Marc Blanchard Virus Docteur

JDN Solutions - Interview

Marc Blanchard (Kaspersky) : "On peut décompter 20 à 30 millions de bots dans le monde" Le chercheur de Kaspersky revient sur l'évolution des modes de propagation multiplateforme des réseaux zombies. Technologie P2P et consoles d'administration complexifient la lutte antivirale.

JDN Solutions : Pourquoi cette enquête sur les réseaux de PC zombies ?

Ce qui m'y a poussé, c'est la déclaration du 13 juin dernier faite par le FBI et qui faisait état d'un million de victimes potentielles. De source non-officielle, je pense qu'en 2007, on peut en décompter entre 20 et 30 millions. Bien que ce désordre numérique ne soit pas une épidémie - cela fait désormais quelques temps que ce ne l'est plus -, il m'inquiète.

Le spam envoyé depuis des ordinateurs infectés existait déjà, mais en 2007 nous avons remarqué la multiplication des faux serveurs Web et des blogs fictifs, référencés dans les moteurs de recherche. Or, tous ces services sont hébergés sur des machines contrôlées par un bot, c'est-à-dire un robot.

En ce qui concerne le mode de fonctionnement, on reste sur des techniques connues, avec notamment des backdoors et des rootkits. Mais ce que les pirates recherchent, c'est uniquement la multiplication du nombre de machine zombies. En 2003, le temps moyen d'un développement suite à l'apparition un nouvel exploit était de 15 minutes avec propagation sur le net. En 2007, ce temps est seulement de 4 minutes.

JDN Solutions : Quelles évolutions avez-vous notées en ce qui concerne les bots ?

On s'aperçoit que le taux d'utilisation d'une machine contaminée par un bot ou un ver - non Storm - est de l'ordre de 100% du CPU. L'utilisateur va donc vraisemblablement s'apercevoir de la contamination, ne serait-ce que parce que son ordinateur souffre d'importants ralentissements.

J'ai ainsi remarqué que les pirates analysaient désormais le nombre de mégaflops de la machine et divisaient par 2 ou 3 le taux d'utilisation du CPU. Lors de mes tests, j'ai ainsi exécuté Storm Worm sur un ordinateur disposant de 337 mégaflops. Avec ce bot, c'était non plus 100% du CPU qui étaient exploités, mais 47%.

"Il suffit désormais de se rendre sur un site Web pour être contaminé"

Cette prise de contrôle d'ordinateurs vulnérables permet aux pirates de bénéficier d'une puissance de calcul extraordinaire. A titre de comparaison, le supercalculateur du centre de météorologie français, le Cray, dispose d'une puissance de 101 téraflops. Si on ne retient que la moitié du nombre de victimes comptabilisées par le FBI, soit 500 000, et que l'on attribue à chacun une puissance de 210 mégaflops, on peut se faire une idée de la puissance représentée par les botnets.

JDN Solutions : Quel est le mode de propagation des bots ?

Aujourd'hui, les méthodologies de propagation et de contrôle à distance des machines sont différentes. Dans un premier temps, on va essayer de vous pousser une enveloppe vide de toute attaque, en fait une backdoor. Cette porte dérobée va permettre d'accéder à un point d'entrée afin de propager une ou plusieurs attaques : serveur de mail, faux blog, faux DNS, etc. Le robot activé - le bot -, enverra de façon automatisée votre adresse IP au pirate à chacun de ses changements.

Les plates-formes de propagation ont elles aussi changé. Avant, le mode de contamination était essentiellement l'e-mail. Désormais, il suffit d'aller sur un site Web. Il faut savoir qu'un script inséré dans le code d'une page Web permet de modifier en temps réel une clef de registre.

Ainsi, les pirates viennent ajouter du code dans les pages d'origine des serveurs, soit un script ou un iframe, qui va pointer vers un autre serveur. Ainsi, un internaute visitant le site et n'ayant pas un système à jour, comme cela est fréquent, téléchargera le code du programme malveillant.

Les attaques de script - VBS, Javascript, PHP, iframe, etc. - vont de pair avec la montée en puissance de Storm Worm. Depuis août, la base de signature des scripts malveillants a ainsi progressé de 300%.

"Les consoles d'administration permettent de géolocaliser les victimes par pays"

JDN Solutions : Quelles sont les particularités de Storm Bot ?

En plus d'une grande force de calcul, il permet aux pirates de géolocaliser l'ensemble des zombies et repose sur une technologie de P2P. Storm Botnet se compose ainsi de machines hôtes mâles qui vont essayer de trouver 1.000 à 2.000 femelles prêtes à accéder au code géniteur du programme. En outre chaque femelle sera reliée à au minimum 3 machines hôtes. Le maillage est très rapide car les femelles vont essayer également de propager des enveloppes vides à 1.000 à 2.000 autres machines.

Les consoles d'administration permettent quant à elles désormais de géolocaliser les victimes par pays. Un pirate peut même établir des rapports statistiques par pays et télédistribuer une attaque à l'échelon national ou international. Ce mode opératoire permet d'ailleurs de remettre en cause l'implication des autorités chinoises dans les attaques contre la France. Les machines zombies peuvent en effet se trouver en Chine, mais le commanditaire, via ces consoles d'administration évoluées, peut être dans un autre pays.

Autrefois, un botnet était facilement géolocalisable car il reposait sur quelques machines poussant l'attaque. Il suffisait alors d'examiner les traces sur un ordinateur zombie pour retrouver l'identité de ces serveurs hôtes. Une fois ces derniers désactivés, le réseau zombie s'écroulait.

JDN Solutions : Un tel maillage signifie-t-il qu'il est désormais impossible de déconnecter un botnet ?

Ce serait comme essayer d'arrêter un réseau P2P type Kazaa. Trop de machines sont à la fois clientes et serveurs pour qu'il soit possible de faire s'écrouler le réseau de partage. Pour venir à bout de Storm Botnet, il faudrait parvenir à nettoyer l'ensemble des ordinateurs contaminés. Or, il y aura toujours des machines vulnérables.

De vieux programmes comme Blaster, Sasser, Mydoom continuent par exemple d'être au Top 5 des attaques sur le câble. Cela signifie qu'il y a toujours des postes vulnérables qui véhiculent le code sur les réseaux. Avec une propagation multiplate-forme, les pirates s'assurent de toujours disposer d'un nombre de bots suffisant. Et ils y ont tout intérêt puisque leurs profits en dépendent directement.

L'intégrale de l'interview sur le Journal du Net

Un article de Damien Coulomb de LMI (lemondeinformatique.fr) concernant une présentation du début de mes recherches sur les storms worms et storm zombies est parue hier.

Je cite :

Edition du 26/09/2007 - par Damien Coulomb

Le 10 septembre dernier, à l'occasion du l'ouverture du Superbowl, un groupe de pirates informatiques a lancé la plus grande vague d'attaques utilisant la méthode « storm worm ».

Cette technologie de piratage, apparue au début de l'année et de plus en plus pratiquée, permet d'asservir la puissance non utilisée des ordinateurs infectés.

« L'idée en soi n'est pas nouvelle, ils n'ont fait que reprendre le concept de puissance de calcul décentralisée, lancé il y a quelques années par le SETI (Search for Extraterrestrial Intelligence)», nous explique Marc Blanchard, responsable des recherches scientifiques antivirus de Kaspersky Lab.

A l'époque il s'agissait d'utiliser la puissance non utilisée des ordinateurs personnels de volontaires, via un screensaver. « Ce que les pirates veulent, c'est disposer d'une énorme puissance de calcul, en parasitant un maximum de machines, transformées en PC zombie par le code malicieux qu'ils ont réussi à y introduire. »

..../.... la suite sur le site du journal

Cette recherche, qui est en cours, consiste à montrer que les pirates, en infectant des machines utilisateurs, et en les utilisant à des fins d'attaques, que la puissance globale dont ils disposent via nos ordinateurs est d'une puissance inimaginable. Vous pourrez suivre sur ce blog les résultats de cette recherche.

En réponse à Marc Olanié sur son article sur la vulnérabilité de KAV et KIS 6 et 7 publiée sur rootkit.com, je voudrais apporter quelques explications.

Ce qu'il faut savoir sur cette vulnérabilité est la grande difficulté avec laquelle on peut l'exploiter.

Dans un premier temps, cette vulnérabilité ne peut fonctionner, que si et seulement si, Windows est ouvert !!! peu probable dans les versions XP/Vista!

A savoir qu'un partage réseau n'est pas suffisant. Il faut que l'administrateur du poste Windows permette non seulement un partage réseau, mais également le fait qu'une personne extérieure puisse exécuter des programmes à distance!

Chose qui, n'est évidemment pas autorisé par défaut lors des installations des OS Windows.

