Botnet

Una botnet (contrazione dell'inglese "ro bot net  ": "rete di robot") è una rete di robot informatici , programmi connessi a Internet che comunicano con altri programmi simili per eseguire determinati compiti.

Storicamente, le botnet si riferivano alle botnet IRC . Il significato di botnet si è esteso alle reti di botnet , utilizzate in particolare per il mining di criptovaluta ma anche per scopi dannosi , come l'invio di spam e virus informatici o attacchi denial of service (DDoS).

Uso legittimo

Su IRC, il loro utilizzo è per gestire canali di discussione o per offrire agli utenti vari servizi, come giochi, statistiche sul canale, ecc. Essere connessi a una rete consente loro di darsi reciprocamente lo stato di operatore di canale in modo sicuro, per controllare efficacemente gli attacchi di inondazione o altri attacchi . La condivisione di elenchi di utenti, divieti e tutti i tipi di informazioni li rende più efficienti.

Esistono altri usi legittimi delle botnet, come l' indicizzazione web  : il volume di dati da esplorare e l'uso necessario della parallelizzazione richiede l'uso di reti di bot .

Abusi e usi dannosi

Le prime derive apparvero sulle reti IRC: le botnet IRC ( Eggdrop nel dicembre 1993, poi GTbot nell'aprile 1998) furono usate durante gli scontri per prendere il controllo del canale.

Oggi, questo termine è molto spesso usato per designare una rete di macchine bot , perché IRC è stato uno dei primi mezzi utilizzati dalle reti dannose per comunicare tra loro, deviando l'uso primario di IRC. Il primo a cui si fa riferimento è stato W32 / Pretty.worm, chiamato anche PrettyPark, che prendeva di mira gli ambienti Windows a 32 bit e riprendeva le idee di Eggdrop e GTbot. All'epoca non erano considerati molto pericolosi e solo nel 2002 diverse botnet dannose (Agobot, SDBot e poi SpyBot nel 2003) fecero parlare di loro e la minaccia decollò.

Qualsiasi macchina connessa a Internet rischia di diventare un obiettivo per diventare una macchina zombie  : macchine Windows, che rappresentano la maggior parte delle macchine contaminate, ma anche, in misura minore, Linux, macchine Apple, persino console di gioco o dispositivi router.

Nel 2007, Vint Cerf ha ritenuto che un computer su quattro facesse parte di una botnet.

Recentemente questo fenomeno si sta sviluppando sui terminali telefonici di tipo smartphone ed in particolare sul sistema operativo Android dove nel dicembre 2010 è apparso il trojan cinese "Geinimi".

Principali utilizzi di botnet dannose

La caratteristica principale delle botnet è il raggruppamento di più macchine distinte, a volte molto numerose, che rende l'attività desiderata più efficiente (dato che abbiamo la possibilità di utilizzare molte risorse) ma anche più difficile da fermare.

Usi delle botnet

Le botnet dannose vengono utilizzate principalmente per:

• Inoltro di spam per commercio illegale o manipolazione di informazioni (ad esempio i prezzi delle azioni);
• Effettuare operazioni di phishing  ;
• Identificare e infettare altre macchine diffondendo virus e programmi dannosi ( malware );
• Partecipare ad attacchi DDoS (Group Denial of Service );
• Generare clic abusivi su un collegamento pubblicitario all'interno di una pagina Web ( frode sui clic );
• Acquisire informazioni su macchine compromesse (furto e quindi rivendita di informazioni);
• Utilizzare la potenza di calcolo delle macchine o eseguire operazioni di elaborazione distribuita, in particolare per violare le password  ;
• Ruba le sessioni degli utenti tramite il riempimento delle credenziali  ;
• Effettuare operazioni di commercio illecito gestendo l'accesso ai siti di vendita di prodotti vietati o contraffatti tramite tecniche di flusso rapido , flusso singolo o doppio o RockPhish;
• Estrazione di criptovalute , come bitcoin .

Motivazione degli hacker

Spam  : per inviare più mail.

DDoS  : invia più attacchi a un server per farlo smettere di funzionare.

BruteForcing  : trovare una password più velocemente.

Estrazione di criptovaluta .

Motivazione economica

L'aspetto economico è fondamentale: la dimensione della botnet e la capacità di essere facilmente controllata sono elementi che contribuiscono ad attrarre attività criminali, sia per il proprietario della botnet (a volte chiamato "botherder" o "botmaster") che per utenti, che il più delle volte assumono i servizi di una botnet per l'esecuzione di un compito specifico (invio di spam, attacco informatico, denial of service, furto di informazioni, ecc.). Nell'aprile 2009, una botnet di 1.900.000 macchine scoperta dalla società finlandese ha generato un reddito stimato di 190.000 dollari al giorno per i suoi "botmaster".

Motivazione ideologica

A prescindere dall'aspetto economico, gli attacchi informatici possono diventare un'arma di propaganda o di ritorsione, soprattutto durante i conflitti armati o durante eventi simbolici. Ad esempio, durante il conflitto tra Russia e Georgia nel 2008, la rete georgiana è stata attaccata in più forme (per renderla indisponibile o per sconfiggere i siti ufficiali). Nel 2007 ha avuto luogo anche un grande attacco contro l' estone : la motivazione degli hacker sarebbe stata lo spostamento di un monumento ai soldati sovietici dal centro della capitale estone. All'inizio del 2010, si ritiene che il Vietnam sia dietro una botnet volta a mettere a tacere il dissenso politico.

Motivazione personale

Anche la vendetta o il ricatto possono far parte della motivazione degli aggressori, senza che l'aspetto finanziario sia necessariamente di primaria importanza: un dipendente mal pagato o giocatori online sconfitti possono cercare vendetta sul datore di lavoro o sul vincitore del gioco.

Architettura di una botnet

Macchine target

Composte da personal computer o server, le botnet ora sono anche costituite da smartphone o qualsiasi tipo di oggetto connesso .

Modalità corrente di comunicazione botnet

Tramite un canale di comando e controllo (C&C)

• Canali IRC (i primi storicamente), spesso su un canale privato.

Tramite canali decentralizzati

• P2P , per non dipendere più da un nodo centrale;
• HTTP (a volte tramite canali nascosti ), che ha il vantaggio principale di non richiedere più una connessione permanente come per i canali IRC o P2P ma di fondersi nel traffico web tradizionale;
• Funzioni del Web 2.0 , effettuando una semplice ricerca su determinate parole chiave per identificare ordini o centri di comando a cui la rete deve connettersi.
• È stata persino portata alla luce una rete di botnet che utilizza Twitter come centro di comando e controllo.

Ciclo vitale

Una botnet ha diverse fasi di vita. Un design modulare permette di gestire queste fasi con formidabile efficienza, soprattutto non appena la macchina target viene compromessa. La fase di infezione è ovviamente sempre la prima, ma la sequenza di queste fasi non è sempre lineare e dipende dal design della botnet.

Infezione della macchina

Questa è logicamente la fase iniziale. La contaminazione spesso comporta l'installazione di uno strumento software principale, che non è necessariamente lo strumento finale. Questa contaminazione della macchina utilizza i classici meccanismi di infezione:

• Virus , che possono assumere la forma di:
  • Malware allegato;
  • Cavallo di Troia (file dall'aspetto innocuo, come applicazioni .exe o file normali);
  • Faille browser o software;
  • P2P in cui il codice dannoso si maschera da file valido.
  • Intenzionale, come le botnet locali che generalmente aumentano i processi di inondazione.
• Combinato con un'azione di ingegneria sociale per ingannare l'utente.

Attivazione

Una volta installata, questa base software può dichiarare la macchina ad un centro di controllo, che poi la considererà attiva . Questa è una delle chiavi del concetto di botnet, vale a dire che la macchina infetta può ora essere controllata in remoto da una (o più) macchine di terze parti. In alcuni casi sono necessarie altre fasi (autoprotezione, aggiornamento, ecc.) Per entrare nella fase operativa.

Aggiornare

Una volta che la macchina è stata infettata e l'attivazione è stata completata, la botnet può aggiornarsi, auto-modificarsi, aggiungere funzionalità, ecc. Ciò ha impatti significativi sulla pericolosità della botnet e sulla capacità degli strumenti di controllo di fermarla, perché una botnet può così modificare la sua firma virale e altre caratteristiche che possono portarla a essere scoperta e identificata.

Auto protezione

In origine, o dopo una fase di aggiornamento, la botnet cercherà di dotarsi dei mezzi per continuare la sua azione oltre che dei mezzi di occultamento. Ciò può includere:

• Installazione di rootkit  ;
• Modifica del sistema (modifica delle regole di filtraggio della rete, disattivazione degli strumenti di sicurezza, ecc.);
• Auto-modifica (per modificare la propria firma);
• Rimozione di altro malware che potrebbe interrompere la botnet;
• Sfruttamento delle vulnerabilità nel sistema host, ecc.

