Botnets… enfin !

Après avoir remis mon billet à 3 reprises (presque 4, je dois incessamment vous parler de Naymz, j’ai lancé ce matin une « expérience » à ce sujet auprès de 250 personnes un peu à leur insu, désolé pour ceux et celles qui ont reçu une invitation de ma part et ne la souhaitaient pas, il vous suffit de ne pas répondre ! Tout cela sera de toute manière l’objet de mon prochain post), je vous parle de… BOTNETS !

Pour les experts (coucou {CédricP;Denis} !) en la matière qui me lisent, je vais vous déçevoir car vous n’apprendrez probablement pas grand chose, mais bon on ne peut pas toujours faire plaisir à tout le monde ! En décembre dernier j’ai eu le plaisir de faire office d’expert pour le jury de l’Ecole d’Ingénieurs de Genève, et à cette occasion j’avais suivi un étudiant sur le sujet intéressant des botnets.

Javier Quintela a donc planché sur la mise en place d’un honeypot (Nepenthes) pour la collecte de malware, puis l’étude des binaires collectés.

Son travail de diplôme est téléchargeable ici (avec sa permission, bien entendu !).

Il a le mérite d’être assez clair dans la rédaction, et présente en synthèse les points les plus importants à retenir :

  1. Les binaires collectés sont de plus en plus difficiles à reverser, et utilisent parfois des protections « violentes » du type Themida, qui sont très difficiles à casser (à ma connaissance).
  2. Ce type de protections permet également de passer les antivirus, puisque la charge utile est souvent non reconnue à cause du polymorphisme apporté par Themida.
  3. Les malware sont capables de détecter les environnements virtuels (VMware etc), Javier a alors eu l’idée de passer par une sandbox (sandboxie) pour limiter les effets secondaires indésirables. Avec les autres inconvénients que cela comporte.
  4. Le trafic Internet utilisé par les cochonneries et malwares en tous genre représente un pourcentage non négligeable du trafic total, néanmoins les récents bots sont capables de se camoufler de mieux en mieux, trafic y compris.

En fait on se doute bien de tout cela, mais l’étude permet de reproduire l’environnement de test et de faire l’expérience par soi-même.
Si les botnets et la collecte de malware vous intéresse, je vous invite à approfondir par le biais de ces deux excellents sites :

Ah, oui, avant de finir je vous mets en garde… Tout comme avec les vrais virus biologiques, la collecte de malware est susceptible d’être dangereuse ! Pensez à isoler votre réseau, à prendre des ordinateurs dédiés à cela et non reliés au reste de vos parc de machines… faute de quoi vous risquez d’infecter tout le monde, et vous aurez probablement à expliquer tout cela à vos responsables ;) A bon entendeur, salut !

PS : Et puisque l’on parle rootkits, j’en profite pour vous présenter mon outil fétiche du moment, faisant partie de ma fameuse collection « µTools » que je trimbale partout avec moi (et que les participants au concours Insomni’Hack (plus que quelques jours !) auront d’ailleurs le droit d’avoir en cadeau !). Il s’agit de Gmer. Simple à lancer (parfois obscur dans ses options, mais passons !), il a le mérite d’être un petit exécutable qui fait presque tout ce que l’on a besoin en cas de détresse : ligne de commande, explorateur de fichiers/registry/process/services, détection de rootkits ou de choses curieuses (drivers, hooks etc.), et bien d’autres options sacrément utiles, croyez-en mon expérience, lorsque l’on a des cochonneries à retirer d’un PC.

Attention, il faut savoir 2 choses avant de lancer Gmer :

  • D’une part il installe un driver, semble t’il, il faut donc les droits d’admin pour le lancer et profiter convenablement de toutes ses options,
  • Et d’autre part, j’ai déjà eu un écran bleu avec lui… lorsqu’il scannait. Soit il a bien trouvé un malware qui a mal réagi et a provoqué le plantage, soit c’est lui. Je ne le saurais jamais !

C’est tout pour ce soir !

10 Comments »

Bruno Kerouanton on janvier 29th 2008 in IT Security

10 Responses to “Botnets… enfin !”

  1. Sid responded on 30 jan 2008 at 8:42 #

    Oh my God ! Je suis l’objet d’une expérimentation obscure ! Moi qui te prenait pour quelqu’un de sérieux. Tss tss tss ;)

  2. Bruno Kerouanton responded on 30 jan 2008 at 12:54 #

    Je suis fait !

    En fait, c’est là tout le problème des audits, sondages et tests… Si l’on prévient, on modifie la réaction et le comportement que l’on souhaite analyser.

    L’éternel souci des scientifiques est de pouvoir observer sans altérer… en physique quantique c’est encore plus vrai .

    En tout cas, pas d’inquiétude à avoir sur mon essai, promis.

  3. Sid responded on 30 jan 2008 at 20:00 #

    Bon OK, mais je vais quand même arrêter de te recommander :) Ou pas…

  4. Bruno Kerouanton responded on 31 jan 2008 at 21:54 #

    T’inquiète pas, dans quelques jours je vous donne les résultats…

  5. Cédric Pernet responded on 05 fév 2008 at 12:47 #

    Ouais, on les attend :-p

  6. Bruno Kerouanton responded on 05 fév 2008 at 12:58 #

    Pour l’instant, d’après ce que j’ai reçu, ce n’est pas joli joli… heureusement que je n’ai pas envoyé de mail pointant vers un site louche ;)

    J’attends les dernières réponses, j’espère que ca viendra vite…

  7. Yann responded on 05 fév 2008 at 22:09 #

    Je devrais faire la même chose avec les autres travaux de diplômes :)

    Même si je connaissais déjà le travail, ainsi que le rapport, ton article est intéressant, avec des compléments d’informations utiles. Merci !

    A part ça, je ne sais pas si tu attends sur ma réponse pour Naymz,…mais en 2 semaines, j’ai reçu plusieurs mails pour des sites à LinkedIn, Facebook, Spock ou autres. Si tu me confirmes que Naymz est intéressant, je veux bien m’inscrire…mais si c’est juste pour une expérience, on va attendre les résutats ;)

  8. Bruno Kerouanton responded on 05 fév 2008 at 22:21 #

    Salut Yann ;) Oui, après tout, si le travail de diplôme n’est pas confidentiel et qu’il présente un intérêt, alors pourquoi le laisser dans le tiroir… !

    Sinon pour Naymz, sincèrement je ne t’encourage pas à t’y inscrire, mais tu fais comme tu veux. J’ai compté les personnes qui n’ont pas répondu à mon invitation dans mes stats, ca compte aussi. Je devais leur envoyer un petit questionnaire mais je n’ai pas pris le temps, il faut dire que ca représente plusieurs centaines de personnes ;) Je le ferai peut-être pour consolider mes stats, mais j’ai déjà suffisamment d’éléments pour pouvoir confirmer la tendance générale… Reste donc à faire mon petit rapport, ce qui prendra un peu de temps si je veux un résultat acceptable.

  9. Zythom responded on 22 fév 2008 at 16:35 #

    Bonjour,
    Je viens de finir la lecture du travail de diplôme de Quintela Javier et je dois dire que je suis assez bluffé par la qualité de son travail.
    J’aimerai avoir des étudiants de cette qualité!

  10. Bruno Kerouanton » L’attaque Man-in-the-middle par la pratique ! responded on 07 mai 2008 at 12:13 #

    [...] ne reviendrai pas sur ce phénomène, sachez seulement que ça n’arrête pas, on n’en finit pas de [...]

Trackback URI | Comments RSS

Laisser un commentaire