mardi 25 mai 2010
Les Ghostnets : Êtes vous un Soldat de la cyber-guerre en cours?
Par Marc Blanchard [Virus Docteur], mardi 25 mai 2010 à 14:51 :: Scientifique- Les Egenes, les Zombies, les Botnets, les Ghostnets
Etat des lieux :
Type de délinquances qu'un simple PC peut héberger :
Espionnage des particuliers:
Comptes mails (mots de passe, accès sites sécurisés, etc)
Comptes Web 2.0
Identités et comptes bancaires
Carte d'identité, passeport, impôts, cartes grises, permis de conduire (documents scannés) au vue de création de faux
Machine zombie pour propager du SPAM (Zeus)
Hébergeur de systèmes de billing pour les FakeAV (mules)
CyberGuerre à partir des machines des particuliers:
Soldat de botnet : essentiellement en IRC
Soldat de ghostnet : en HTTP2P
Hébergeur de codes d'attaques
Des séquences d'attaques
Des logs des états lorsque les attaques sont en cours
L'hôte est référencé sur les moteurs de recherches
Voici un phénotype de ma base encyclopédique malwares qui montre le peu de perception par l’utilisateur face à une infection de ce type. Ces perceptions ne sont que des comportements fréquent du système et donc fréquemment ignorées par les utilisateurs.
La réalité est tout autre !
Voici un phénotype de ma base encyclopédique malwares qui montre toutes les technologies invisibles et pouvant être installées sur la machine de l’internaute à son insu et pleinement fonctionnelles.
Les Ghostnet :
C'est une évolution de grande ampleur des techniques botnet vers un réseau de machines zombies utilisant les technologies suivantes :
CLOUDING via le protocole HTTP-P2P,
Référencements sur les moteurs de recherches
Notion des machines soldats
Bridge de répartition de machines soldats
Processus de calculs des machines dépendantes du bridge
Objectifs:
Les DOS,
DDOS de pays gênants
DDOS des sociétés commerciales gênantes,
Héberger des plans et documents d'états,
Héberger des plans et documents terroristes,
Envoyer des informations nécessaires aux actions terroristes du monde réel
Entretenir une puissance de calcul et de bandes passantes importantes
Création de faux serveurs pour les FakeAV,
Phishing, vols
Rester indétectable
Le clouding ou le cloud computing:
C'est une technologie qui permet d'offrir des services ou logiciels, qui sont déportés sur de grandes infrastructures professionnelles, aux usagés sans aucune (ou presque) installation locale. Cette extraordinaire invention marketing est essentiellement faite pour faire payer les utilisateurs davantage...on leur expliquera que les ordinateurs qu'ils possèdent ne sont plus assez puissants!!!
Le clouding s'est largement développé, et voici un petit résumé de quelques applications/services de cloud computing.
Avantages Pour les TPE/PME:
Bénéficier d'une infrastructure technologique très performante
Bénéficier d'aucun frais de maintenance ou presque
Payer des services logiciels au besoin et à la demande
Pour les grandes structures Bénéficier des dernières innovations logicielles Baisser les coûts administratifs et d'administrations informatiques Bénéficier d'intégrations sur mesure en fonction des standards logiciels/machines du moment Bénéficier d'aucune rotation de matériel serveurs et donc d'administrations réseaux
Désavantages :
La sécurité
La qualité des chiffrements des données
La disponibilité des connexions internet
Les rapidités des lignes internet
Les payements à la demande !
C'est BOINC, qui a été le précurseur dans le domaine du clouding avec les calculs scientifiques du SETI@Home nécessaire pour déporter les unités de calculs puis rapatriement des résultats par le net.
Le principe est simple, un screen saver spécifique se met en mode calcul pendant les inactivités du processeur.
Tout cela a été développé pour des raisons de manque de budgets pour des acquisitions de gros calculateurs.
Aujourd'hui, le Boinc héberge de plus en plus de projet du type SETI@HOME. Le seti, aujourd'hui, a 573.000 machines d'internautes pour une puissance moyenne par heure d'environ : 5,551.80 TeraFLOPS.
Le ghostnet est l'évolution OBLIGATOIRE des botnets de grandes envergures. J'avais traité du sujet botnet sur ce blog, je ne vais donc pas y revenir.
Nous allons étudier cette évolution dans ce post.
Historique :
J'ai commencé des études épidémiologiques sur le ver Confiker mutant dès sa naissance.
Depuis février 2010, a évolué de façon émergente du mode technologique du botnet au monde ghostnet, actuellement utilisé.
Les études ont bien démontré que ce ver est en constante évolution.
Je me questionne sur le pourquoi des chercheurs en sécurité informatique délaissent les technologies utilisées par ce ver.
Aller, on va dire que c'est parce qu'ils le détectent : FAUX!
Où bien parce que les patchs Microsoft empêchent le ver de se propager : FAUX.
