Architecture, fonctions et cycle de vie

Architecture, fonctions et cycle de vie 

Les botnets, réseaux de machines infectées [CJM05] par des logiciels malveillants permettant de les contrôler à distance, constituent une préoccupation majeure pour les opérateurs réseau du fait du nombre de machines infectées et des menaces associées : attaques par déni de service distribuées (DDoS), spam, et vol de données bancaires. Ces machines infectées sont sous le contrôle de machines maîtres, qui sont à leur tour sous le contrôle d’attaquants. Les machines maîtres envoient des commandes vers les machines infectées afin de récupérer des informations volées au préalable ou pour déclencher d’autres attaques. La communication au coeur du botnet est assurée par des protocoles largement utilisés pour des activités légitimes comme HTTP et IRC, afin d’éviter d’être identifiés par les systèmes de détection réseau. Ceci en réutilisant des composants existants comme les serveurs et clients IRC et les serveurs web. La communication des machines infectées, ou bots, avec les machines maîtres, ou serveurs de contrôle et commande (C&C), est soit centralisée, soit pair-à-pair (p2p). Dans une structure centralisée, les machines infectées communiquent directement avec les machines maîtres, contrairement à la structure décentralisée où une communication doit traverser plusieurs machines infectées avant d’atteindre la machine maître. Le développement des moyens de paiement électroniques et la puissance de calcul des ordinateurs actuels, ainsi que l’augmentation de la bande passante réseau chez les particuliers, a attisé la convoitise des attaquants. En effet, le développement des botnets est devenu une activité commerciale, voire militaire [KWU12]. Afin d’exploiter au mieux les ressources des machines corrompues, les attaquants informatiques ont automatisé leurs procédés pour les contrôler et déclencher les attaques de manière synchronisée. Cette automatisation correspond à la notion de botnets où son opérateur (botmaster) contrôle les ressources des machines infectées et décide du déclenchement d’attaques distribuées.

La motivation principale des créateurs de botnets est d’engranger des profits en utilisant les ressources et les données des machines sous leur contrôle. Ils font des profits en vendant les données subtilisées aux victimes ou en exploitant les ressources réseau de leurs machines pour déclencher des attaques. Par exemple dans l’attaque spam, les opérateurs de botnets sont rémunérés par des tiers pour l’envoi massif de courriers indésirables. Le développement des moyens de paiement électronique a permis aux botnets de générer des profits de manière plus directe. Les botnets bancaires sont apparus. Ils permettent l’interception de données telles que les numéros de carte de crédit, ou les identifiants de connexion vers le compte bancaire. Ces données sont revendues ensuite vers des tiers. L’évolution majeure des botnets est l’apparition de kits de création de botnets, communément appelés Crimeware. Ces derniers permettent la mise en place des différents composants d’un botnet : le logiciel malveillant à installer sur la machine de la victime ainsi que le serveur de contrôle et commande. Ces kits sont vendus à des prix attractifs qui varient selon les fonctionnalités du botnet créé. Par exemple, le Crimeware Beta bot est vendu entre 300 et 500 $ [bet13], alors que le botnet Aldibot [ald11] est vendu à moins de 7 $.

La distribution de ces kits à des prix attractifs a permis la “démocratisation” des botnets. Ainsi, des individus qui n’ont pas de compétences techniques élevées peuvent acquérir ces kits pour créer leur propre botnet et le contrôler sans difficulté. Pour que cette activité soit lucrative, le botnet contrôlé doit contenir des machines infectées. Autrement dit, le logiciel malveillant doit être exécuté par des machines pour qu’elles rejoignent le botnet. Les opérateurs de botnets doivent infecter de nouvelles machines ou passer par des tiers le faire. À titre d’exemple, le kit de création de botnets Zeus, très utilisé pour le vol de données bancaires, contient un logiciel permettant la génération du programme malveillant du botnet, ainsi qu’un ensemble de pages web. Ces pages doivent être hébergées dans un serveur web pour permettre à l’opérateur de contrôler son botnet. Ce kit était vendu entre 3000 et 4000 $ [SJ11] lors de son apparition en 2007.

