Itzik Kotler, Security Operation Center Team Leader chez Radware, et Ziv Gadot, Senior Security Researcher, réinventent le botnet. « Ce sont, en termes d’agilité technique, les malwares qui se sont le mieux adapté et qui savent le mieux muter pour échapper aux techniques de détection, explique Itzik Kotler. Reste que leur fragilité intrinsèque, leur fameux « single point of failure » demeure leur centre de commande. C’est en tuant les C&C que l’on peut venir à bout d’un botnet ». C’est ainsi qu’est venue l’idée d’un botnet « sans C&C », sans serveur unique, ou du moins utilisant n’importe quel site Web en guise de centre de commande. « Une partie de l’intelligence de TurBot se trouve sur le bot, qui va tenter de lire un certain nombre de sites définis à l’avance. Cela peut être le second article de la première page de CNN, une annonce de Craigslist ou toute autre petite annonce, voir un stream youtube, « twit » ou toute autre intervention publique effectuée sur un réseau social ». Charge au botmaster de définir un dictionnaire précis qui permette au bot d’interpréter un texte apparemment anodin en une suite de commandes précises. Cette technique n’est pas sans rappeler les « messages secrets passés dans les petites annonces du Times » des romans de Conan Doyle. Le seul défaut de ce système, c’est le temps de latence qui sépare l’opération de lecture du bot de la « mise en ligne » des commandes sur l’un des sites prédéfinis (la description du mécanisme de requêtes ayant été simplifiée par la rédaction dans un but de clarté). « Cette latence peut d’ailleurs être éliminée après la réception du premier ordre, si celui-ci inclus l’heure exacte de la prochaine lecture et l’URL sur laquelle le Bot devra aller chercher ses prochaines instructions » précise Kotler. Une nécessité si le Bot en question fait partie d’un botnet d’attaque en déni de service ou d’un pool de serveurs d’infection. Après un tel prototype de vecteur d’attaque, plus personne ne lira les annonces du Times Online ou de Rue 89 avec le même œil.
Existe-t-il des contre-mesures ? « Bien entendu, reprend Ziv Gadot. Nous travaillons actuellement sur quelques possibilités en laboratoire. En théorie, il serait possible de bloquer l’activité du botnet en inféodant simplement l’accès des sites à la saisie d’un Captcha ». Mais est-ce réaliste ? Les internautes accepteraient-il de saisir une « clef d’entrée » à chaque changement de site ? Une autre approche consisterait à détecter une activité anormale sur le poste client. Chose difficile dans le cadre d’une petite structure, un peu plus évidente sur un réseau important sur lequel il est possible d’envisager l’investissement d’un équipement d’analyse comportementale, capable de signaler des tentatives de connexions identiques sur un site en particulier.
TurBot représente-t-il un risque à court terme ? « difficile à dire, déclare Itzik Kotler. TurBot est une preuve de faisabilité, un « bot d’atelier » rédigé en python. Ce n’est pour nous qu’un axe de recherche, d’autant plus nécessaire que les auteurs de bots nocifs agissent vite et exigent de la part de ceux qui souhaitent les combattre une certaine imagination ». Les chercheurs et les curieux peuvent récupérer ce « bot prototype » sur googlecode.
2 commentaires