Inventaire des principaux botnets
Date : 05 Juin 2008
Nous rencontrons fréquemment, lors de notre activité de veille médiatique, des articles qui annoncent qu’un nouveau "botnet" a été découvert, et que sa puissance dépasse celle de tous les "botnets" précédemment connus. "Storm", "Stration", "Mega-D" se bousculent ainsi sur le devant de l'actualité. Nous vous présentons ici un inventaire de ces principaux "botnets".
Les types de botnets
On distingue deux grands types d'architectures pour les
botnets :
- Les botnets utilisant un serveur central pour commander les "bots"
- Les botnets "Peer to
Peer"
Nota : Le mot "bot" est la contraction du mot "robot". Nous utiliserons cette terminologie dans la suite de cet article tant son usage est courant lorsque l'on parle de botnet.
Les botnets avec serveur central
Ce premier type d'architecture est la plus courante. Les
machines compromises (hébergeant les "bots") sont asservies et commandées
par une ou plusieurs machines serveurs. Typiquement, lorsqu'il démarre, le "bot"
tente de contacter une série de noms de domaines (inscrits en dur dans son
code). La première machine qu'il parvient ainsi à joindre devient son "commandant"
et lui envoie par la suite des ordres.
Pour neutraliser ce type de "botnet" il "suffit" donc d'identifier
les machines serveurs et de les neutraliser.
Nota : certains auteurs (cf. [1]) identifient deux
sous-familles pour cette architecture en différenciant le cas où le serveur
central est un serveur IRC (première sous-famille) du cas général des autres
serveurs (seconde sous-famille).
Les botnets
"Peer to Peer
Ce second type d'architecture est plus récent (2006). Il utilise le modèle de réseau "Peer to
Peer", c'est-à-dire un réseau maillé sans serveur central. Chaque
"bot" dialogue avec ses pairs ("bots" voisins) sans avoir
la visibilité de l'ensemble du réseau. Le pirate qui commande le botnet, appelé
communément le "bot herder", transmet ses ordres à l'un des
"bots" du réseau. Cet ordre se propage ensuite par voisinage sur
l'ensemble du réseau (chaque "bot" transmet l'ordre qu'il reçoit à
ses voisins). L'intérêt de cette approche est qu'il est très difficile de
neutraliser un botnet P2P car il faut pour cela neutraliser une à une toutes
les machines du réseau.
Il existe actuellement peu de botnets P2P. Les plus connus sont : Storm, Nugache, SpamThru et Mayday. Certains analystes disent qu'en fait l'architecture P2P est trop complexe à mettre en œuvre et que compte tenu de la longue durée de vie des "botnets" classiques (à architecture centralisée) leur niveau de sophistication est inutile.
Utilisation des botnets
Il existe un très grand nombre de botnets actifs sur Internet
car dans la grande majorité lorsqu'un virus infecte un poste de travail il y
installe un "bot". Ces botnets sont utilisés principalement pour :
- Envoyer des messages de SPAM. Ces botnets de SPAM sont contrôlés par des professionnels du SPAM.
- Effectuer des attaques en DDOS. Cette catégorie est plus hétérogène et les botnets qu'on y trouve peuvent être opérés par des professionnels (comme pour le SPAM) ou par des amateurs (comme par exemple des "script kiddies").
Bien sur un même "botnet" peut être utilisé pour effectuer à la demande ces deux types d'actions.
Les principaux botnets de spam
Les botnets les plus gros actuellement connus sont ceux
utilisés pour envoyer du SPAM. Nous listons ici les plus connus, en nous basant
sur l'étude publiée par
Srizbi : C'est depuis février 2008 le botnet de SPAM le plus puissant. On estime que ce botnet est composé de 315 000 bots (machines compromises) et qu'il est capable d'envoyer 60 milliards de message de SPAM par jour. D'un point de vue technique, Srizbi est surtout connu par le haut niveau de sophistication de son module "rootkit" qui lui permet de rester furtif sur les machines infectées.
Rustock : Taille
estimée : 150 000 bots / 30 milliards de emails par jour.
Ce "bot" était initialement spécialisé dans les SPAM dits "pump-and-dump",
c'est-à-dire qui essaient d'influencer sur le cours boursier d'actions "bon
marchés" en incitant les destinataires des SPAM à spéculer et acheter ces actions.
Kraken et Bobax :
Taille estimée : 185 000 bots / 9 milliards d'e-mails par jour.
"Bobax" est un des plus anciens botnets de spam.
Il a récemment muté en "Kraken".
Storm : Taille estimée : 85 000 bots / 3 milliards d'e-mails par jour.
Ce botnet a la particularité d'utiliser une architecture
"P2P", ce qui rend très difficile son démantèlement. Storm (connu
aussi sous les noms "Storm Worm" et "Zhelatin") a beaucoup
fait parler de lui tout au long de l'année 2007 du fait de son envergure et de
son modèle P2P. Des chiffres allant jusqu'à 50 millions de machines infectées
avaient été avancés durant l'été
Mega-D (Ozdok) : Taille
estimée : 35 000 bots / 10 milliards d'e-mails par jour.
Ce botnet était le plus virulent en janvier 2008, mais a brutalement ralenti
son activité en février. Selon certains, ce ralentissement est volontaire et a
pour objet d'éviter d'attirer trop l'attention.
Stration : Ce botnet était très répandu fin 2006, mais il semble avoir disparu depuis. Il a souvent été considéré comme un concurrent de "Storm". Signalons que certains "botnets" se livrent à une bataille, c'est en particulier le cas de "Storm" qui est réputé pour avoir lancé des attaques de déni de service (DDOS) contre des machines utilisées par "Stration".
Pour plus d'information :
- [1] "Command
and control structure in malware" :
http://www.sagecertification.org/publications/login/2007-12/openpdfs/dittrich.pdf - [2] "Top
Spam Botnets Exposed" :
http://www.secureworks.com/research/threats/topbotnets/ - [3] "Peer-to-Peer
Botnets: Overview and Case Study "
http://www.usenix.org/event/hotbots07/tech/full_papers/grizzard/grizzard.pdf - [4] "The
botnet business" :
http://www.viruslist.com/en/analysis?pubid=204792003 - [5] Statistiques publiées par Marshal.com sur les SPAM :
http://www.marshal.com/trace/spam_statistics.asp