Kneber, l’histoire d’un botnet
Date : 10 Mars 2010
Evaluation de la menace
C’est lors de notre revue journalière de l'actualité que nous avons pris connaissance le 18 février d’une étude de la société NetWitness rapportant l’infection de près de 75.000 machines par un nouveau réseau de PC zombies (botnet) appelé Kneber. Nous nous sommes rapidement rendu compte que l’information faisait le tour des médias et avait souvent tendance à être quelque peu dramatisée, en particulier par les médias généralistes. Pourtant, si la lecture de l’étude de la société NetWitness revêt effectivement un côté assez dramatique, la mise en perspective et la comparaison de cette découverte avec des événements passés (tels que la propagation du ver Conficker) permet de dire que Kneber n’est pas « la menace du siècle ».
On peut assez facilement expliquer la médiatisation de cette découverte par les points suivants :
- La mise en avant des chiffres : 75.000 machines infectées, 2411 entreprises touchées. Il est de plus difficile de savoir, même en lisant l’étude, sur quelle période ces infections se sont déroulées.
- L’utilisation d’un nouveau nom pour désigner la menace. Ici, une lecture attentive de l’étude de la société NetWitness nous apprend que Kneber n’est rien d’autre qu’un alias pour le cheval de Troie « ZeuS » ou « Zbot ». Le jour de la publication de l’étude, de nombreux journaux ne font pas ce rapprochement.
- La mention de quelques noms de grandes entreprises (par exemple les géants pharmaceutiques Merck & Co. ou Cardinal Health) et le fait que certaines institutions gouvernementales soient citées ajoute bien évidemment quelque chose au côté sensationnel de l’attaque.
- Enfin, la découverte de la société NetWitness est publiée à un moment où l’actualité à propos des menaces informatiques est déjà intense. Nous pensons en particulier à l’opération Aurora qui aurait touché Google ainsi que d’autres entreprises dans le secteur de l’énergie, de la finance, des médias, des nouvelles technologies etc.…
Il est donc important de rester vigilant vis à vis de ce genre d’annonce qu’il ne faut ni négliger ni exagérer. L’observation de la réaction des éditeurs d’antivirus peut être source de clarification. Symantec a par exemple titré dans son blog «Kneber” = ZeuS », et indique que la menace n’a rien de nouveau. En effet, les chevaux de Troie de la famille « Zbot » sont connus sous ce nom depuis au moins l’été 2008 (cf. cette fiche virus de Symantec), mais existaient déjà sous des formes très proches depuis plus longtemps encore. Le fait que la réalité de la menace soit remise en question par les éditeurs d’antivirus eux-mêmes, alors que l’intérêt commercial est justement que la menace soit bien réelle, montre qu’on assiste probablement à un certain emballement médiatique. En outre, quelques recherches supplémentaires sur Internet permettent de constater que d’autres botnets au moins aussi importants et basés eux aussi sur "ZeuS" ont déjà été identifiés par le passé.
Mais l’étude de NetWitness n’en reste pas moins instructive notamment concernant le type de données dérobées et les méthodes utilisées pour persister le plus longtemps possible sur les systèmes infectés.
La découverte
C’est lors d’un audit réseau de routine que la société NetWitness a découvert fin janvier près de 75 giga-octets de données apparemment volées. Le format de ces données leur indique rapidement qu’il s’agit de données récoltées par le cheval de Troie « ZeuS ». C’est à l’aide d’outils commerciaux dont NetWitness fait la publicité dans son rapport que l’existence du botnet a pu être établie, en particulier parce que l’outil en question est capable de détecter le téléchargement d’exécutables obscurcis ou chiffrés sur un réseau d’entreprise. NetWitness insiste sur le fait que ces exécutables avaient encore une fois un taux de détection par les antivirus très faible (environ 10%).
« Kneber », qui est le nom donné par NetWitness à ce botnet, vient de l’adresse e-mail utilisée pour enregistrer les premiers domaines malveillants impliqués dans la campagne d’infections (HilaryKneber@yahoo.com). Une simple recherche Google sur cette adresse montre qu’elle a été utilisée de nombreuses fois en 2009 pour enregistrer des domaines en « .cn » mais également pour enregistrer le domaine « 24-hour-express-service.com » qui se trouve être une compagnie de recrutement de mules (des personnes spécifiquement recrutées pour effectuer des transferts d’argent d’un compte vers un autre compte à l’étranger par exemple – voir cet article du Cert-IST pour plus d’informations). Cette pratique est très courante lors de la mise en place d’arnaques en ligne ou, comme dans le cas présent, pour transférer de l’argent dérobé au moyen d'un réseau de PC zombies.
« Kneber » est donc un botnet qui regroupe un ensemble de machines infectées au moyen du bot « ZeuS ». Il est important de noter que "ZeuS" est un outil qui permet à des pirates de monter leur propre botnet.
Mais qu’est-ce que « ZeuS » est capable de faire ?
« ZeuS » est une boîte à outils qui est depuis quelques temps bien établi dans l’économie souterraine et qui permet à des cybercriminels de récolter à distance des informations sensibles sur des machines infectées. Il est notamment réputé pour sa simplicité d’utilisation et Symantec rapporte même qu’il serait devenu gratuit sur certains forums « underground ». On peut facilement comprendre pourquoi un botnet tel que Kneber n’est pas unique en son genre.
« ZeuS » a été développé spécifiquement dans le but de voler des informations sensibles sur les systèmes infectés, et contrairement à d’autres codes malveillants, il ne se contente pas de récupérer systématiquement tout ce que tape l’utilisateur au clavier. Il cible précisément ces informations :
- en récupérant les données saisies par l’utilisateur dans des formulaires d’authentification sur des systèmes sensibles,
- en injectant ses propres champs dans certains formulaires apparaissant à l’écran dans le but de récupérer toujours plus d’informations,
- en analysant les parties des URLs susceptibles de contenir des informations d’authentification,
- en récupérant les cookies du navigateur qui sont souvent utilisés pour stocker des informations de session,
- en récupérant les données d’identification stockées dans la zone utilisateur protégée du navigateur. Internet Explorer ou Firefox par exemple peuvent être paramétrés pour se rappeler des login et mots de passe entrés sur des sites web.
- …
A côté de ces techniques de vol ciblé d’informations, le code malveillant installé sur la machine est capable de :
- Rechercher et récupérer des fichiers spécifiques sur le système,
- Offrir un contrôle complet à distance du système en utilisant le protocole VNC,
- Télécharger et exécuter des programmes,
- « détruire la machine » en supprimant des composants essentiels pour faire fonctionner le système d’exploitation.
Propagation et infection
« ZeuS » utilise des moyens plutôt classiques pour infecter de nouveaux systèmes :
- Toutes sortes de techniques d’ingénierie sociale (e-mails incitant l’utilisateur à ouvrir une pièce jointe ou à cliquer sur un lien). Pendant tout le mois d’octobre 2009, nous avions assisté à une de ces campagnes de Spam : les messages reçus signalaient que la configuration du serveur de messagerie de l’entreprise avait changé et qu’il fallait valider les nouveaux paramètres en cliquant sur un lien. Les mails étaient particulièrement réalistes et étaient notamment personnalisés pour faire apparaître le nom de domaine de l’entreprise dans le lien à cliquer.
- L’exploitation de vulnérabilités dans le navigateur : l’utilisateur est automatiquement infecté dès son passage sur un site piraté diffusant un programme d’exploitation (attaques dites "drive-by download").
Lorsque « ZeuS » est exécuté par un utilisateur pas assez méfiant, il s’installe sur le système et se prépare à recevoir des ordres depuis le serveur de contrôle (C&C) via le protocole HTTP.
Il procède par ailleurs aux actions suivantes :
- Il télécharge un fichier de configuration depuis le serveur de commande et de contrôle (C&C), ce fichier indiquant notamment au code malveillant les informations qu’il doit capturer.
- Régulièrement, le bot dépose les informations récupérées localement vers un serveur distant indiqué par la configuration reçue précédemment.
- Il programme ensuite des mises à jour périodiques qui permettront aux C&C de mettre à jour le binaire ou la configuration de « ZeuS » à volonté.
Le cheval de Troie met ensuite en place certaines mesures qui lui permettront de se maintenir le plus longtemps possible sur la machine infectée :
- Modification de la base de registres Windows afin d’être lancé automatiquement à chaque démarrage du système,
- L’utilisation de techniques de type « rootkit » pour dissimuler les fichiers exécutables correspondant au malware ainsi que les données récoltées,
- L’injection dans des processus en cours d’exécution dans le but de masquer son trafic réseau et de contourner les protections du pare-feu par exemple.
