Il est possible que le navigateur Web actuellement utilisé n'affiche pas ce site correctement.

TrendSecure fonctionne au mieux lorsqu’il est ouvert avec la dernière version de Microsoft Internet Explorer ou Mozilla Firefox .

Première ligne de défense

Tous sur les réseaux de zombies : Deuxième partie : comment les réseaux de zombies se développent, communiquent et contournent les méthodes de détection

La dernière génération de bots est complexe. Ils se propagent comme les vers, se dissimulent comme les virus et peuvent être exploités pour lancer des attaques coordonnées à grande échelle. Les techniques les plus courantes pratiquées par les botmasters pour cibler et rassembler des ordinateurs infectés par des bots et les mettre en réseau incluent l'utilisation de systèmes de noms de domaine (DNS). De la même façon qu'un fournisseur d'accès Internet utilise un système de noms de domaine pour attribuer un nom de domaine Internet et une adresse IP à un ordinateur, les bots incluent des noms de domaines cryptés, figés et attribués par des fournisseurs DNS dynamiques. Certains réseaux de zombies particulièrement modernes gèrent leurs propres services DNS exécutés sur des numéros de ports élevés afin de contourner les méthodes de détection mises en place par les dispositifs de sécurité de passerelle.

Les bots communiquent entre eux et avec leurs botmasters selon des protocoles de réseau bien définis. Au lieu de créer de nouveaux protocoles de réseau, les réseaux de zombies utilisent le plus souvent des protocoles de communication existants implémentés à l'aide d'outils logiciels facilement accessibles.

Le protocole IRC est le protocole le plus utilisé dans les communications entre bots. Ce protocole, conçu pour les communications de groupes au sein de forums de discussion appelés « canaux », permet également les communications personnelles via l'utilisation de messages privés. Le protocole IRC est donc adapté pour être utilisé par les botmasters pour contrôler l'ensemble de leur « armée » de bots (communications de groupe), et pour contrôler individuellement quelques bots sélectionnés (communications seul à seul). Des pare-feux peuvent être configurés pour bloquer le trafic IRC. Cependant, il est beaucoup plus difficile de détecter des canaux IRC utilisant le protocole HTTP par tunnellisation.

C'est pourquoi le protocole HTTP est une méthode de communication de plus en plus populaire auprès des administrateurs de réseaux de zombies. L'utilisation du protocole HTTP rend les réseaux de zombies plus difficiles à repérer car ce protocole permet de s'adapter à n'importe quel type de trafic Internet. De plus, la plupart des règles de pare-feu sont implémentées au niveau de la passerelle Internet, où tout trafic entrant/sortant utilisant le protocole IRC est bloqué. Cependant, les réseaux de zombies utilisant le protocole HTTP parviennent généralement à contourner les règles de sécurité des pare-feux.

Les réseaux de zombies les plus sophistiqués utilisent des protocoles de messagerie instantanée et des protocoles de poste à poste (P2P). Bien que le nombre de réseaux de zombies utilisant des protocoles autres qu'IRC et HTTP soit relativement restreint, ces autres protocoles risquent d'être de plus en plus utilisés, ce qui pose problème au niveau de la détection de ces réseaux malveillants.

Les réseaux de zombies deviennent chaque jour plus sophistiqués, ce qui signifie que leur détection est de plus en plus difficile. Les bots les plus modernes sont non seulement capables de détourner les moteurs de scan antivirus et les systèmes de détection d'intrusions basés sur les signatures mais ils parviennent également à échapper aux systèmes de détection basés sur les anomalies. Les réseaux de zombies évitent les systèmes antivirus et systèmes IDS basés sur les signatures à l'aide de méthodes telles que les packs exécutables, rootkits et techniques de contournement de protocoles, qui permettent également d'améliorer les chances de survie des réseaux de zombies et d'augmenter le taux de réussite d'infection de nouveaux ordinateurs hôtes. Les auteurs de réseaux de zombies ont également élaboré (et continuent d'élaborer) de nouveaux mécanismes rendant impossible le suivi de leurs communications. Comme nous l'avons déjà mentionné, certains types de réseaux de zombies évoluent déjà vers l'utilisation de protocoles autres qu'IRC, comme les protocoles HTTP, VoIP ou des protocoles IRC modifiés. Les bots utilisent parfois des méthodes d'encodage afin d'éviter que les contenus utilisés ne soient révélés. Basés sur le protocole TCP (Transmission Control Protocol), les réseaux de zombies les plus modernes utilisent des techniques de tunnellisation par protocole ICMP (Internet Control Message Protocol) et même par protocole IPv6 (dernier-né de la famille des protocoles Internet). La prolifération de cette nouvelle génération de réseaux de zombies n'est plus qu'une question de temps.

La guerre de la sécurité Internet est loin d'être terminée, les pirates développant sans cesse de nouvelles techniques de bots et réseaux de zombies et de nouvelles méthodes de contournement des systèmes de détection et de prévention.