Les attaques botnet sont responsables des plus grandes attaques DDoS jamais enregistrées. Découvrez comment les périphériques sont infectés par des malwares botnet, comment les bots sont contrôlés à distance et comment protéger un réseau d’une invasion de botnets.
Cet article s'articule autour des points suivants :
Contenu associé
L'attaque par déni de service
Modèle OSI
Qu'est-ce que le routage blackhole DDoS ?
Atténuation DDoS
Comment DDoS | Outils d’attaque DoS et DDoS
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un botnet désigne un groupe d’ordinateurs infectés par des malwares et contrôlés par un acteur malveillant. Le terme botnet est la contraction des mots robot et network (réseau) ; chaque appareil infecté est appelé un bot. Les botnets peuvent être conçus pour accomplir des tâches illégales ou malveillantes, notamment l'envoi de spam , le vol de données, les logiciels rançonneurs (ou ransomwares), les clics frauduleux sur les publicités ou les attaques par déni de service distribué (DDoS) .
Bien que certains logiciels malveillants, tels que les logiciels rançonneurs, aient un impact direct sur le propriétaire de l'appareil, les malwares botnet DDoS peuvent avoir différents niveaux de visibilité. Certains logiciels malveillants sont conçus pour prendre totalement contrôle d'un appareil, tandis que d'autres fonctionnent discrètement en arrière-plan en attendant les instructions du pirate appelé parfois « bot herder ».
Les botnets à auto-propagation recrutent des robots supplémentaires par le biais de divers canaux. Les voies d'infection comprennent l'exploitation des vulnérabilités de sites Web, les logiciels malveillants cheval de Troie et le cracking d'authentification faible pour obtenir un accès à distance. Une fois l'accès obtenu, toutes ces méthodes d'infection entraînent l'installation de logiciels malveillants sur le périphérique cible, permettant ainsi le contrôle à distance par l'opérateur du botnet. Une fois qu'un périphérique est infecté, il peut tenter de propager lui-même le logiciel malveillant botnet en recrutant d'autres périphériques matériels dans le réseau environnant.
S'il est impossible de déterminer avec précision le nombre exact de bots dans un botnet particulier, les estimations du nombre total de bots dans un botnet sophistiqué vont de quelques milliers à plus d'un million.
Les raisons d'utiliser un botnet vont de l'activisme aux perturbations parrainées par un État, de nombreuses attaques étant menées uniquement dans un but lucratif. L'embauche de services de botnet en ligne est relativement peu coûteuse au regard notamment des importants qu'ils peuvent causer. Les barrières empêchant la création de botnets sont également suffisamment faibles pour que l'activité soit lucrative pour certains développeurs de logiciels, en particulier dans les zones géographiques où la réglementation et l'application des lois sont limitées. Cette combinaison a conduit à une prolifération de services en ligne proposant des attaques à la location.
Une caractéristique essentielle d'un botnet est la possibilité de recevoir des instructions mises à jour de la part du bot herder. La possibilité de communiquer avec chaque bot présent sur le réseau permet au pirate d'alterner les vecteurs d'attaque, de modifier l'adresse IP ciblée, de mettre fin à une attaque et d'effectuer d'autres actions personnalisées. La conception des botnets varient, mais les structures de contrôle peuvent être classées en deux catégories générales :
Le modèle client/serveur reproduit le flux de travail traditionnel d'un poste distant, dans lequel chaque ordinateur se connecte à un serveur centralisé (ou à un petit nombre de serveurs centralisés) afin d'accéder aux informations. Dans ce modèle, chaque bot se connecte à une ressource de centre de commande et de contrôle (CnC) comme un domaine web ou un canal IRC afin de recevoir des instructions. En utilisant ces référentiels centralisés pour fournir de nouvelles commandes au botnet, un pirate doit simplement modifier le matériel source consommé par chaque botnet depuis un centre de commande afin de mettre à jour les instructions destinées aux machines infectées. Le serveur centralisé contrôlant le botnet peut être un appareil possédé et opéré par le pirate ou un appareil infecté.
Un certain nombre de topologies populaires de botnets centralisés ont été observées, notamment :
Topologie de réseau en étoile
Topologie de réseau multi-serveurs
Topologie de réseau hiérarchique
Dans chacun de ces modèles client/serveur, chaque bot se connecte à une ressource centrale de commande comme un domaine web ou un canal IRC pour recevoir des instructions. En utilisant ces référentiels centralisés pour servir de nouvelles commandes pour le botnet, un attaquant a simplement besoin de modifier le matériel source que chaque botnet consomme à partir d'un centre de commande afin de mettre à jour les instructions destinées aux machines infectées.
La vulnérabilité de ces machines va de pair avec la simplicité de la mise à jour des instructions destinées au botnet à partir d'un nombre limité de sources centralisées. Afin de supprimer un botnet avec un serveur centralisé, il suffit uniquement de perturber le serveur. En raison de cette vulnérabilité, les créateurs de logiciels malveillants de botnets ont évolué et se sont tournés vers un nouveau modèle moins susceptible d'être perturbé par un ou plusieurs points de défaillance.
Pour contourner les vulnérabilités du modèle client/serveur, les botnets ont plus récemment été conçus à l'aide de composants de partage décentralisé de fichiers peer-to-peer. L'intégration de la structure de contrôle à l'intérieur du botnet élimine le point de défaillance unique présent dans un botnet avec un serveur centralisé, ce qui rend les efforts d'atténuation plus difficiles. Les bots P2P peuvent être à la fois des clients et des centres de commande, travaillant main dans la main avec leurs nœuds voisins pour propager les données.