L'impossible étant possible, pour que cette attaque puisse fonctionner, il faudrait que le poste soit infecté par une backdoor, que cette backdoor ouvre un port TCPIP, qu'elle puisse permettre d'exécuter un programme, que ce programme soit poussé par le créateur, puis ensuite que le créateur puisse accéder à la machine pour son lancement, pour qu'ensuite, de nombreux écrans bleus apparaissent, pour qu'au final, l'utilisateur appuie sur son interrupteur d'arrêt de la machine pour la redemarrer.

Cela fait beaucoup de choses pour un écran bleu ou l'extinction du PC ....pas glop!!!!

Les utilisateurs possédant Kaspersky, mettent à jour leurs bases antivirales en moyenne toutes les heures..ou moins, si ils ont choisi de mettre la mise à jour des bases en automatique.

Actuellement (voir les stats des fréquences de mises à jours de nos viruslabs) , on peut constater que depuis plus d'un mois maintenant, environ toutes les 39 minutes, de nouvelles bases sont disponibles au téléchargement. Téléchargement, qui, par défaut dans KAV/KIS 6 et 7, sont automatiques.

Les probabilités d'infections via une backdoor, puis la réception d'un malware qui permettra l'exécution de l'exploit, se trouvent minimisées.

D'autre part, la PDM (le module proactive défense du moteur) permet une exécution et une vérification dans une sandbox heuristique des codes ne reagissant pas aux signatures. Cette PDM permet notamment d'analyser les intégrités du système (toute exécution est controlée, mais aussi une analyse de l'activité de la registre, des processus, des installations et exécutions cachées).

Vous me direz : c'est là que l'exploit intervient !!

Je vous répondrai, oui, mais comment pourrait-il se copier, s'exécuter si il est bloqué par les analyses des AVBases ou de la proactive défense?

De même, étant donné que cet exploit ne peut se lancer qu'en effectuant un éventuel contrôle total à distance de la machine, il est difficilement probable que cet exploit s'active dans le monde à petite, moyenne ou grande échelle.....

Bref, suite au collège que j'ai eu avec notre équipe de développeurs gérant les vulnérabilités, on peut dire que cette vulnérabilité est classée au niveau BAS.

Nous travaillons actuellement dessus et la mise à jour de KLIF.SYS sera effectuée de façon automatique sur KAV/KIS.

Donc pas de panique face à cet exploit, qui, je vois, commence à faire couler de l'encre !

Arnaud Dimberton : Silicon.fr

Dans son verdict, la cour de Washington DC a donc tranché en faveur de Kaspersky, rejetant l’action en justice entreprise par la société Zango, concepteur de logiciels publicitaires (adwares).

Le juge Coughenour a rejeté la demande de Zango qui voulait que sa solution soit cataloguée comme étant "sûre" et a ainsi déchargé Kaspersky Lab de toute responsabilité conformément au "Communications Decency Act."

Zango avait attaqué Kaspersky en justice afin que la solution du groupe moscovite arrête de bloquer l'installation de son logiciel.

Selon Kaspersky : "ce jugement protège le droit du consommateur à choisir quels logiciels doivent être installés sur son ordinateur, et autorise les éditeurs de solutions antivirales à identifier et à indiquer les programmes potentiellement indésirables et nuisibles à l’internaute."

Par ailleurs, l'éditeur rappelle qu'avec ses solutions de protection, les utilisateurs sont libres d’ajuster les paramétrages pour permettre aux programmes de leur choix d’être actifs ou non.

"La mission de Kaspersky Lab a toujours été et reste de faire d’Internet un endroit plus sûr. Nous sommes ravis de l’issue de cette affaire, car le jugement est en parfaite adéquation avec la vocation de l’industrie antivirale – la protection de l’usager est primordiale", rappelle Eugène Kaspersky, dg de Kaspersky Lab.

Rappelons qu'en novembre 2006, a FTC (Federal Trade Commission) a condamné Zango à une amende de 3 millions de dollars. Le gendarme du commerce américain a déclaré dans un communiqué : " les méthodes utilisées par Zango sont injustes et frauduleuses, d'autant qu'il est très difficile pour un utilisateur lambda contaminé de désinstaller ces logiciels-espions."

En effet, pour accéder au visionnage de clips ou pour télécharger des jeux sur le site Zango.com les utilisateurs doivent installer un fichier dénommé 'setup.exe' et signé de Zango. Seulement ce que la plupart des internautes ne savent pas c'est qu'ils téléchargent un fichier-espion. La fonction de ce dernier est multiple, non seulement il récupère des informations sur les sessions Web de l'internaute, mais entraîne l'apparition de pop-up à caractère pornographique.