Types de structure de botnets

Structure centralisée 

Dans ce type de structures, le botnet est contrôlé par un ou plusieurs serveurs de contrôle et commande. Les membres du botnet se connectent directement au serveur de contrôle et commande afin de recevoir leurs instructions ou pour renvoyer les rapports des attaques accomplies. Ce serveur est contrôlé par l’opérateur du botnet. Les commandes d’attaques sont reçues directement, ce qui permet à l’opérateur de déclencher les attaques rapidement. Dans les structures centralisées, le serveur de contrôle et commande est un point de défaillance du botnet. Une panne de ce serveur ou l’arrêt des connexions vers celui-ci aura pour conséquence l’interruption du botnet. L’opérateur de ce botnet ne le contrôlera plus puisqu’il ne peut plus envoyer de commande vers les machines infectées. Lorsque les botnets se  basent sur des protocoles populaires pour contrôler leurs machines infectées, ils deviennent difficilement détectables au niveau réseau, puisque ces protocoles sont également utilisés par les applications légitimes. Ainsi, les systèmes de détection d’intrusion (IDS) qui se basent sur les signatures des communications malveillantes peuvent difficilement et au prix de beaucoup de faux positifs différencier une communication légitime d’une communication malveillante d’un botnet si cette dernière se base sur les mêmes protocoles. Dans une structure centralisée, le serveur de contrôle doit pouvoir gérer l’ensemble des connexions des machines infectées de ce botnet. Ce serveur peut ne pas supporter la charge lorsque le botnet comporte un nombre important de machines à contrôler. Afin de remédier à cela, les opérateurs de botnets font de l’équilibrage de charge en utilisant plusieurs serveurs. En outre, l’utilisation de plusieurs serveurs de contrôle rend le démantèlement du botnet difficile. En effet, il faut déconnecter l’ensemble des serveurs afin que l’opération soit réussie. Pour contrecarrer les opérations menées contre les botnets, les attaquants se basent sur des techniques pour cacher l’emplacement du serveur de contrôle du botnet. Ceci a pour conséquence de rendre ces opérations onéreuses puisqu’il leur faut prévoir l’adresse du serveur de contrôle pour pouvoir appliquer des contre-mesures.

