Jeudi 13 septembre 2012
Vous n'avez rien compris au titre ? Je vais vous expliquer:
Les PC infectés (zombie) ont besoin d'être commandés par celui qui les a infecté. Pour cela, ils prennent leurs ordres de centres de commande appelés "C&C" (Command and Control). Pour mettre un terme à l'infection de millions d'ordinateurs par un malware, il suffit de donc de prendre le contrôle du C&C ou de le faire fermer. Cette opération a déjà été effectuée de nombreuses fois par les autorités, avec la collaboration des éditeurs d'antivirus (Kaspersky, Microsoft...).
Les premiers malware prenaient leurs ordres d'une URL précise. Il était alors facile pour les autorités de contacter l'hébergeur pour faire fermer le centre de commande.
Les auteurs de malware, pour éviter la saisie des hébergeurs, sont donc passés au fast-flux (une technique pour attribuer à un même nom de domaine de nombreuses adresses IP), rendant le blocage d'un hébergeur unique inopérant. Mais les autorités sont montées un cran au dessus et ont commencé à saisir les noms de domaine.
Beaucoup de malwares sont passés à IRC, ce protocole de chat, parfois en utilisant des serveurs IRC connus. Une fois de plus, il suffit de demander aux administrateur de ces serveurs IRC de collaborer pour bloquer les canaux utilisés par ces malwares.
Du coup, certains malware comme Conficker ont adopté une stratégie intéressante: Ils contactent un nom de domaine différent chaque jour, calculé par un algorithme. Il suffit donc au pirate d'acheter le bon nom de domaine le bon jour pour pouvoir passer des commandes aux zombies. Mais les éditeurs d'antivirus sont parvenus à faire du reverse-engineering et en déduire l'algo. Les domaines ont ainsi pu être bloqués (par exemple chez OpenDNS).
Quelle est l'évolution logique ? Le P2P bien sûr ! Des malwares comme TDL4 ont alors adopté des protocoles P2P. Pas bête: Pas de nom de domaine ou de serveur central à bloquer ou saisir, puisque c'est décentralisé. L'auteur peut passer ses commandes depuis n'importe quel nœud du réseau infecté.
Mais les protocoles P2P posent problème: Ils sont rapidement repérés, et beaucoup d'entreprises les bloquent. Ça ne passe donc pas bien partout.
C'est très fûté.
J'espère juste que cela ne sera pas un prétexte supplémentaire pour les autorités pour bloquer TOR.
(YYeeeeahhh... vous avez vu ? Mon blog n'est pas mort !)