Introduction à la vie des Bots

Actualités - Hack - Posté on 26 Nov 2008 at 8:56 par Solange Belkhayat-Fuchs

L´histoire, une fois n´est pas coutume, commence bien. SRI offre aux administrateurs un outil de surveillance réseau, BotHunter, dont le nom seul le dispense d´en dire plus long. Comme il est pratiquement impossible de savoir à quoi ressemble un « client » de botnet, compte-tenu du polymorphisme des codes utilisés, des exploits mis à contribution, des failles visées, le meilleur moyen, expliquent les auteurs du programme, est encore d´écouter les dialogues qui s´établissent généralement entre le centre de commande (C&C) du botnet et le botnet lui-même. Un dialogue qui est reconnu grâce à la compilation consciencieuse des ingénieurs de SRI, et qui est régulièrement mis à jour, un peu comme les tables de signature des principaux antivirus. La simple installation du programme au sein d´un réseau, en aval des firewalls, permet de savoir si, oui ou non, une infrastructure d´entreprise a été compromise. L´utilitaire est considérablement plus simple à utiliser qu´un IDS. Il est disponible en version Linux/FreeBSD/Mac OS/X, et en édition Win32. Une mouture « live CD » est également disponible.

Encore une histoire de Bot avec cette analyse de FireEye : la baisse du spam, qui fut notable peu de temps après la fermeture de l´hébergeur marron McColo, pourrait bien n´être qu´un souvenir dans les jours qui vont suivre. En effet, Srisbi, le principal botnet spammeur télécommandé par l´un des serveurs hostés chez McColo, serait entré en « mode reconfiguration » et se préparerait à attaquer, alimenté par de nouveaux serveurs de supervision situés en Estonie, lesquels seraient gérés par des registrars Russes. L´équipe de FireEye décrit le processus de reconfiguration : après une période d´inactivité marquée, le code qui hante les ordinateurs zombifiés cherche la présence d´un nouveau nom de domaine dont l´intitulé est tiré d´une fonction prenant en compte la date du jour. Et voilà qu´apparaissent des requêtes en direction de gffsfpey.com, ypouaypu.com, oryitugf.com, prpoqpsy.com et autres proches cousins, qui, par le plus grand des hasards, se retrouvent tous sur le même netbloc. Un article tout entier est consacré à cet algorithme miracle qui transforme le calendrier en générateur de noms de domaine.

Une fois l´étape « E.T. Téléphone Maison » achevée, les nouveaux serveurs se chargent de remettre à jour les programmes distants ainsi qu´un nouveau formulaire de spam. On connaît, en France, des fournisseurs de services qui demandent bien plus de temps pour que leurs services puissent renaître après un incident réseau.

Pour l´heure, les dernières estimations laissent penser que les anciens propriétaires ont réactivé environ 50 000 zombies.

Laisser une réponse