Réseaux à flux rapide
Sources Web :
- http://www.honeynet.org/papers/ff/
- http://en.wikipedia.org/wiki/Time_to_live
- http://en.wikipedia.org/wiki/Bulletproof_hostin
- http://en.wikipedia.org/wiki/Fast_fluxg
Source Livre :
- Malware Analyst's CookBook And DVD
Le crime organisé doit constamment s'adapter au monde dans lequel il évolue.Ainsi, traditionnellement, pour les crimes frauduleux et la distribution de logiciels malveillants, ses acteurs utilisaient un petit groupe d'ordinateurs auxquels les victimes se branchaient directement. Ces ordinateurs contenaient l'ensemble de la logistique requise pour mener à bien une opération particulière. Le problème avec ce mode de fonctionnement, c'est qu'il n'est pas fiable et qu'étant trop « centralisé » il est facile pour les forces de l'ordre de mettre fin aux activités d'un réseau ainsi structuré. Ainsi, de la même manière que les réseaux légitimes demandent un minimum de redondance, les réseaux illicites ont aussi dirigé leurs activités vers des architectures beaucoup plus fiables sur lesquelles il est possible, pour les groupes criminels, de mener des opérations à plus long terme.
Qu'est-ce que c'est?:
Un Fast-Flux Service Network est un domaine DNS composé d'ordinateurs compromis vers lesquels pointeront les enregistrements DNS. Les requêtes DNS faites par les clients pourront joindre l'ensemble des hôtes infectés en utilisant les techniques de balancement de charge « Roud-Robbin » offertes par les serveurs DNS. Ainsi, la présence d'un noeud invalide dans la chaîne (un ordinateur qui n'est plus infecté par exemple) ne causera pas de problème d'accessibilité majeur au réseau. De plus, les enregistrements DNS auront un TTL très court pour permettre un « flux » plus rapide sur le domaine et les adresses IP vers lesquelles pointent les enregistrements DNS changeront dans le temps. De cette manière, les attaquants s'assurent que les enregistrements DNS sont en constant changement et que le noeud d'entrée vers leur réseau est « mouvement ». Étant donné que ces enregistrements sont changeants, il est difficile de tracer un tel réseau.
Les deux schémas suivants illustrent le fonctionnement de la rotation des enregistrements DNS :
Schéma 1 :
- 3 IP possible dans le processus round robbin mais un réseau de 6 hôtes
- Nom à résoudre www.test.com
/ 10.0.0.1 (premier hôte du round robbin)
/
*************** /
* Serveur DNS *-------------------------- 10.0.0.2 (deuxième hôte du round robbin)
*************** \
\
\ 10.0.0.3 (troisième hôte du round robbin)
10.0.0.4 (hôte en attente)
10.0.0.5 (hôte en attente)
10.0.0.6 (hôte en attente)
Schéma 2 :
- Il y a eu rotation des adresses IP vers lesquelles pointent les enregistrements DNS
- Nom à résoudre www.test.com
/ 10.0.0.4 (premier hôte du round robbin)
/
*************** /
* Serveur DNS *-------------------------- 10.0.0.5 (deuxième hôte du round robbin)
*************** \
\
\ 10.0.0.6 (troisième hôte du round robbin)
10.0.0.1 (hôte en attente)
10.0.0.2 (hôte en attente)
10.0.0.3 (hôte en attente)
Ainsi, lorsqu'une requête DNS est faite pour l'enregistrement www.test.com, la réponse peut potentiellement pointer vers n'importe quel hôte du réseau de « Zombies ».
Comment est-ce que ces réseaux fonctionnent?:
Le but d'un réseau FF étant de permettre l'accès à des ressources par l'entremise de plusieurs points d'entrés, les réseaux FF sont souvent partitionnés pour limiter l'exposition des ressources « critiques » du réseau criminel. Ainsi, des ordinateurs « Zombie » (Flux-Agent) sont utilisés pour permettre l'accès aux serveurs centraux (MotherShip) du réseau. Il est important de noter que le ou les serveurs centraux peuvent aussi dans certains cas se déplacer pour limiter les possibilités que ces serveurs soient capturés par les forces de l'ordre. L'organisation d'un tel réseau est montrée au schéma 3.
