bien l'investissement, à mon avis.

Enfin, procurez-vous une sécurité supplémentaire pour votre navigateur. Les kits d'exploitations au volant sont une nuisance, mais ils sont facilement évitables lorsque vous utilisez une extension de blocage de script telle que uBlock Origin.

Votre ordinateur faisait-il partie d'un botnet? Comment as-tu réalisé? Avez-vous découvert quelle infection utilisait votre appareil? Faites-nous savoir vos expériences ci-dessous!




Personne n'a encore commenté ce post.

Dites à Microsoft ce que vous pensez de Windows 10, Facebook Live 24 heures sur 24, 7 jours sur 7… [Tech News Digest]
Nouvelles techniques
Microsoft astuces utilisateurs dans les mises à niveau de Windows 10, Windows Phone est mort… [Tech News Digest]
Nouvelles techniques
Un million de raisons d'acheter un Chromebook, des Chromebooks qui vendent des Mac… [Tech News Digest]
Nouvelles techniques
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.