Il existe de nombreux canaux de dialogue entre les pirates et les réseaux d'ordinateurs zombies. On peut citer les vecteurs traditionnels que sont TCP, HTTP et IRC, mais aussi d'autres plus inhabituels comme les fils Twitter, les murs de Facebook et même les commentaires sur YouTube. Le trafic généré par les malwares et qui transite par ces canaux peut être détecté et bloqué au niveau du réseau par un pare-feu ou des IPS. Toutefois, ce n'est pas le cas pour le DNS (Domain Name System) et les attaquants profitent de cette faiblesse, a déclaré Ed Skoudis, fondateur du Counter Hack Challenge, lors d'une présentation sur les récentes techniques d'attaques à la conférence RSA 2012.
Le protocole DNS est normalement utilisé pour une fonction précise : la traduction des noms de domaines en adresses IP et vice-versa. Pour cette raison, le trafic DNS n'est pas filtré et il circule librement. Comme les requêtes DNS sont transmises par un serveur DNS à un autre pour atteindre le serveur racine, il est inutile de bloquer des adresses IP au niveau du réseau.
Ed Skoudis confirme que dans deux cas, des malwares ont utilisé des réponses aux requêtes DNS pour compromettre des millions de comptes. Il s'attend à ce que plus de pirates adoptent cette technique furtive dans les prochains mois. Le spécialiste sur la sécurité estime que l'ordinateur infecté n'a souvent même pas besoin d'avoir une connexion sortante, s'il existe un serveur DNS local qui effectue les recherches sur Internet. Le malware pourra donc toujours passer par ce biais pour obtenir des instructions. Ed Soukis confie qu'il est très difficile de recenser toutes les requêtes DNS qui transitent sur un serveur local installé en entreprise, car cela peut conduire à des problèmes de performance.
Des solutions pour analyser les requêtes
Cependant, une solution consisterait à se doter d'un analyseur de réseaux pour capturer périodiquement des échantillons et les examiner. Les administrateurs réseau chercheront des requêtes ou des réponses anormalement longues qui contiennent des noms bizarres et des données codées. Le risque de cette méthode est que les pirates pourraient diviser leurs instructions en plusieurs petits paquets. Par ailleurs, des requêtes identiques et régulières peuvent être une indication que les malwares vérifient l'arrivée de nouvelles instructions, souligne Ed Skoudis.
Les DNS sont sous le feu de l'actualité. Récemment, des présumés Anonymous ont publié un message d'avertissement pour bloquer les serveurs racines DNS le 31 mars prochain. Une étude d'Arbor Networks sur les attaques en déni de service montrait les prémices de menaces sur IPV6, le protocole d'adressage utilisé pour remédier à la pénurie d'adresses en IPv4. Eric Michonnet, directeur d'Arbor Networks pour l'Europe du Sud, souligne « si les attaques via IPv6 sont rares, elles vont croître avec son déploiement. On constate que de plus en plus d'attaques en déni de service se combinent avec des attaques applicatives ».
RSA 2012 : les pirates commandent les malwares via DNS
0
Réaction
Lors de la conférence RSA 2012, plusieurs experts en matière de sécurité observent un accroissement des malwares qui reçoivent des instructions des pirates à travers le protocole DNS. Ils affirment aussi que les entreprises sont mal préparées à ces menaces.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire