Cette article est de la catégorie Internet et domaines et du dossier Sécurité et stabilité

Comment arrêter un botnet

Le botnet appelé ZeroAccess a provoqué des dommages de plusieurs millions avant d'être fermé en décembre 2013.

Texte: Serge Droz, publié le 16.04.2015

Le premier rapport relatif à un nouveau malware appelé ZeroAccess a fait son apparition le 13 juillet 2011. Au moyen d'une technologie de rootkit hautement perfectionnée, l'objectif premier de ZeroAccess était de gagner de l'argent au moyen de la publicité par paiement au clic "pay-per-click", mais le malware permettait également d'extraire des Bitcoins, d'installer des moyens détournés sur des systèmes contaminés et d'autres choses encore.

ZeroAccess a été un des botnets les plus lucratifs qui aient jamais existé, Il a Infecté plus de deux millions de PC dans le monde entier et provoqué des pertes atteignant 2,7 millions de dollars par mois. Il y a également eu des pertes de plusieurs milliers de francs en Suisse. Le botnet était distribué par une infrastructure appelée Blackhole exploit kit, qui a servi d'instrument dans la diffusion d'un certain nombre d'autres espèces de malware outre ZeroAccess, notamment Zeus et Citadel, qui attaquent tous deux les banques. Le kit pouvait être loué pour 700 dollars par semaine.

Un appel téléphonique urgent du SCOCI

En décembre 2013, SWITCH a reçu un appel téléphonique urgent du SCOCI, Service national de coordination de la lutte contre la criminalité sur Internet. En coordination avec Europol et le FBI, un effort global a été lancé pour supprimer des systèmes critiques pour la fraude par clic de ZeroAccess, et SWITCH a été priée de participer à l'opération sur place. Ce fut un succès total: la fraude par clic a Immédiatement cessé et le jour suivant, le botnet a reçu une commande extraordinaire: «White Flag». Il n'a été enregistré que peu d'activité depuis et le botnet ZeroAccess est tombé de son maximum de deux millions de bots à seulement 50'000 au niveau mondial. En décembre 2013 également, les autorités russes ont annoncé avoir arrêté le propriétaire du kit Blackhole.

Cet exemple montre que la collaboration avec des équipes du monde entier joue un rôle essentiel dans la lutte contre la cybercriminalité. Une unique équipe de réaction aux cas d'urgence comme SWITCH-CERT ne peut combattre un botnet aux dimensions mondiales, du moins pas à elle seule. Les CERT ne travaillent jamais de manière isolée. A contraire, ils profitent de leur réseau de partenaires nationaux et internationaux pour entreprendre des actions coordonnées contre les cybercriminels. L'objectif premier d'un CERT est la protection de ses participants, c'est-à-dire de ses clients.

Réduction, détection et nettoyage

Chez SWITCH, nous avons dans de tels cas une double approche: réduction et détection des nouvelles infections, puis nettoyage des systèmes compromis. A cette fin, SWITCH reçoit quotidiennement de ses partenaires des listes indiquant les serveurs web contaminés pour les domaines .ch/.li qui sont utilisés pour des attaques par téléchargement "drive-by". Les propriétaires de ces sites web sont alors informés et ont un jour pour résoudre le problème. S'ils ne le font pas, SWITCH suspend le nom de domaine pour protéger les visiteurs.

SWITCH ne dispose pas des ressources nécessaires en vue d'investiguer chacun des exploit kits utilisés en Suisse. Nous transmettons nos constatations, donc les liens malveillants dans les sites web piratés, à des tiers de confiance. Ceux-ci sont généralement d'autres CERT dans le monde, que nous rencontrons régulièrement et avec qui nous avons collaboré dans le passé. Ils peuvent utiliser ces informations pour mieux comprendre le fond du problème.

Pour le dire en termes simples, cela consiste à faire comme si l'on faisait partie de "l'empire voyou" afin d'attirer des systèmes contaminés.

Les mêmes informations peuvent également servir à détecter les clients contaminés dans le backbone académique. Des indicateurs de compromis (IOC) repèrent et marquent les liens vers des sites malveillants. Nous informons nos clients de ce que nous avons découvert concernant leurs sites, ce qui leur permet de résoudre tous problèmes. Cette approche s'est avérée réussie: une nouvelle faille de malware est généralement éradiquée du backbone académique en l'espace de quelques semaines, grâce à nos partenaires aux universités suisses.

Un moyen d'une technique appelée sinkholing

Il est souvent difficile de détecter les clients contaminés mais les chercheurs du monde entier surveillent les grands botnets au moyen d'une technique appelée sinkholing. Pour le dire en termes simples, cela consiste à faire comme si l'on faisait partie de "l'empire voyou" afin d'attirer des systèmes contaminés. Des listes de tels clients sont alors redistribuées aux gestionnaires de réseau du monde en vue du nettoyage. SWITCH, en tant que membre de confiance de la communauté mondiale de sécurité, reçoit chaque jour des centaines d'adresses IP contaminées de toute la Suisse. Celles-ci sont alors redistribuées à nos collègues des différents fournisseurs suisses de services Internet.

ZeroAccess est un excellent exemple de ce qu'un CERT est trop petit pour lutter à lui seul contre les botnets mondiaux, mais l'interaction et la coopération permettent d'arriver au succès.

SWITCHcert
Ce text a paru au SWITCH Journal avril 2015.
L'auteur
Serge   Droz

Serge Droz

Le Dr. Serge Droz a étudié la physique à l'EPF de Zurich et a obtenu son titre de doctorat en physique théorique à l’université d’Alberta (Canada). Il a travaillé comme préposé à la sécurité d'ordinateur à l'institut Paul Scherrer à Villigen AG. Depuis 2004, il est chef de l'équipe CERT de SWITCH.

E-mail

Quelles données les CERT échangent-ils?

SWITCH-CERT est la plupart du temps du côté récepteur dans l'échange de données. Nous recevons régulièrement des informations sur:

  • les systèmes éventuellement piratés aux universités suisses, ou d'une manière générale en Suisse
  • les serveurs web piratés utilisés pour distribuer du malware ou héberger des sites de phishing
  • des listes de système malveillants connus
  • d'énormes quantités d'identifiants compromis de login, parfois avec des mots de passe.

Cependant, nous partageons aussi régulièrement des informations avec d'autres, tels que:

  • des URL que nous trouvons dans les sites web piratés et menant vers des serveurs malveillants
  • des listes de clients contaminés, obtenues par l'analyse de fichiers événementiels
  • des IOC utiles dans la détection des menaces.
Autres articles