Schéma 3 :
*******************************
* Groupe d'ordinateurs zombie *
* Flux-Agent *
*******************************
|
| **********************
|----------->* Serveur(s) Backend *
* MotherShip *
**********************
Ainsi organisé, un groupe d'ordinateur zombie(Flux-Agent) composé de diverses machines infectées sera chargé de répondre aux requêtes qui leur sont acheminées par la rotation des enregistrements DNS et le processus de round-robbin du système DNS. Il est important de noter que les groupes de « Flux-Agent » sont généralement composés d'ordinateurs domestiques, infectés dans le but de prendre part aux activités criminelles d'un groupe organisé. Ces ordinateurs redirigeront le trafic reçu vers un plus petit groupe de serveur « backend ». Cette technique aussi utilisée dans les réseaux légitimes dans un but de redondance a donc été adaptée par les groupes criminels dans le but d'être en mesure de centraliser leurs communications tout en décentralisant au maximum les points d'entrée sur leur infrastructure. De cette manière, les groupes criminels arrivent à créer des réseaux hautement mutatif très difficiles à tracer pour les intervenants charger de désactiver ces réseaux.
Ainsi, de manière générale, deux types de réseau à flux rapide existent.
Réseaux à flux simple :
Le réseau à flux simple (schéma 4) semble être le cas classique. Dans ce genre de réseau, une victime procède à une requête(B) pour obtenir une information, un site web par exemple, la requête, en raison de la traduction DNS(A), est dirigée vers un Flux-Agent(B) participant au réseau à flux simple. Les Flux-Agent, servant en réalité de proxy, renvoient la requête au Mothership(C). Lorsque ce dernier répond(D), le Flux-Agent renvoie les informations au client(E) qui est ainsi victime du réseau à flux rapide. Ainsi, dans l'éventualité où un noeud d'entrée est retiré du réseau, en raison de l'architecture du réseau, cela n'aura pas d'impact majeur sur le fonctionnement du réseau à long terme.
Schéma 4 :
**************
* MotherShip *
|->**************->|
| |
C| |D
| |
|-<**************<-|
* Flux-Agent *
|->**************>-|
| |
B| |E
| |
| **************<-| ***************
|-<* Victime * * Serveur DNS *
************** ***************
|-----------------------------|
A
Réseaux à flux double :
Dans un réseau à flux double (schéma 5), le réseau lui-même sera chargé de répondre aux requêtes DNS. Ceci est fait en modifiant rapidement non seulement les enregistrements de type « A » des serveurs DNS publics, mais aussi les enregistrements « NS ». Les enregistrements « NS » pointeront ainsi sur les points d'entrée du réseau à flux double. Ainsi, les Flux-Agent répondront comme serveur DNS responsable du domaine(A). Les Flux-Agents ainsi sollicités redirigeront les requêtes au Mothership(B). Le Mothership répondra donc à la requête avec une adresse faisant partie du réseau. Par la suite le même mode de fonctionnement que les réseaux à flux simple est appliqué (C, D, E, F). Les observations faites par les chercheurs montrent que la majorité du temps, un seul Mothership est utilisé pour répondre aux requêtes DNS et aux requêtes HTTP dans ce genre de réseau. Ce Mothership peut cependant être en mouvement selon le réseau.
Schéma 5 :
**************
* MotherShip * <----------\
|->**************->| \
| | \
D| |E \
| | \
|-<**************<-| \B
* Flux-Agent * \
|->**************>-| \
| | \
C| |F \
| | \
| ************** | **************
|-<* Victime *<-| * Flux-Agent *
************** **************
|-----------------------------|
A
Quels sont les avantages des réseaux à Flux-Rapide?
- Simplicité : Comme le mothership est généralement unique, il n'y a qu'un serveur à gérer pour les criminels. Cependant, comme les points d'entrées sont multiples et indépendants, le réseau ainsi constitué est hautement organique et la relève en cas de problème peut souvent être faite plus rapidement que sur la majorité des réseaux d'entreprise. Il est donc plus facile pour les criminels de distribuer les informations illicites de manière efficace.
- Dynamisme : Comme les noeuds d'entrée sont multiples, et que le réseau est hautement adaptable, ceux-ci ne posent pas une menace au réseau dans l'éventualité où un noeud était retiré. Dans la pire des situations, un petit pourcentage de requêtes faites sur une courte période de temps tombera sur un noeud invalide. La situation se résorbera au moment de la rotation des informations DNS ou de la désinscription de l'hôte au réseau.
- Durée de vie : Ces réseaux ont généralement une durée de vie plus grande. Ils peuvent aussi utiliser plusieurs niveaux de « Fast-flux » augmentant la complexité de l'analyse d'un tel réseau et compliquant de manière exponentielle une intervention par les forces de l'ordre. Ainsi, la constitution d'un tel réseau pour un groupe criminel pourrait pratiquement être considéré au même titre que la conception de son site internet pour une organisation légitime : brefune activité que toutes les « bonnes » organisations devraient faire.
Quelle utilisation est faite de ce genre de réseau?
Dans le monde réel, le crime organisé utilise ce genre de réseau dans le but de mener différentes activités comme :
- Commerce illégal de toutes sortes
- Pharmacy illégale
- Pornographie illégale
- Traffic en tout genre
- Distribution de logiciel malveillant
- Hébergement de sites d'hameçonnage
- Opérations de type « Money Mule »
Les criminels pourraient aussi utiliser ce genre de réseaux pour organiser des systèmes de communication par courriel difficilement traçable.
