Qu'est-ce qu'un botnet DDoS ?

Les attaques botnet sont responsables des plus grandes attaques DDoS jamais enregistrées. Découvrez comment les périphériques sont infectés par des malwares botnet, comment les bots sont contrôlés à distance et comment protéger un réseau d’une invasion de botnets.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir un botnet DDoS
  • Expliquer pourquoi les botnets sont créés
  • Comprendre comment les botnets sont contrôlés à distance par les pirates
  • Raisonner sur les stratégies de désactivation d'un botnet et de prévention des infections

Copier le lien de l'article

Qu’est-ce qu'un botnet ?

Un botnet désigne un groupe d’ordinateurs infectés par des malwares et contrôlés par un acteur malveillant. Le terme botnet est la contraction des mots robot et network (réseau) ; chaque appareil infecté est appelé un bot. Les botnets peuvent être conçus pour accomplir des tâches illégales ou malveillantes, notamment l'envoi de spam , le vol de données, les logiciels rançonneurs (ou ransomwares), les clics frauduleux sur les publicités ou les attaques par déni de service distribué (DDoS) .

Bien que certains logiciels malveillants, tels que les logiciels rançonneurs, aient un impact direct sur le propriétaire de l'appareil, les malwares botnet DDoS peuvent avoir différents niveaux de visibilité. Certains logiciels malveillants sont conçus pour prendre totalement contrôle d'un appareil, tandis que d'autres fonctionnent discrètement en arrière-plan en attendant les instructions du pirate appelé parfois « bot herder ».

Self-propagating botnets recruit additional bots through a variety of different channels. Pathways for infection include the exploitation of website vulnerabilities, Trojan horse malware, and cracking weak authentication to gain remote access. Once access has been obtained, all of these methods for infection result in the installation of malware on the target device, allowing remote control by the operator of the botnet. Once a device is infected, it may attempt to self-propagate the botnet malware by recruiting other hardware devices in the surrounding network.

S'il est impossible de déterminer avec précision le nombre exact de bots dans un botnet particulier, les estimations du nombre total de bots dans un botnet sophistiqué vont de quelques milliers à plus d'un million.

Animation d'une attaque de botnet DDoS

Pourquoi les botnets sont-ils créés ?

Les raisons d'utiliser un botnet vont de l'activisme aux perturbations parrainées par un État, de nombreuses attaques étant menées uniquement dans un but lucratif. L'embauche de services de botnet en ligne est relativement peu coûteuse au regard notamment des importants qu'ils peuvent causer. Les barrières empêchant la création de botnets sont également suffisamment faibles pour que l'activité soit lucrative pour certains développeurs de logiciels, en particulier dans les zones géographiques où la réglementation et l'application des lois sont limitées. Cette combinaison a conduit à une prolifération de services en ligne proposant des attaques à la location.

Comment le botnet est-il contrôlé ?

Une caractéristique essentielle d'un botnet est la possibilité de recevoir des instructions mises à jour de la part du bot herder. La possibilité de communiquer avec chaque bot présent sur le réseau permet au pirate d'alterner les vecteurs d'attaque, de modifier l'adresse IP ciblée, de mettre fin à une attaque et d'effectuer d'autres actions personnalisées. La conception des botnets varient, mais les structures de contrôle peuvent être classées en deux catégories générales :

Le modèle botnet client/serveur

Le modèle client/serveur reproduit le flux de travail traditionnel d'un poste distant, dans lequel chaque ordinateur se connecte à un serveur centralisé (ou à un petit nombre de serveurs centralisés) afin d'accéder aux informations. Dans ce modèle, chaque bot se connecte à une ressource de centre de commande et de contrôle (CnC) comme un domaine web ou un canal IRC afin de recevoir des instructions. En utilisant ces référentiels centralisés pour fournir de nouvelles commandes au botnet, un pirate doit simplement modifier le matériel source consommé par chaque botnet depuis un centre de commande afin de mettre à jour les instructions destinées aux machines infectées. Le serveur centralisé contrôlant le botnet peut être un appareil possédé et opéré par le pirate ou un appareil infecté.

Un certain nombre de topologies populaires de botnets centralisés ont été observées, notamment :

Topologie de réseau en étoile

Animation sur la topologie d'un réseau en étoile

Topologie de réseau multi-serveurs

Animation sur la topologie d'un multi-serveurs

Topologie de réseau hiérarchique

Animation sur la topologie d'un réseau hiérarchique

Dans chacun de ces modèles client/serveur, chaque bot se connecte à une ressource centrale de commande comme un domaine web ou un canal IRC pour recevoir des instructions. En utilisant ces référentiels centralisés pour servir de nouvelles commandes pour le botnet, un attaquant a simplement besoin de modifier le matériel source que chaque botnet consomme à partir d'un centre de commande afin de mettre à jour les instructions destinées aux machines infectées.

La vulnérabilité de ces machines va de pair avec la simplicité de la mise à jour des instructions destinées au botnet à partir d'un nombre limité de sources centralisées. Afin de supprimer un botnet avec un serveur centralisé, il suffit uniquement de perturber le serveur. En raison de cette vulnérabilité, les créateurs de logiciels malveillants de botnets ont évolué et se sont tournés vers un nouveau modèle moins susceptible d'être perturbé par un ou plusieurs points de défaillance.

Le modèle de botnet P2P (pair-à-pair)

Pour contourner les vulnérabilités du modèle client/serveur, les botnets ont plus récemment été conçus à l'aide de composants de partage décentralisé de fichiers peer-to-peer. L'intégration de la structure de contrôle à l'intérieur du botnet élimine le point de défaillance unique présent dans un botnet avec un serveur centralisé, ce qui rend les efforts d'atténuation plus difficiles. Les bots P2P peuvent être à la fois des clients et des centres de commande, travaillant main dans la main avec leurs nœuds voisins pour propager les données.