Connexion possible avec le botnet Waledac ?
Une observation intéressante faite par la société NetWitness est que plus de la moitié des machines infectées par « ZeuS » semblaient être également infectées par d'autres malwares, et en particulier par des bots Waledac.. Waledac est un botnet peer-to-peer spécialisé dans la distribution de malwares via des messages de spam. Cette découverte semble signifier que les systèmes infectés pourraient communiquer directement entre eux via le réseau Waledac peer-to-peer en plus d’une communication avec le serveur C&C du botnet « ZeuS ». Même s’il n’est pas rare de mettre en évidence des systèmes infectés par de multiples malwares, la proportion importante de données relatives au réseau Waledac découverte au milieu des données récoltées par « ZeuS » laisserait présager une possible coopération entre ces deux réseaux de PC zombies, voire même entre les groupes ou organisations qui les contrôlent. Dans tous les cas, deux botnets séparés avec deux structures C&C distinctes pourront fournir une meilleure tolérance aux pannes et une possibilité accrue de reprise d’activité, si la structure centrale de l’un des botnets venait à être démantelée par les autorités. Il suffirait alors à la structure centrale de l’autre botnet de diffuser un nouveau fichier de configuration à tous les bots, pour signaler par exemple que l’adresse du serveur C&C a changé.
Une cible particulière ?
Il est extrêmement difficile, à moins d’une coopération mondiale, d’identifier l’organisation ou le groupe à l’origine d’un botnet, et NetWitness ne se risque pas à cet exercice. Une part importante des serveurs malveillants impliqués dans cette affaire est hébergée en Chine mais c’est tout ce que l’on peut retenir.
Il est également difficile de dire si des entreprises ou des pays en particulier étaient visées par les auteurs de Kneber. La distribution des machines infectées est en effet globale : 2411 entreprises ou organisations de tous secteurs dans 196 pays différents. Par contre, une récente campagne de spam distribuant « ZeuS » aux Etats-Unis ciblait exclusivement des adresses mail en .gov (gouvernement) et .mil (militaire), ce qui montre bien que la tendance est de plus en plus souvent à l’attaque ciblée (les messages apparaissaient comme provenant de la NSA et évoquaient des projets précis du gouvernement américain).
Là où l’étude de NetWitness est particulièrement intéressante, c’est lorsqu’elle détaille les différents types de données dérobées. Curieusement, alors que « ZeuS » est connu pour être spécialisé dans le vol d’informations bancaires, on s’aperçoit que ces informations ne constituent pas la majorité des données volées. Ce sont principalement des informations de connexion à des réseaux sociaux ou à des comptes e-mail en ligne qui ont été retrouvés. Les auteurs de « ZeuS » font donc évoluer intelligemment leur code pour s’adapter aux nouvelles utilisations d’Internet. Aujourd’hui les réseaux sociaux sont les sites les plus visités sur la toile, et s’il est vrai que le vol d’informations bancaires permet aux auteurs de botnets de générer rapidement des gains financiers, le vol d’informations de connexion à des réseaux sociaux ou à des comptes e-mail ouvre aux cybercriminels une voie royale vers tout un panel d’autres attaques. Ces informations personnelles constituent notamment des éléments clé pour usurper des identités et pour mener à bien des attaques criminelles extrêmement bien ciblées ou pourquoi pas, pour réaliser des missions d’espionnage :
- D’une part, les réseaux sociaux donnent aux cybercriminels la possibilité d’envoyer des messages aux amis de la victime, des amis qui ne seront pas particulièrement méfiants puisque le message proviendra d’un compte ami. Ils seront donc plus susceptibles de cliquer sur des liens conduisant vers des pages de Phishing ou d’exploit.
- D’autre part, l’accès à des comptes mail offre aux personnes malveillantes la possibilité d’envoyer des messages de Phishing, de réinitialiser le mot de passe d’autres comptes appartenant à la victime (la vérification de ce processus se faisant généralement par mail), ou de compromettre d’autres comptes potentiellement sensibles (les mêmes informations d’identification étant souvent utilisées dans des environnements professionnels et personnels).
Pour plus d’informations :
- The « Kneber » BotNet : a ZeuS discovery and analysis (NetWitness)
- ZeuS : ‘A virus known as botnet’ (Brian Krebs)