Détection de réseaux à Flux-Rapide :
La détection d'un réseau à Flux-Rapide n'est pas une science exacte. Pour être en mesure de découvrir la présence d'un réseau à flux rapide, il faut premièrement se rendre compte qu'il y a plusieurs irrégularités au niveau des requêtes DNS. De plus, une fois le réseau découvert, dans le but de détruire ce dernier, il faut soit; bloquer les communications avec le Mothership ou retirer le Mothership de la circulation... Dans tous les cas, selon le fonctionnement interne du réseau il pourrait théoriquement être possible pour un réseau de « revivre » si l'ensemble des hôtes infectées n'est pas correctement nettoyé.
Considérations importantes :
Les victimes qui utilisent les noeuds d'entrées ne sont pas « conscientes » de la présence d'une redirection au Mothership. Le Mothership est entièrement caché des clients.
Il pourrait théoriquement être possible pour un Mothership de communiquer avec ses Flux-Agent à travers un réseau comme TOR (schéma 6) pour augmenter les difficultés à retracer les Motherships. Voici un schéma qui montre comment le réseau TOR pourrait peut-être être utilisé pour rendre le travail des forces de l'ordre encore plus compliqué
Schéma 6 :
************** TOR + VPN **************************
* Mothership * ==================* FF Registration server *
************** **************************
|
|
|
|
|
|
************** |
* Flux-Agent *--------------------------------
**************
Le schéma 6 montre qu'un groupe criminel pourrait préparer un réseau à flux rapide en utilisant les fonctions anonymisantes du réseau TOR. Pour réussir l'opération, un serveur « d'enregistrement » doit être configuré par le groupe. Ce serveur contiendra un « serveur VPN ». Le Mothership, dans un besoin d'anonymat se branchera sur le registration server par VPN à travers le réseau TOR. Ainsi, il sera impossible de retracer l'emplacement physique du Mothership. Au moment de l'infection d'un hôte, l'hôte infecté se réfère au serveur d'enregistrement pour commencer, à prendre part au réseau ce dernier communique, avec le Mothership pour l'informer de l'arrivée de l'hôte à l'intérieur du réseau.
Dans ce cas, le réseau devient cependant dépendant du serveur d'enregistrement. Or, il serait possible d'utiliser le concept de réseau à flux rapide pour créer un deuxième réseau à flux rapide entre les Flux-Agent et le serveur d'enregistrement de manière à avoir plusieurs serveurs d'enregistrement « résistants » au même titre que les Flux-Agent sont résistants aux interventions des forces de l'ordre. L'infection automatisée de plusieurs nouveaux « Registration server » pourrait même être rapporté au Mothership en utilisant un canal de communication passant par les Flux-Agents remontant vers le mothership par l'entremise de l'infrastructure du réseau en place (à travers les Flux-Agent).
Bien entendu, l'application de ce concept demande une intervention manuelle importante en début de vie pour constituer le réseau. Cependant, une organisation pourrait très bien commencer l'établissement du réseau en utilisant un Mothership préparatoire pour obtenir l'ensemble des données requises pour le fonctionnement du réseau. Lorsque toutes les informations sont prêtes et que le réseau est suffisamment gros, un deuxième Mothership, le Mothership opérationnel, entre en jeu et toutes communications sont maintenant couverte que montré au schéma 6. De cette manière, dès qu'un nombre suffisamment d'hôtes sont intégrés au réseau, le mode de fonctionnement du réseau change pour s'adapter au mode de fonctionnement utilisant TOR. Ainsi, le Mothership préparatoire est sacrifié au profit du Mothership opérationnel qui peut maintenant oeuvrer de manière anonyme, car toutes ses communications passent par les serveurs d'enregistrement et sont couvertes par VPN.
Conclusion :
Au final, il semble clair que l'utilisation d'un réseau à Flux-rapide facilite la présence des groupes criminels dans le cyberespace. L'utilisation de ces réseaux à des fins illicites est aussi beaucoup plus « fiable » que les techniques utilisées dans le passé.
Malheureusement, il est relativement facile de réfléchir à différentes techniques qui pourraient être utilisées pour « sécuriser » encore plus de tels réseaux dans le but de rendre difficile voir pratiquement impossible l'intervention des forces de l'ordre dans de tels scénarios.
Malheureusement, l'établissement de ces réseaux est majoritairement possible en raison du laxisme de plusieurs hébergeurs, fournisseurs d'accès internet et gouvernements ne désirant pas réellement s'impliquer dans la question des groupes organisés dans le cyberespace.