Les botnets peer-to-peer conservent une liste d'ordinateurs de confiance avec lesquels ils peuvent donner et recevoir des communications et mettre à jour leur logiciel malveillant. En limitant le nombre des autres machines auxquelles le bot se connecte, chaque bot n'est exposé qu'à des appareils adjacents, ce qui le rend plus difficile à suivre et plus difficile à atténuer. L'absence d'un serveur de commande centralisé rend un botnet peer-to-peer plus vulnérable au contrôle par une personne autre que le créateur du botnet. Pour se protéger contre la perte de contrôle, les réseaux de botnets décentralisés sont généralement chiffrés de manière à en limiter l'accès.

Animation sur la topologie d'un réseau P2P

Comment un appareil IdO devient-il un botnet ?

Personne ne fait ses opérations bancaires par Internet en utilisant la caméra de vidéosurveillance sans fil installée dans la cour pour surveiller la mangeoire à oiseaux, mais cela ne signifie pas que cette caméra soit incapable de faire les demandes réseau nécessaires. La puissance des appareils IoT couplée à une sécurité faible ou mal configurée crée une opportunité pour les logiciels malveillants de botnet pour recruter de nouveaux bots dans le parc d'appareils IoT. L'augmentation des appareils IoT a entraîné un nouveau paysage pour les attaques DDoS, car nombre d'entre eux sont mal configurés et vulnérables.

Si la vulnérabilité d'un appareil IoT est codée en dur dans le firmware, les mises à jour sont plus difficiles. Pour atténuer les risques, les appareils IoT dont le firmware est obsolète doivent être mis à jour, car les informations d'identification par défaut restent généralement inchangées depuis l'installation initiale de l'appareil. De nombreux fabricants de matériel à bas prix ne sont pas incités à rendre leurs appareils plus sûrs, de ce fait la vulnérabilité posée par les logiciels malveillants de botnet aux appareils IoT reste un risque de sécurité non résolu.

Comment désactiver un botnet existant ?

Désactiver les centres de contrôle d’un botnet :

Les botnets conçus à l'aide d'un schéma de commande et de contrôle peuvent être plus facilement désactivés une fois que les centres de contrôle peuvent être identifiés. Il suffit souvent de couper la tête aux points de défaillance pour mettre le botnet hors ligne. Par conséquent, les administrateurs du système et les organismes chargés de faire respecter la loi se concentrent sur la fermeture des centres de contrôle de ces botnets. Ce processus est plus difficile si le centre de contrôle opère dans un pays où les forces de l'ordre disposent de peu de moyens ou sont moins disposées à intervenir.

Éliminer l'infection sur les appareils individuels :

Pour les ordinateurs individuels, les stratégies pour reprendre le contrôle de la machine incluent l’exécution d’un logiciel antivirus, la réinstallation du logiciel à partir d’une sauvegarde sécurisée ou le redémarrage à partir d’une machine vierge après reformatage du système. Pour les appareils IoT, les stratégies peuvent inclure le flashage de micrologiciel, la réinitialisation aux paramètres d'usine ou le formatage de l’appareil. Si ces options sont irréalisables, d’autres stratégies peuvent être proposées par le fabricant de l’appareil ou un administrateur système.

Comment empêcher les appareils de faire partie d'un botnet ?

Créer des mots de passe sécurisés :

For many vulnerable devices, reducing exposure to botnet vulnerability can be as simple as changing the administrative credentials to something other than the default username and password. Creating a secure password makes brute force cracking difficult, creating a very secure password makes brute force cracking virtually impossible. For example, a device infected with the Mirai malware will scan IP addresses looking for responding devices. Once a device responds to a ping request, the bot will attempt to login to that found device with a preset list of default credentials. If the default password has been changed and a secure password has been implemented, the bot will give up and move on, looking for more vulnerable devices.

Autoriser uniquement l'exécution sécurisée de code tiers :

Si vous adoptez le modèle d'exécution de logiciels par téléphone mobile, seules les applications autorisées peuvent s'exécuter, ce qui permet de mieux contrôler l'arrêt des logiciels considérés comme malveillants, y compris les réseaux de botnets. Seule une exploitation du logiciel de supervision (c'est-à-dire noyau) peut entraîner l'exploitation du dispositif. Pour cela il faut disposer d'un noyau sécurisé, que la plupart des appareils IoT ne possèdent pas. Cela s'applique davantage aux machines qui exécutent des logiciels tiers.

Effacer/restaurer régulièrement le système :

La restauration à un bon état connu après un temps défini supprimera toutes les « souillures » qu'un système a collectées, logiciels de botnet inclus. Cette stratégie, lorsqu'elle est utilisée à titre préventif, garantit que même les logiciels malveillants qui s'exécutent en silence sont éliminés.

Mettre en place de bonnes pratiques de filtrage du trafic entrant et sortant :

Other more advanced strategies include filtering practices at network routers and firewalls. A principle of secure network design is layering: you have the least restriction around publicly accessible resources, while continually beefing up security for things you deem sensitive. Additionally, anything that crosses these boundaries has to be scrutinized: network traffic, usb drives, etc. Quality filtering practices increase the likelihood that DDoS malware and their methods of propagation and communication will be caught before entering or leaving the network.

Si vous êtes attaqué, vous pouvez prendre des mesures pour réduire la pression de l'attaque. Si vous êtes déjà client Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque. La protection DDoS mise en œuvre par Cloudflare est multiforme pour atténuer le plus de vecteurs d'attaque possibles. En savoir plus sur la protection DDoS de Cloudflare.

Service commercial