Je m'explique :
La principale différence entre le monde du botnet et celui des ghostnets est qu'un réseau botnet interface ses clients et ses serveurs de façons nominatives via les IRC ou même celui des référencements sur certains moteurs de recherche de machines d'internautes avec des noms de domaines aléatoires.
Ces machines intégrant un réseau botnet ont une mission de serveur hébergeur ou de client sur un seul niveau Ethernet (à ne pas confondre avec internet;-)
En d'autres termes, les machines d'un réseau de botnet utilisent la technique que l'on ne nomme plus du 'Client/Server'. Un ou plusieurs clients communiquent avec un serveur nominatif.
Le monde des réseaux ghostnet est différent.
On utilise le clouding pour multiplier les puissances de calculs, de stockages, de transmissions de données contenant les instructions des attaques (codes, durée, victimes, stratégies, etc) et contrôler les réplications et gestions des bridges.
Un bridge est un procédé utilisé dans le monde du clouding qui consiste à donner un nom de domaine pour le service offert, et le répartir sur de multiples serveurs qui héberge le service concerné.
Les ghostnet utilisent cette technique afin de renforcer le nombre de machines actives, et obtenir une infrastructure de très forte puissance.
Voici un résultat théorique s’appuyant sur les comportements des différentes mutations de codes et en fonction des puissances des machines, des capacités RAM et bandes passantes que mon campus antimalware a pu vérifier sur diverses plateformes présentes sur le campus antimalware (deux réseaux contaminés indépendants au niveau hardware, lan et connexions internet sur Paris, idem sur un seul réseau contaminé sur la Vendée) :
En fonction des puissances machines, RAM et bandes passantes, il s’est avéré avec les résultats d’études isomorphiques et le compte-rendu des recherches homorphiques, que les comportements d’une machine à l’autre, d’un réseau à l’autre et d’une connexion internet différente de l’autre, des comportements différents.
La copie écran si dessous, démontre bien que le même nom de domaine qu'une machine hôte infectée va rechercher, à quelques minutes d'intervalle, est dirigée sur des adresses IP différentes.
LES RAMIFICATIONS INFECTEES au jour J de l'expérience:
Voici les procédés effectués dans cette expérience.
On infecte une machine utilisateur saine avec le ver.
On y installe une sonde réseau.
On attend que les référencements de nom de domaine dynamique, qui est associé à cette machine utilisateur, soient effectués par le ver.
On attend que la machine soit référencée sur le net.
On commence l'expérience.
Le vers va commencer une activation de recherche de machines hôtes afin qu'il se géolocalise dans une infrastructure réseaux la plus réactive à ses requêtes réseaux. Dans l'exemple ci-dessous, il cherche sur fr.ask.com ses ramifications.
Une fois effectuée, le ver va s'implémenter dans une des ramifications réseaux que nous allons pister pour l'expérience.
Nous prenons un des noms de domaines que le ver contacte. Grâce à notre sonde, nous allons vérifier l'adresse IP qu'il appelle en fonction du nom de domaine.
Nous tentons de tracer cette adresse afin de vérifier si nous sommes en technologie hybride botnet/ghostnet ou bien en technologie pure ghostnet.
Dans le cas d'un botnet, nous n'aurions qu'une seule IP de visible par rapport au nom de domaine.
Nous sommes donc en présence d'une technologie ghostnet.
Cette adresse est donc un bridge, car elle référence une multitude de noms de domaines.
Nous prenons un des noms de domaines afin de continuer notre investigation.
On s'aperçoit sur l'image ci-dessus, qu'une autre ramification est présente.
Nous allons montrer deux cas de figure:
Une autre ramification à partir de cet étage de ramification, qui devra être suivie jusqu'à la terminaison pour finir l'étude de l'investigation de la branche.
Et voici une terminaison de la ramification à partir de ce niveau :
Tout cela pour quoi faire?
Les attaques préférées de ce ghostnet sont les DDOS.
De simples flood sont envoyés à un serveur victime, ou branche de serveurs victimes
Explications de l'attaque sur ce schéma:
Quelle est la puissance d'un tel ver comme Confiker ?
Un confrère chercheur/épidémiologiste a publié un compte-rendu graphique qui démontre bien la puissance d'un tel ghostnet:
Coté sécurité:
Il faut impérativement surveiller les pare-feux logiciels mais également des box ADSL.
Voici un exemple d'une LiveBox ayant conservée les authentifications d'usines : admin/admin
Les lignes surbrillées sont les lignes qui ont été ajoutées par le ver.
Il est à noter qu'il ne s'est pas trompé, car la .15 est un linux tandis que les deux autres machines sont infectées.
Je travaille actuellement avec les gens de CISCO qui ont mettent à disposition un logiciel de traçage de botnets, qui devrait bloquer les émergences/attaques botnet mais également ghostnet ou réseaux invisibles.
A suivre dans cette section….