Propagazione

La dimensione di una botnet fornisce efficienza e valore aggiunto agli sponsor e agli utenti della botnet. È quindi comune che dopo l'installazione, la macchina zombie cerchi di estendere la botnet:

• Tramite distribuzione virale, spesso durante una campagna di spam (collegamenti Web, malware nei file allegati, ecc.)
• Per scansione:
  • Sfruttare i difetti che saprà riconoscere;
  • Utilizzare backdoor note o già installate;
  • Per eseguire attacchi di forza bruta , ecc.

Fase operativa

Una volta installata e dichiarata la botnet, la macchina zombie può obbedire agli ordini che le vengono impartiti per eseguire le azioni desiderate dall'aggressore (con, se necessario, l'installazione di strumenti aggiuntivi tramite aggiornamento remoto):

• Invio di spam  ;
• Attacchi di rete;
• Partecipazione al servizio di server DNS dinamico, o DDNS ( fast flux );
• Utilizzo delle risorse di sistema per il calcolo distribuito ( violazione della password ), ecc.

Illustrazione di una botnet di esempio

Ecco il principio di funzionamento di una botnet utilizzata per inviare e-mail  :

Dimensioni della botnet

È estremamente difficile disporre di cifre affidabili e precise, poiché la maggior parte delle botnet può essere rilevata solo indirettamente. Alcune organizzazioni come shadowserver.org cercano di stabilire i numeri dall'attività di rete, dal rilevamento dei centri di comando (C&C), ecc.

Numero di reti (botnet)

A febbraio 2010, è stato stimato che ci fossero tra 4.000 e 5.000 botnet attive. Questa cifra dovrebbe essere considerata una fascia bassa, dal momento che le botnet stanno guadagnando furtività e il monitoraggio dell'intera rete Internet è impossibile.

Dimensioni della rete

La dimensione di una botnet varia, ma sta diventando comune che una rete sia composta da migliaia di macchine zombie . Nel 2008, durante la conferenza RSA, le prime 10 reti includevano da 10.000 a 315.000 macchine, con una capacità di invio di e-mail che andava da 300 milioni a 60 miliardi al giorno (per Srizbi, la più grande botnet in questo paese).

Alla fine del 2009, MessageLabs ha indicato la seguente top 10:

Le 10 migliori botnet nel 2009

Nome botnet	Numero di macchine	Capacità in messaggi al minuto
Rustock	Da 540.000 a 810.000	14.000.000
Cutwail	Da 1.100.000 a 1.600.000	12.800.000
Bagle	Da 520.000 a 780.000	12.000.000
Bobax	Da 110.000 a 160.000	10.000.000
Grum	Da 580.000 a 860.000	6.800.000
Maazben	Da 240.000 a 360.000	1.5 milioni
Festi	Da 140.000 a 220.000	900.000
Mega-D	Da 50.000 a 70.000	690.000
Xarvester	Da 20.000 a 36.000	615.000
Gheg	Da 50.000 a 70.000	300.000

Numero totale di macchine infette

Nel suo rapporto del 2009, MessageLabs ha anche stimato che 5 milioni di macchine sono state compromesse in una rete botnet di spam .

Lotta contro l'azione delle botnet

La stessa costituzione di una botnet, a volte composta da moltissime macchine, rende difficile la tracciabilità delle azioni e delle fonti. Più grande è la botnet, più difficile diventa anche arrestarla e fermarla, poiché è necessario sia fermare la diffusione degli agenti che attivano la botnet sia pulire le macchine compromesse.

Le generazioni precedenti spesso facevano affidamento su un centro di controllo centralizzato o facilmente disattivabile (l' indirizzo IP fisso o il nome di dominio possono essere banditi, il canale IRC può essere chiuso, ecc.). Ora, il peer-to-peer consente una resilienza del sistema di comunicazione e le funzioni Web 2.0 dirottate rendono l'intercettazione molto complessa: la botnet cerca una parola chiave sul web e la utilizza per determinare l'ubicazione del data center. deve ricevere i suoi ordini.

Diverse azioni concertate in cui è stato fortemente coinvolto il dipartimento di sicurezza di Microsoft hanno reso possibile lo smantellamento di due reti principali: Waledac e Rustock (operazioni chiamate rispettivamente b49 e b107). A marzo 2011, Rustock aveva circa 1 milione di macchine che generavano il 47,5% dello spam globale (secondo Symantec ) e il suo codice sorgente utilizzava 106 indirizzi IP per il suo controllo.