Structure décentralisée 

Dans une structure décentralisée ou pair-à-pair (P2P), la communication entre une machine infectée et l’attaquant s’effectue par l’intermédiaire des autres machines infectées du botnet. Pour propager les commandes dans le réseau, l’opérateur du botnet se connecte à un noeud du réseau. Dans une structure décentralisée, contrairement à la structure centralisée, il n’y a pas de point de défaillance dans le réseau. La perturbation de ce type de structure est difficile, puisque même si une partie des machines infectées du botnet n’est pas joignable, l’autre partie reste toujours fonctionnelle. En effet, l’attaquant peut contrôler cette partie du botnet en se connectant à n’importe quel noeud de cette partie. Cependant, ce type de botnet est vulnérable aux infiltrations. Ainsi, le botnet décentralisé Storm [HSD+08] a été infiltré par des chercheurs [LWM09]. Dans un premier temps, ils ont récupéré la clé de chiffrement utilisée dans le canal de contrôle pour analyser les commandes envoyées par l’attaquant. Ensuite, en se faisant passer par l’opérateur du botnet, ils ont envoyé des commandes auprès des machines infectées, afin de leur demander de désinstaller le logiciel malveillant. Bien que l’opération d’infiltration de ce type de botnet peut être réussie, elle n’est réservée que pour lutter contre les botnets représentant une menace importante que ce soit par le nombre important de leurs machines ou par la nuisance de leurs attaques. En  effet, la récupération de la clé de chiffrement du botnet pour analyser les communications et pour pouvoir reproduire les commandes est couteuse puisqu’il faut faire de l’ingénierie inverse sur le fichier binaire du logiciel malveillant du botnet. Puisqu’il n’y a pas d’entité centralisée, les machines infectées dans ce type de botnets doivent se connecter aux autres membres du réseau pair-à-pair pour rejoindre le botnet. Pour cela, ils se connectent à des points d’entrée appelés “supernodes”. Ces derniers font partie du botnet et procurent aux machines nouvellement infectées les adresses des autres membres. Cette opération est appelée ralliement dans les réseaux p2p. Les supernodes doivent être accessibles en permanence puisque le ralliement de nouveaux membres au botnet dépend de leur accessibilité. Ainsi, les machines nouvellement infectées doivent avoir en leur possession les adresses IP ou les noms de domaine des supernodes. Autant dire que ces adresses ou noms de domaine doivent être configurés dans le logiciel malveillant du botnet. Par conséquent, si ces supernodes ne sont pas accessibles, le botnet ne peut pas accueillir de nouveaux membres. Les commandes émises par l’attaquant dans une structure décentralisée mettent plus de temps à atteindre les machines infectées par rapport à une structure centralisée, puisqu’elles doivent traverser plusieurs noeuds avant d’attendre leurs destinations. Dans cette structure, l’opérateur du botnet contrôle conjointement les machines infectées. Les commandes qu’il génère sont destinées à l’ensemble des machines infectées, contrairement à la structure centralisée où il est plus facile de contrôler individuellement les machines infectées. De plus, les communications de ces botnets sont plus faciles à détecter dans certains contextes comme dans les réseaux d’entreprise où le P2P est interdit.

Structure hybride 

Puisqu’il est aisé de bloquer les communications vers un serveur, les botnets centralisés sont sensibles aux défaillances et à la perturbation de leurs opérations. Le réseau local ou le réseau de l’opérateur des machines infectées peut bloquer les communications vers leurs serveurs de C&C. Afin de contourner ce blocage potentiel, des opérateurs de botnet utilisent une structure hybride. Cette structure hybride fonctionne comme une structure centralisée si aucune tentative de blocage ou de perturbation du botnet n’est en cours. En revanche, si les serveurs de contrôle ne sont plus joignables par les machines infectées, le botnet bascule dans un mode pair-à-pair. Les machines infectées se connectent les unes aux autres afin de créer un réseau pair-à-pair qui pourra être accessible par l’opérateur du botnet. Le botnet peut également changer de structure périodiquement pour diminuer les chances de se faire détecter ou pour renforcer la structure de son réseau pair-à-pair. Cette structure hybride a été adoptée par des botnets connus comme Zeus [Zeub].

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela rapport-gratuit.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Introduction
1 Analyse de botnets
1.1 Architecture, fonctions et cycle de vie
1.2 Méthodes de communication
1.3 Attaques et impacts
1.4 Conclusion et perspective
2 Traçabilité du trafic internet
2.1 Analyse des attaques par déni de service
2.2 Analyse et limites des méthodes de traçabilités
2.3 Définition, conception d’une méthode de traçabilité
2.4 Évaluation et validation
2.5 Conclusion et analyse
3 Méthode de détection de botnets
3.1 Problématique
3.2 Analyse des méthodes de détection existantes
3.3 Proposition d’une nouvelle méthode de détection
3.4 Évaluation et validation
3.5 Conclusion et analyse
4 Méthodes de détection collaboratives des botnets
4.1 Étude et analyse des méthodes collaboratives
4.2 Architecture de notre système
4.3 Cas d’usage de la détection des botnets de type domain-flux
4.4 Évaluations et validations
4.5 Conclusion
5 Méthodes réactives aux botnets
5.1 Problématique
5.2 Analyse des modes réactifs et contre-mesures
5.3 Proposition de contre-mesures
5.4 Évaluation et validation
5.5 Conclusion
6 Conclusion 

Rapport PFE, mémoire et thèse PDFTélécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.