Le Vendredi 05 Mai 2017
Voici l'explication d'un article interessant sur le nouveau crawler développé par Shodan, nous allons vous en faire part et fournir quelques explications sur des termes qu’on entend tous les jours mais qu’on ne comprend pas forcément.
Shodan                  
Dans un premier temps nous expliquerons ce qu'est Shodan, shodan est un moteur de recherche spécialisé dans les objets connectés à internet. De manière générale tout ce qui possède une IP publique, serveur, camera, box ou autres.
 
 
Ce moteur de recherche permet de récupérer des informations sur une IP, ou un nom etc…
 
Par exemple si on cherche « webcam » :
 
 
 
Bot
 
Un bot qu’est-ce que c’est, dans le langage courant ou des jeux-vidéo c’est l’IA, ou un automate.
Dans ce cas un bot est une machine (un serveur, une camera, ou autre) qui est infecté par un « virus » bien souvent un RAT (Remote Access Trojan) qui permet de contrôler le bot à distance.
Le bot communique généralement avec un serveur de contrôle, nous y reviendrons.
 
 
Botnet
 
C'est quoi la différence avec un bot ? Tout simplement un botnet c’est un ensemble de bots :
Bot network => Réseaux de bots
 
Qu’est-ce qu’on peut faire avec un réseau de bots ?
 
Très simplement une attaque DDOS :
C’est une attaque par déni de service, elle consiste à faire crasher un serveur en envoyant plus de requêtes qu’il ne peut en traiter, ce qui est beaucoup plus simple avec un bot-net car on peut envoyer un grand nombre de requêtes.
 
Diffuser des RansomWare comme Mirai :
A l’aide d’un botnet on peut envoyer une grand quantité de mails, c’est-à-dire faire du spam, si ces mails contiennent un virus comme Mirai, celui-ci est donc propagé de manière exponentielle.
 
 
Miner du Bitcoin :
Le Bitcoin est une crypto-monnaie informatique, le minage c’est le procédé par lequel les transactions Bitcoin sont sécurisées. A cette fin les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau Bitcoin. Comme récompense pour leurs services, ils collectent les bitcoins nouvellement créés ainsi que les frais des transactions qu’ils confirment. Avec un Botnet la capacité de calcul est beaucoup plus grande et donc la quantité de Bitcoin amassé devient intéressante.
 
Sur wikipédia un top 10 des botnets en 2009 (oui c’est assez vieux)
 
 
 
C&C Servers
On sait maintenant à quoi sert Shodan et ce qu’est un Botnet, on peut donc revenir au sujet principal.
Il y a plusieurs topologies d’architecture de botnet :
 
  • En étoile :
 
 
  • Hiérarchique :
 
 
 
  • Aléatoire : (Communication P2P)
 
 
 
Les architectures ne sont pas importantes pour la suite c’est juste une petite info supplémentaire.
Prenons par exemple l’architecture en étoile qui est la plus simple et la plus classique (je suppose).
Tous les bots, donc le botnet complet est relié à un serveur « maitre », ce serveur contrôle le botnet.
 
On appelle ces serveurs des « Command and control server » (C&C Server).
Les équipes de Shodan ont développé un crawler appelé « Malware Hunter », celui-ci permet d’identifier ces C&C server !!
 
 
Comment ça marche ?
Le crawler scan tout internet et se comporte comme un bot infecté qui communique avec son serveur maître. Si le serveur interrogé répond comme un serveur maitre à son bot, alors celui-ci est un C&C server.
 
« RATs return specific responses (strings) when a proper request is presented on the RAT controller's listener port," according to a 15-page report [PDF] published by Recorded Future. »
 
Voici le rapport complet pour les courageux, c’est très intéressant:
https://go.recordedfuture.com/hubfs/reports/threat-identification.pdf
 
 
Quelques chiffres
  • 5700 C&C Servers identifiés par MalwareHunter
  • Top 3 des régions hôtes : USA (72%), Hong Kong (12%), Chine (5.2%).
  • Les Remote Access Trojan les plus populaires utilisés :
  • Gh0st RAT Trojan (93.5%)
  • DarkComet trojan (3.7%)
  • Et quelques serveurs sur : njRAT Trojan, ZeroAccess Trojan, XtremeRAT Trojan
 
Voir les autres articles