in ,

Botnet : Tout ce que vous devez savoir sur cette cybermenace

Les Botnets constituent l’une des menaces de sécurité les plus graves sur Internet.

Avec l’adoption rapide du cloud computing et de l’Internet des objets (IoT), il y a plus de données en ligne que jamais. Des appareils facilement piratables ou utilisés à des fins néfastes. Il existe cependant des moyens de minimiser les risques d’une attaque Botnet et résoudre les problèmes qui pourraient survenir.

pcloud

Qu’est-ce qu’un Botnet ?

Lorsque vous pensez Botnet, pensez « réseau de robots » — un réseau d’appareils connectés à Internet qui ont été détournés et utilisés à des fins de piratage. Les ordinateurs, smartphones ou appareils IoT compromis par des logiciels malveillants permettent aux pirates du Botnet de diriger les activités de ces appareils.

Les Botnets sont généralement construits une machine à la fois, ciblée par un logiciel malveillant. Dans de nombreux cas, un virus de type « cheval de Troie » est intégré à une machine. Ce qui permet donc d’y accéder et d’y envoyer un logiciel. Le logiciel malveillant se met alors au travail, infectant cette machine. Dans de nombreux cas, il recherche même des appareils connectés sur lesquels il peut se répliquer sur plusieurs réseaux.

L’ouverture d’une pièce jointe à un courrier électronique peut sembler inoffensive, mais elle peut contenir un malware et infecter votre machine. Les Botnets peuvent également s’introduire dans les systèmes par le biais de vulnérabilités logicielles, telles que des navigateurs obsolètes. Ils peuvent aussi s’introduire par l’omission d’appliquer les correctifs logiciels, ou même ce que l’on appelle un « drive-by download ». C’est-à-dire la visite d’un site web qui exécute un code malveillant.

Les machines personnelles, professionnelles et gouvernementales sont toutes vulnérables aux attaques Botnet. Les attaquants ne se soucient généralement pas de la machine dont ils prennent le contrôle, même si le fait de cibler les ordinateurs des réseaux gouvernementaux ou commerciaux leur permet d’accéder plus facilement et plus efficacement à un plus grand nombre de machines. 

Elle peut se propager et en infecter d’autres facilement, avec au début, une seule machine infectée.

Comment les Botnets communiquent-ils ?

Les personnes qui contrôlent les Botnets sont connues sous le nom de Botmasters. À l’aide d’un processus appelé « Command and Control » (C&C), les botmasters déploient divers moyens de se connecter aux ordinateurs, tel que

  • Les serveurs TelnetIRC (Internet Relay Chat) envoie des données et des rapports à faible bande passante, qui sont moins susceptibles d’attirer l’attention. Les botmasters peuvent émettre de nouvelles commandes et changer facilement de canal pour éviter les détections.
  • Le trafic HTTPS ressemble au trafic web normal, il est donc difficile de distinguer le trafic du bot.

Des domaines ont été utilisés, où un Botnet communique avec une page Web qui sert les commandes de contrôle. Les paquets du réseau TCP peuvent être modifiés pour envoyer des messages codés dans les deux sens et peuvent passer à travers le filtrage de sortie de base.

Au lieu d’une communication directe entre un bot et un serveur, on utilise des réseaux peer-to-peer (P2P), dans lesquels les bots reçoivent des commandes et localisent ensuite d’autres machines sur le réseau P2P pour les transmettre.

Les réseaux sociaux ont même été utilisés pour communiquer. Le Botmaster peut mettre en place un flux de médias sociaux et poster des commandes codées. Les machines infectées peuvent facilement accéder au flux et à exécuter les commandes.

Que peuvent faire les pirates avec les Botnets ?

Les ordinateurs connectés à Internet qui ont été compromis sont parfois appelés « ordinateurs zombies ». On les considère notamment comme l’une des plus grandes menaces de cybersécurité sur Internet. Prenons l’exemple d’un rapport récent de Check Point Researchers, qui a découvert un nouveau Botnet (surnommé « Reaper »). Il a infecté environ un million d’ordinateurs, y compris des dispositifs IoT, tels que des caméras sans fil.

L’une des attaques les plus connues était le ver informatique Conflicker, qui a ciblé les ordinateurs Windows, infectant des millions de machines dans 190 pays, bloquant les consultations DNS, désactivant des fonctions et détruisant les logiciels anti-malware et les correctifs.

Prenant le contrôle de vos ordinateurs à votre insu, les Botnet ont été utilisés pour attaquer d’autres ordinateurs et réseaux de diverses manières malveillantes, comme l’envoi de courriels de phishing ou de spam.

Attaques DDoS (Distributed Denial of Service)

Ces attaques envoient un nombre extraordinaire de requêtes à un site web. Ce qui rend ses serveurs incapables de traiter la quantité de trafic. En 2016, un logiciel malveillant autopropagé appelé Mirai a été à l’origine d’attaques contre le grand fournisseur de DNS Dyn, qui a bloqué l’infrastructure DNS. Il a également été utilisé pour des attaques DDoS sur des sites web et des fournisseurs de cloud. Une attaque Botnet, utilisant des caméras connectées à Internet, a mis hors service le site web d’un cyberjournaliste populaire.

Fraude au clic

En envoyant du faux trafic vers des sites et des clics, les pirates peuvent générer des revenus en hébergeant des sites avec des publicités achetées sur une base PPC (pay-per-click). Le marché des publicités numériques pourrait même être la deuxième source de revenus du crime organisé.

Dans une lettre adressée à la Federal Trade Commission, le sénateur a noté qu’une étude récente de Google, Yahoo, Facebook et LinkedIn menée sur une période de 7 jours montre que pas moins de 98 % de tous les clics publicitaires ont été effectués par des BOTENETS.

Enregistrement des frappes au clavier

En enregistrant les frappes au clavier, les escrocs ont pu saisir des informations personnelles, des données de cartes de crédit et des mots de passe. 

Les experts estiment que les escrocs ont dérobé des centaines de millions de dollars sur des comptes bancaires en volant des identités et des mots de passe. Des identifiants de connexion volés ont d’ailleurs servi pour escroquer plus de 1,5 million de dollars à StubHub.

Quelles mesures pouvez-vous prendre pour vous protéger des Botnets ?

La meilleure façon de se protéger contre les Botnets est de ne pas laisser le malware atteindre vos systèmes en premier lieu. Dans les entreprises comptant de nombreux utilisateurs, c’est une tâche difficile. Difficile en particulier dans les sites distants ayant accès à des machines physiques.

Une seule personne cliquant sur le mauvais lien peut déclencher le processus de diffusion du malware à travers votre réseau.

Blocage de la communication

Une fois découverte, l’une des techniques les plus efficaces consiste à isoler le serveur C&C et à bloquer sa capacité à communiquer avec les différents bots. Une technique tout aussi simple que de fermer le port concerné ou de bloquer les connexions.

Sinkholing

Dans une technique connue sous le nom de « sinkholding », vous isolerez la connexion au serveur C&C et installerez votre propre serveur pour envoyer et recevoir des commandes. Si le logiciel malveillant a été activé, mais que le pirate n’a pas mis en place son serveur de contrôle des commandes, vous pourrez peut-être le bloquer en reroutant le trafic vers votre serveur et en analysant les données. Lorsque le Botnet tente de se connecter aux serveurs, il se dirige vers ceux que vous contrôlez et ne reçoit aucune commande. Le serveur se met donc hors ligne, une fois que le gouffre a réussi à collecter suffisamment de données.

Interrupteurs d’arrêt

L’ingénierie inverse peut révéler des déclencheurs ou des « interrupteurs » dans le logiciel qui peuvent rendre le Botnet inopérant. Les pirates intègrent souvent des mécanismes d’arrêt pour empêcher quelqu’un d’autre de détourner leur Botnet. Une fois découvert, vous pouvez dire au logiciel malveillant d’arrêter !

botnet

Réinitialisation des appareils

Alors que le virus Conflicker s’est répliqué même après avoir été supprimé, certains Botnets peuvent être arrêtés en réinitialisant simplement les routeurs et les équipements sans fil, en changeant les mots de passe et en ajoutant une surveillance proactive.

Mots de passe et serveurs proxy plus efficaces

Selon SplashData, les mots de passe les plus populaires sont toujours « 123456 » et « Password ». Le changement régulier des mots de passe, l’utilisation d’une authentification en deux étapes et l’exigence d’une authentification plus forte peuvent rendre plus difficile l’accès des pirates aux réseaux. Le fait de forcer le trafic sortant à passer par des serveurs proxy peut également être utile.

Restez au courant des correctifs

De nombreux virus et logiciels malveillants exploitent les vulnérabilités des logiciels. Les pirates ont pu extraire les données de crédit sensibles de plus de 140 millions de personnes grâce à une vulnérabilité logicielle d’Equifax, bien qu’un correctif pour résoudre le problème ait été disponible deux mois avant l’attaque.

Le nombre de violations de données, qu’il s’agisse d’attaques par force brute ou par Botnet, dépasse les 100 000 par an. Une réponse et une gestion appropriées sont essentielles. Envisagez des mesures offensives, telles que des tests de pénétration, des évaluations de vulnérabilité et des audits de sécurité. 

Si une attaque se produit, vous avez besoin de professionnels. Des spécialistes disposant de ressources et d’une expérience approfondie en matière de réponse aux violations.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *