Passer au contenu

Dridex, Beebone, Cryptolocker… comment ces gigantesques botnets ont été démantelés

Les démantèlements de réseaux de machines zombies sont de plus en plus nombreux. Mais en face, les cybercriminels ne désarment pas et trouvent sans arrêt de nouvelles techniques. Explications.

Dridex et Beebone en 2015, Cryptolocker en 2014, Kelihos en 2012, Conficker en 2009… Ces noms étranges désignent tous d’énormes botnets – ou réseaux d’ordinateurs infectés – qui ont été démantelés ces dernières années. Ces opérations anti-botnets deviennent de plus en plus fréquentes et impliquent de plus en plus d’acteurs nationaux et internationaux – polices, procureurs, hébergeurs, chercheurs en sécurité, FAI, etc. Mais comment ces opérations sont-elles organisées? Et quels sont les principaux obstacles rencontrés? A l’occasion de la conférence Botconf 2015, nous avons eu l’occasion de rencontré un chercheur en sécurité qui a participé à bon nombre de ces démantèlements, John Bambenek. Il nous livre son éclairage.

GK – John Bambenek
À lire : Démantèlement de Dridex, un botnet qui a dérobé des dizaines de millions d’euros

Sur le principe, démanteler un botnet consiste avant tout à mettre hors d’état les serveurs de commande et de contrôle (C&C), qui représentent l’élément principal dans une structure de botnet. Pour cela, il faut généralement détecter les noms de domaine qu’ils utilisent, puis contacter les hébergeurs et les bureaux d’enregistrement correspondants. Parfois, les noms de domaines sont intégrés sous la forme d’une liste statique dans le malware. L’analyse du code malveillant permet alors de mettre la main sur l’identité de ces serveurs illicites. Mais les cybercriminels ont développé toute une série de techniques qui compliquent la tâche.

Des algorithmes pour brouiller les pistes

Ainsi, bon nombre de botnets sont désormais dotés d’un algorithme de génération de nom de domaine (Domain Generation Algorithm, DGA). Plutôt que de piocher dans une liste statique, le malware exécute un algorithme pour savoir chaque jour quel nom de domaine il doit contacter. « Conficker, par exemple, a généré 50 000 noms de domaines par jour, répartis sur un millier de bureaux d’enregistrement », souligne John Bambenek. Pour mettre la main sur les serveurs cachés derrière ces noms, il faut donc auparavant décortiquer par rétro-ingénierie cet algorithme. « Une fois ce travail réalisé, nous allons générer les noms de domaine pour les deux prochaines années et prendre contact avec les hébergeurs pour les désactiver ou les piéger », explique le chercheur.

À lire : Le FBI démantèle un énorme botnet piloté par un hacker russe

Ce type d’opération fonctionne quand les algorithmes DGA sont prédictifs, mais certains ne le sont pas. « Dans un cas, le calcul des noms de domaine s’appuyait sur les taux de change monétaire, qui sont évidemment impossibles à prévoir. Il faut alors trouver un autre moyen. C’est un des grands problèmes aujourd’hui », poursuit John Bambenek.

Tor au service des zombies

Autre difficulté : les botnets basés sur le réseau d’anonymisation Tor. Certains pirates installent leurs serveurs C&C sous la forme d’un service Tor caché que les machines infectées contacteront au moyen d’un navigateur Tor embarqué dans le malware. Avantage pour le cybercriminel : même en connaissant l’adresse .oignon, il est impossible de retrouver le serveur ou l’hébergeur correspondant. « Toutefois, le trafic Tor est facilement détectable et peut donc être facilement bloqué en entreprise. Malheureusement, ce n’est pas le cas à la maison, et beaucoup d’ordinateurs professionnels se connectent aujourd’hui depuis ces connexions grand public », explique le chercheur.

Mais il y a aussi des évolutions positives. Ainsi, la coopération entre les différents acteurs fonctionne de mieux en mieux, surtout entre l’Europe et les Etats-Unis. « Avec la Russie, c’est plus difficile. D’ailleurs, les pirates russes font en sorte de ne jamais infecter des machines en Russie, pour éviter les problèmes avec les forces de l’ordre », précise John Bambenek. Mais le principe de coopération n’empêche pas, parfois, quelques actions en solo. Un cas mémorable était celui de Microsoft qui, en 2014, avait obtenu d’un tribunal le blocage de la totalité du trafic de No-IP, un fournisseur de services DNS. « Les experts de Microsoft n’ont pas fait d’analyse de risque. Pour neutraliser 50 000 noms de domaines vérolés, ils ont carrément bloqué des millions de clients qui n’avaient rien à voir avec cette affaire. Erreur fatale », explique le chercheur. Comme quoi, pour vaincre les botnets, c’est avant tout l’union qui fait la force.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN