Hackfest Communication Blog

Nouvelles et opinions de la communauté de sécurité informatique

Pas facile de bloquer les zombies

11 March 2021

Votre réfrigérateur intelligent est-il un traître? Est-il possible qu’il ne se contente plus de vous envoyer un texto lorsque vous n’avez plus de lait, mais se soit fait recruter dans un réseau de zombies (botnet)? Le CRTC (Conseil de la radiodiffusion et des télécommunications canadiennes) a le projet de bloquer le trafic des botnets en appliquant les mesures qui « concilient efficacité et facilité de mise en œuvre » sans entraîner de coûts supplémentaires pour les abonnés. Un survol des méthodes utilisées par les opérateurs montre que cela sera tout sauf facile.

L’organisme fédéral responsable de la régulation des télécommunications propose de donner le mandat de filtrer le trafic des botnets aux fournisseurs d’accès à Internet (FAI). C’est dans ce contexte qu’il tient jusqu’au 15 mars un appel aux observations. Ce blocage doit permettre d’empêcher la communication entre les appareils infectés qui constituent le réseau de zombies et leur serveur de contrôle et de commande (serveur C2). Ce filtrage pourrait prendre plusieurs formes. L’appel du CRTC mentionne « le blocage basé sur le domaine, le blocage basé sur le protocole Internet (IP) et le blocage basé sur le protocole ».

Le nom de domaine est le nom du site web que nous écrivons dans la barre d’adresse d’un fureteur, comme « hackfest.ca », par exemple. Ce nom de domaine est ensuite traduit en adresse IP par des résolveurs de domaine (DNS).

Le « blocage basé sur le domaine » implique l’instauration et la mise à jour en continu d’une liste de noms de domaines à bloquer. Le « blocage basé sur le protocole Internet (IP) » équivaut à créer une liste semblable, mais pour des adresses IP. Pour éviter les abus, le CRTC suggère qu’« une partie indépendante spécialisée en cybersécurité » soit responsable du cadre. Celle-ci pourra approuver les ajouts à ces listes.

Changer d’adresse pour ne pas être découvert

Les techniques d’obfuscation utilisées par les opérateurs de botnets rendent l’application de ces techniques extrêmement difficile. En effet, comme décrit dans une revue de la littérature scientifique publiée en 2017 (Botnet detection technology based on DNS, Xingguo Li et al., 2017), les botnets utilisent une méthode appelée « domain flux » pour déjouer les tentatives de détection. Cette méthode permet aux botnets de modifier constamment le nom de leurs serveurs C2. Des algorithmes sont utilisés pour générer de multiples noms de domaines de façon pseudo-aléatoire. Selon les auteurs de cet article, garder à jour la liste de ces domaines nécessiterait une énorme quantité de ressources.

On se retrouve devant le même problème en tentant de bloquer les adresses IP. La technique du « fast flux » est utilisée pour assigner de multiples adresses IP au même nom de domaine. Dans une variante appelée « double flux », les zombies ne communiquent pas directement avec le serveur C2, mais avec une couche intermédiaire d’appareils qui servent de relais. Cette configuration assure plus de résilience en isolant le cœur du botnet.

Le risque de faux positifs

Il y a d’autres facteurs qui augmentent ce que l’on appelle les « faux positifs » (le risque de bloquer un nom de domaine ou une adresse IP qui n’est pas malicieuse).

Il existe des raisons légitimes d’utiliser des réseaux de botnets. Ceux-ci ne sont pas composés d’appareils infectés à leur insu, mais utilisent une architecture similaire. Ils servent à parcourir le web (“web scraping”), aux équipes de tests de pénétration (“red team”) et autres processus d’automatisation.

Un article de la firme Fireeye résume bien ces difficultés.

  • Les développeurs de botnets utilisent des sites web légitimes pour héberger leur code. Il se peut qu’un seul document sur ce site soit utilisé par le botnet à des fins criminelles. Bloquer le domaine ne bloquera pas seulement les zombies, mais l’accès légitime au site web infecté.
  • Les opérateurs se servent de plateformes telles que Twitter, Amazon Cloud Services et d’autres services d’hébergement publics. Il est inconcevable de bloquer entièrement ces services.
  • Les adresses IP une fois abandonnées par les opérateurs de botnets sont utilisées par des sources légitimes qui se retrouvent sur les listes de blocage.
  • L’article de Fireeye mentionne également l’utilisation de protocole P2P (peer-to-peer). Ces botnets n’utilisent pas de serveurs C2, rendant caducs les mécanismes de blocage de ceux-ci.

Face à la menace des botnets, le CRTC exprime son désir de trouver une solution facile, efficace et qui n’entraîne pas de coûts supplémentaires pour les abonnés aux services Internet. Le survol des technologies utilisées par les opérateurs de botnet semble indiquer qu’une solution à ce problème sera tout sauf facile.

crédit photo: Melissa Mathies - licence CC