jeudi 20 août 2009

Infiltration d'un botnet - Cisco

Cisco a publié récemment un document très intéressant intitulé "Infiltrating a Botnet".

Nous y découvrons le travail de l'une des équipes de Cisco, lors d'investigations forensic "classiques" auprès d'un client, dans le but d'en savoir plus sur une compromission du S.I.

L'équipe de Cisco s'est vite rendue compte que de nombreuses machines du client concerné présentaient des symptômes assez alarmants, dont notamment une activité IRC sur un port exotique. Il s'est avéré qu'il s'agissait comme on pouvait le supposer d'un malware, entrant dans un schéma de botnet.

Pour rappel, le protocole IRC (Internet Relay Chat) est l'un des plus vieux protocole utilisé dans le cadre de communications entre des machines compromises (bot) et un serveur (command&control) géré par le ou les fraudeurs. Bien d'autres techniques existent, mais nécessitent plus de travail de la part des pirates. Ce protocole reste largement utilisé pour gérer des botnets "amateurs", les botnets plus professionnels déployant généralement des communications chiffrées.

Après une rapide investigation, de nombreuses machines du client ont été retirées du botnet et "assainies". L'équipe de Cisco s'est alors intéressée directement au fraudeur contrôlant ce botnet. En particulier, ils se posaient des questions sur le niveau de compétence du botmaster : était-il un "script kiddie" ou quelqu'un jouissant d'un bon niveau technique ?

Une seule façon de le savoir pour eux: après avoir surveillé le serveur IRC de contrôle du botnet en se faisant passer pour un bot, les chercheurs ont engagé le dialogue par ce biais avec le pirate. L'échange est assez savoureux. Le pirate en face semble rôdé, croyant que son interlocuteur est un autre botmaster. Du coup, il tient des propos plutôt intéressants. On y apprend que son botnet idle souvent, c'est à dire qu'il est souvent dormant, et que le pirate a récemment vendu quelques milliers de bots (800$ pour 10000 machines). L'activité majeure de ce pirate reste cependant le phishing. Le reste de la discussion tourne autour de l'underground de ce type de cybercriminalité, je vous laisse en prendre connaissance...

Je n'entrerais pas (ou si peu...) dans le troll habituel sur ce genre d'opération... Est-il éthique, pour un chercheur, de se connecter sur un serveur IRC qui est probablement hébergé sur un serveur compromis, pour aller discuter avec un fraudeur ? Les informations qui en sortent sont en tout cas intéressantes.

Enfin, s'il vous venait à l'idée de pratiquer ce genre de chose, je ne saurais que trop vous recommander la prudence : tous les botmasters ne sont pas aussi "zen" que celui présenté dans le document de Cisco. Bon nombre d'entre eux disposent de contre-mesures empêchant les chercheurs de se connecter sur leur serveur IRC, ces contre-mesures lançant généralement une attaque massive de déni de service vers l'adresse IP "suspecte", pour quelques minutes ou quelques heures...

mardi 9 juin 2009

Le gros steak n'est finalement qu'une escalope

Sous ce titre très évocateur, je tenais à bloguer rapidement pour partager avec vous une publication de Microsoft Research qui est à peu près passée inaperçue dans la presse française la semaine dernière.
Ce papier, en anglais, est intitulé "Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy".

Il s'agit d'une analyse pertinente de l'économie souterraine liée à la cybercriminalité. Attention cependant, sont exclusivement considérés dans l'étude le phishing, le carding, les botnets et autres services "directs" fournis par les fraudeurs, et la monétisation de l'argent obtenu par ces biais. Sont donc exclus tous les autres actes de cybercriminalité tels que le vol d'information à la demande (et Marie Barel nous a montré récemment au SSTIC que le vol d'information n'existe pas), le chantage, etc...

Le but premier de ce document est de rompre avec les idées reçues : non seulement les sommes frauduleuses imputées à cette cybercriminalité sont exagérés par de nombreux professionnels du domaine, mais les estimations fournies par ces derniers alimentent le phénomène à l'inverse. Je cite l'étude : "Ironically, defenders (i.e., whitehats, security vendors and members of the security community) actively and energetically recruit their own opponents. By repeating unverified claims of cybercrime riches, and promoting the idea that easy money is there for the taking, we attract new entrants into the lower tier of the underground economy. While they may produce little profit they still generate large quantities of spam and phishing and cause significant indirect costs."

Une autre des idées reçues dénoncée par les chercheurs de Microsoft est le fait qu'il est facile pour n'importe quel fraudeur de monétiser l'argent issu de ces fraudes. Ce n'est heureusement pas le cas. Ainsi, un bon tiers de l'ensemble de ces fraudeurs ne sont que des escrocs sans aucun talent, qui essayent de se procurer des données intéressantes telles que des dumps de cartes bancaires ou des accès à des comptes bancaires en ligne. En réalité, ils se font escroquer eux-même la plupart du temps par des "rippers", une catégorie d'escrocs qui leur revendent des informations périmées ou tout simplement fausses/créées. C'est particulièrement vrai sur certains réseaux IRC : sur une analyse de 490 numéros de cartes bancaires découvertes rapidement sur IRC, 22% ne satisfaisaient même pas à l'algorithme de Luhn.

Toujours sur IRC, certains bots (des programmes destinés à effectuer certaines actions, à discrétion ou pas des utilisateurs leur envoyant des lignes de commandes) servent à vérifier si les numéros sont bons. Là encore la fourberie est de mise, puisqu'un certain nombre d'entre eux retournent des résultats volontairement éronnés, mais envoient les données soumises à un administrateur qui pourra s'en servir ou les revendre, devenant ainsi un ripper...Et je ne parle même pas de ces kits de phishing disponibles trop facilement, mais qui en fait contiennent du code dissimulé qui enverra toutes les données phishées à l'auteur du kit...

Bref, un bon tiers de ces fraudeurs galère finalement pour pas grand chose, voir pour rien, tandis que le reste, plus méthodique et surtout plus structuré quand on arrive sur le tiers supérieur, monétise effectivement beaucoup plus. Le travail collaboratif, en groupes de criminels structurés, apporte ici tous ses avantages aux fraudeurs. Ces derniers ne sont pas sur IRC, mais communiquent sur des forums spécialisés sur lesquels il faut montrer patte blanche, ce qui ne les empêche pas d'entretenir des rivalités. J'ai encore pu constater ça récemment, un célèbre forum de carders en accusant un autre de n'être qu'une façade de certains services gouvernementaux étrangers...

Un beau travail de Microsoft et une lecture très agréable donc, que je ne saurai que trop vous recommander.