Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Laboratoire de Transmission de données Etude de Botnets Table des matières Préa

Laboratoire de Transmission de données Etude de Botnets Table des matières Préambule .............................................................................................................................................................. 1 1. Introduction .................................................................................................................................................... 2 2. Nepenthes ...................................................................................................................................................... 4 2.1. Architecture .......................................................................................................................................... 4 2.1.1. Modules ............................................................................................................................................ 5 2.1.2. Fichier log ........................................................................................................................................ 10 2.2. Installation & Configuration ................................................................................................................ 11 2.3. Limitations ........................................................................................................................................... 13 3. Étude des malwares récoltés ........................................................................................................................ 14 3.1. Sandboxes ........................................................................................................................................... 17 3.2. Auto-défense des malwares ................................................................................................................ 19 3.3. Outils d’analyse ................................................................................................................................... 20 3.4. Sandboxie en détail ............................................................................................................................. 22 3.5. Méthodologie ...................................................................................................................................... 25 3.6. Analyse ................................................................................................................................................ 26 4. Shadowserver Foundation ............................................................................................................................ 34 5. Conclusion .................................................................................................................................................... 35 Bibliographie générale .......................................................................................................................................... 36 Annexes ................................................................................................................................................................ 36 Laboratoire de Transmission de données Etude de Botnets 1 Préambule Les botnets, ou réseau de PC zombies sont depuis quelques années au cœur des problèmes de sécurité informatique. Avec le développement d’Internet et l’augmentation des débits, les internautes privés sont des cibles privilégiées aux attaques car souvent, leurs postes sont peu ou mal sécurisés, ce qui les place à la merci des divers malwares qui circulent sur le réseau mondial. Les créateurs de malwares ont compris cela et ont également vu le potentiel de pouvoir disposer d’un nombre de PC si important ainsi que les diverses (mauvaises) utilisations possibles. La problématique des botnets étant assez vaste, j’ai donc choisi une démarche basée sur l’étude des codes malveillants qui circulent automatiquement sur Internet. J’entends par automatique : sans interaction avec l’utilisateur ou, côté serveur ; par opposition aux malwares présents sur les pages web ou autres qui nécessitent que l’utilisateur visitent une page ou téléchargent tel ou tel fichier. Ce travail débutera par une brève introduction du sujet dans laquelle nous verrons comment se propagent les malwares ainsi qu’une explication des divers types d’honeypots existants. Le deuxième chapitre expliquera en détail le fonctionnement de l’honeypot qui a servi à la collecte des malwares, à savoir, Nepenthes. Ce dernier facilite grandement la capture des malwares car il est facilement mis en place et donne des résultats très rapidement. Nous verrons comment il fonctionne et également ses limitations. Le chapitre trois montrera étudiera les divers malwares récoltés. Il traitera également des mécanismes de sandbox utilisé pour analyser le comportement des malwares ainsi que des méthodes d’auto- défense utilisées par ceux-ci. Suivra un petit descriptif des différents logiciels qui seront utilisés ainsi qu’une analyse plus détaillée de l’outil Sandboxie. Il finira par une analyse détaillée de l’un de ces malwares à l’aide de divers logiciels dont le fonctionnement aura été préalablement expliqué. Le chapitre suivant présentera le site ShadowServer, un projet actuel concernant la capture et l’analyse des malwares ainsi que les botnets. Ce travail s’achèvera par une petite synthèse des résultats obtenus, des difficultés rencontrées ainsi que mon avis sur les possibles suites de ce travail. Je tiens à remercier mon professeur, Mr. Litzistorf pour ses relectures et conseils ainsi que mes camarades du laboratoire de transmission de données qui ont contribué à créer la bonne ambiance qui a régné tout au long de ce travail. Un merci également à Mr. Kerouanton pour son aide et ses orientations dans le sujet. J’espère que vous trouverez ce document clair et agréable à lire. Bonne lecture Quintela Javier Laboratoire de Transmission de données Etude de Botnets 2 1. Introduction Le terme malware désigne un logiciel malveillant ayant été développé dans le but de nuire à un système informatique. Cette