Les botnets peer-to-peer conservent une liste d'ordinateurs de confiance avec lesquels ils peuvent donner et recevoir des communications et mettre à jour leur logiciel malveillant. En limitant le nombre des autres machines auxquelles le bot se connecte, chaque bot n'est exposé qu'à des appareils adjacents, ce qui le rend plus difficile à suivre et plus difficile à atténuer. L'absence d'un serveur de commande centralisé rend un botnet peer-to-peer plus vulnérable au contrôle par une personne autre que le créateur du botnet. Pour se protéger contre la perte de contrôle, les réseaux de botnets décentralisés sont généralement chiffrés de manière à en limiter l'accès.
Personne n'effectue ses opérations bancaires par Internet à l'aide de la caméra de vidéosurveillance sans fil installée dans la cour pour surveiller la mangeoire à oiseaux, ce qui ne signifie pas pour autant que cette caméra s'avère incapable d'émettre les requêtes réseau nécessaires. Associée à une sécurité faible ou mal configurée, la puissance des appareils IdO crée une opportunité pour les logiciels malveillants cherchant à créer un botnet de recruter de nouveaux bots dans le parc d'appareils IdO. L'essor de ce type d'appareils a ouvert un nouveau panorama aux attaques DDoS, car nombre d'entre eux sont mal configurés et vulnérables.
Si la vulnérabilité d'un appareil IdO est codée en dur au sein du firmware, les mises à jour se révèlent plus difficiles. Pour atténuer les risques, les appareils IdO au firmware obsolète doivent être mis à jour, car les identifiants par défaut demeurent généralement inchangés après l'installation initiale de l'appareil. Aucune récompense ne vient inciter les fabricants d'équipements peu coûteux à rendre leurs appareils plus sûrs. La vulnérabilité représentée par les logiciels malveillants de création de botnet reste donc un risque de sécurité non résolu pour les appareils IdO.
Les botnets conçus à l'aide d'un schéma de commande et de contrôle peuvent être plus facilement désactivés une fois que les centres de contrôle peuvent être identifiés. Il suffit souvent de couper la tête aux points de défaillance pour mettre le botnet hors ligne. Par conséquent, les administrateurs du système et les organismes chargés de faire respecter la loi se concentrent sur la fermeture des centres de contrôle de ces botnets. Ce processus est plus difficile si le centre de contrôle opère dans un pays où les forces de l'ordre disposent de peu de moyens ou sont moins disposées à intervenir.
Pour les ordinateurs individuels, les stratégies pour reprendre le contrôle de la machine incluent l’exécution d’un logiciel antivirus, la réinstallation du logiciel à partir d’une sauvegarde sécurisée ou le redémarrage à partir d’une machine vierge après reformatage du système. Pour les appareils IdO, les stratégies peuvent inclure le flashage de micrologiciel, la réinitialisation aux paramètres d'usine ou le formatage de l’appareil. Si ces options sont irréalisables, d’autres stratégies peuvent être proposées par le fabricant de l’appareil ou un administrateur système.
Pour de nombreux périphériques vulnérables, réduire l'exposition à la vulnérabilité au botnet peut être aussi simple que de remplacer les identifiants administratifs par autre chose que le nom d'utilisateur et le mot de passe par défaut. La création d'un mot de passe sécurisé rend l’attaque par force brute difficile ; la création d'un mot de passe très sécurisé rend l’attaque par force brute pratiquement impossible. Par exemple, un appareil infecté par le logiciel malveillant Mirai analysera les adresses IP à la recherche d'appareils répondant. Lorsqu'un périphérique répond à une requête ping, le bot tente de se connecter au périphérique trouvé avec une liste prédéfinie d'identifiants par défaut. Si le mot de passe par défaut a été modifié et qu'un mot de passe sécurisé a été mis en place, le bot va abandonner et passer à la recherche de périphériques plus vulnérables.
Si vous adoptez le modèle d'exécution de logiciels par téléphone mobile, seules les applications autorisées peuvent s'exécuter, afin de mieux contrôler l'arrêt des logiciels considérés comme malveillants, y compris les réseaux de botnets. Seule une exploitation du logiciel de supervision (c'est-à-dire, du noyau) peut entraîner l'exploitation de l'appareil. Cette dernière repose alors sur la présence d'un noyau sécurisé, dont la plupart des appareils IdO sont démunis. Ce type d'architecture s'applique en effet davantage aux machines qui exécutent des logiciels tiers.
La restauration à un bon état connu après un temps défini supprimera toutes les « souillures » qu'un système a collectées, logiciels de botnet inclus. Cette stratégie, lorsqu'elle est utilisée à titre préventif, garantit que même les logiciels malveillants qui s'exécutent en silence sont éliminés.
D'autres stratégies plus avancées incluent les pratiques de filtrage au niveau des routeurs et pare-feux réseau. L'un des principes de la conception d’un réseau sécurisé est la superposition : vous avez un minimum de restriction sur les ressources accessibles au public, et vous renforcez en permanence la sécurité des éléments que vous jugez sensibles. En outre, tout ce qui franchit ces frontières doit être examiné de près : trafic réseau, lecteurs usb, etc. Les pratiques de filtrage de qualité augmentent la probabilité que les logiciels malveillants DDoS et leurs méthodes de propagation et de communication soient captés avant d'entrer ou de quitter le réseau.
Si vous êtes attaqué, vous pouvez prendre des mesures pour réduire la pression de l'attaque. Si vous êtes déjà client Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque. La protection DDoS mise en œuvre par Cloudflare est multiforme pour atténuer le plus de vecteurs d'attaque possibles. En savoir plus sur la protection DDoS de Cloudflare.