Rilevamento

• Impronte digitali
• Osservazione del traffico
• Analisi dei registri

Prevenzione

• Liste nere
  • RBL
  • DNSBL
  • Elenchi di botnet
• Solite misure di protezione della rete (partizionamento, restrizioni, ecc.)

Solite misure di protezione della macchina (antivirus, HIDS / HIPS, password, gestione dei diritti utente, antispam, gestione degli aggiornamenti, ecc.)

Antivirus

• ESET Sirefef EV Cleaner

• Strumento di disinfezione Panda Sirefef / ZAccess

Note e riferimenti

1. F. Ducrot, M. Danho, X. Marronnier, “  COMPUTER SECURITY, il numero 61  ” , CNRS,ottobre 2007
2. (in) database dei virus McAfee, W32 / Pretty.worm
3. B. Braud, "  È stata scoperta la prima rete di macchine Mac Zombie  " , 01netPRO,17 aprile 2009
4. "  attacchi DDoS Vendicativa perpetrati su Xbox Live  " , PCInpact,Febbraio 2009
5. B. Braud, "  Zombie Worm Enlists Small Linux Routers  " , 01netPRO,25 marzo 2009
6. "  un quarto di tutti i computer fanno parte di una botnet  " , Ars Technica,gennaio 2007
7. leMondeInformatique.fr, "  Geinimi: un inquietante Trojan che prende di mira Android  " , leMondeInformatique.fr, 2010(visitato il 18 settembre 2012 )
8. “  Dietro le quinte del DDoS  ” [ archivio2 gennaio 2010] , zataz.com,10 settembre 2008(visitato il 4 marzo 2010 )
9. "  Ha fatto davvero Microsoft schiantano la botnet Waledac?"  » , 01netPRO,26 febbraio 2010
10. "  E ora la botnet Mirai può estrarre Bitcoin!"  " ,11 aprile 2017
11. (in) "  Come un cybergang gestisce una rete di 1,9 milioni di computer infetti  " , Finjan Vital Security,22 aprile 2009
12. "I  ricercatori sono entrati nel back office di una botnet  " , 01netPRO,23 aprile 2009
13. N. Simonin, "  Attacchi informatici in Georgia  " ,29 settembre 2008
14. (in) J. Kirk, "L'  Estonia si riprende da un massiccio attacco DDoS  " , COmputerSecurity WorldMaggio 2007
15. (in) "La  Russia conferma il coinvolgimento con gli attacchi DDoS in Estonia  " SC Magazine,Marzo 2009
16. Ethan Zuckerman , "  Il Vietnam ha la sorveglianza del malware?"  " ,10 aprile 2010
17. (in) "  Computer hacker condannato a due anni di prigione federale  " , Dipartimento di giustizia, Distretto orientale della California
18. J. Saiz (SecurityVibes), "  Botnet go to Web 2.0  " ,21 luglio 2008
19. (in) Julian B. Grizzard, Vikram Sharma, Chris Nunnery, Brent Byunghoon Kang, David Dagon, "  Peer-to-Peer Botnet: Overview and Case Study  " ,2007
20. (a) Joe Stewart, direttore della ricerca sul malware, SecureWorks, "  Inside the Storm: Protocols and Encryption of the Storm Botnet  " ,2008 : presentazione di Storm, utilizzando la tecnica del canale nascosto
21. J. Saiz (SecurityVibes), "  Avi Chesla: 'La nuova ondata di bot va all'Ajax'  " ,21 luglio 2008
22. Ranieri Romera (TrendLabs), "  Mehika Twitter Botnet Targets Twitter Users  " ,13 settembre 2010
23. (in) "  L'evoluzione dei bot IRC dannosi  " , Symantec Security Response,2004(visitato il 16 febbraio 2010 )
24. http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
25. "  Un milione di PC robot per 100 miliardi di spam  " , NetEco,10 aprile 2008
26. (it) "  MessageLabs Intelligence ha: 2009 Annual Security Report  " ,2009(visitato il 14 febbraio 2010 )
27. ( entra ) "  Lo spamming della botnet Rustock è cessato?  " , Symantec,17 marzo 2011
28. "  Microsoft decapita una delle botnet più grandi del mondo  " , 01net.com,21 marzo 2011

Vedi anche

Articoli Correlati

• Rootkit
• Antivirus
• Sirefef

link esterno

• (en) Shadowserver.org, un'organizzazione che monitora l'attività delle botnet
• (in) Botnets.fr Wiki per lo studio delle botnet