appellation générique englobant virus, trojans, etc. regroupe l’ensemble des programmes dont le but est d’utiliser des ressources informatiques de façon détournée. Cette définition n’est en aucun cas officielle car le terme malware reste assez large et les définitions diffèrent légèrement selon les ouvrages. Certains malwares servent à créer des botnets, des réseaux de PC zombies (roBOTs NETwork). En effet, ces malwares vont s’enregistrer chez la cible et se propager automatiquement. De plus, ils vont mettre la machine en écoute (ouvrir un port) pour lui permettre de recevoir des ordres provenant du botnet master (le créateur du malware) sans que l’utilisateur du PC infecté ne s’en rende forcément compte. D’une façon générale, le malware va s’implanter de la manière suivante Figure 1 Les différentes architectures de contrôle des Botnets (IRC, p2p…) ne seront pas traitées dans ce document car elles ont déjà été étudiées au cours d’un précédent projet de semestre1. Les honeypots, « pots de miel », ont été conçus afin de capturer les malwares, en simulant de vraies machines/services. On trouve deux types d’honeypots : des honeypots serveur et client. Du coté serveur, ils seront en écoute du trafic (passifs) et réagiront aux attaques sans aller les provoquer alors que du côté client, ils iront visiter divers site web (actifs) afin de tenter de se faire infecter. Les honeypots, quels qu’ils soient, peuvent être à faible ou forte interaction. Un honeypot à faible interaction faible aura pour but de récolter un maximum d’informations tout en offrant un minimum de privilèges, permettant ainsi de limiter les risques au maximum. Un honeypot à forte interaction permettra l’accès à de véritables services sur une machine, ce qui accroîtra les risques de compromettre réellement la machine. Il faudra donc veiller à protéger la machine. 1 « Comprendre les Botnets pour mieux s’en protéger », GEBRETSADIK Gabriel, Projet de semestre 2007 Laboratoire de Transmission de données Cette étude c’est faite avec un honeypot côté serveur plus tard). Ce dernier nous a permis de récolter u résumé des statistiques de cette capture à savoir le nombre de connections total de malwares récoltés (ces résultats seront repris plus précisément par la suite) Remarque : Par connexions j’englobe 10 fois de suite, et bien il y aura 10 connections comptabilisées. Connections par ports: Fichiers recueillis : Hexdumps recueillis: Binaries recueillis : Figure 2 c un honeypot côté serveur à faible interaction, Nepenthes (décrit Ce dernier nous a permis de récolter un certain nombre de malwares. Ci-dessous se trouve un es statistiques de cette capture à savoir le nombre de connections (hits) par port ainsi que le nombre (ces résultats seront repris plus précisément par la suite). j’englobe toute tentative de connexion, ce qui signifie que si la même t bien il y aura 10 connections comptabilisées. Ports Connections 445 1866 139 1623 135 188 80 81 5000 73 25 4 21 2 10000 1 Total : 3887 connections recueillis: 1547 recueillis : 17 Etude de Botnets Nepenthes (décrit en détail dessous se trouve un par port ainsi que le nombre la même IP se connecte Laboratoire de Transmission de données Etude de Botnets 4 2. Nepenthes Nepenthes2 est un honeypot à faible interaction s’exécutant côté serveur s’exécutant sous Linux et simulant des services (réseau) Windows vulnérables. Contrairement à un honeypot à forte interaction, Nepenthes ne fait que simuler ces services et ne les possède pas réellement. Ils ne peuvent donc pas être exploités par les malwares pour se déployer. De plus, les malwares qu’il collecte étant faits pour s’exécuter dans un environnement Windows (car il simule des services Windows), on ne risque pas de les voir se propager. 2.1. Architecture Nepenthes est basé sur un modèle de conception modulaire. Le noyau (qui est le daemon), se charge des interfaces réseau et de la coordination des actions des autres modules. Actuellement, il contient plusieurs modules qui sont séparés en différentes catégories : • Modules de vulnérabilités (Vulnerability modules), qui émulent des services existant comportant diverses vulnérabilités. • Modules d’analyse de contenu (Shellcode parsing modules), qui analysent le contenu envoyé par les modules de vulnérabilité. • Modules de récupération (Fetch modules), qui utilisent les informations reçues par les modules d’analyse afin de télécharger le malware. • Modules de chargement (Submission modules), qui s’occupent de stocker le malware. • Modules de génération de log (Logging modules), qui enregistrent toutes les informations concernant l’émulation et fournissent un aperçu des signatures (patterns) des données reçues. Ces modules seront décris plus en détail au chapitre suivant. L’architecture de Nepenthes peut être perçue conceptuellement de la façon suivante de la façon suivante : Figure 3 2 http://nepenthes.mwcollect.org/ Laboratoire de Transmission de données Etude de Botnets 5 2.1.1. Modules Les modules de vulnérabilités sont l’élément principal de la plateforme Nepenthes. Ils offrent un mécanisme efficace à la collecte de malwares. L’idée principale de ces modules est de se faire infecter par des malwares qui se propagent seuls (automatiquement). Au lieu d’émuler complètement un service, il n’est nécessaire que d’émuler la partie utile du service, celle qui fera croire à l’attaquant qu’il a bien affaire avec un service réel. Ce concept offre une architecture évolutive et rend possible un déploiement à large échelle dû à son utilisation modérée des ressources (les services n’étant pas complètement simulés). L’émulation peut parfois être relativement simple : il suffit de répondre avec quelques informations à des offset donnés pour tromper l’attaquant et lui faire croire qu’il exploite une vraie vulnérabilité. Ces modules permettent de provoquer des tentatives d’exploits, pour ensuite récupérer le contenu envoyé qui sera transféré aux modules d’analyse. Les modules d’analyse de contenu analysent le code reçu et en extraient l’information concernant l’exploit. L’information extraite est une représentation URL de comment le malware veut se transférer lui- uploads/Ingenierie_Lourd/ etude-de-botnets.pdf