Publié le : 21 août 20206 mins de lecture
Les algorithmes de domaine (DGA) ne sont pas nouveaux. Les auteurs de logiciels malveillants les utilisent pour rendre leur infrastructure plus résistante. Les chercheurs en sécurité peuvent utiliser certaines particularités de ces algorithmes pour garder une longueur d’avance sur leurs adversaires. Jetez un coup d’œil avec nous à l’état actuel de la recherche. L’analyse et la sécurité du logiciel doivent toujours être ensemble. Le système de malware doit être appliqué.
De nombreux types de logiciels malveillants modernes nécessitent un serveur de contrôle.
Ne serait-il pas très utile aux criminels de ne pas avoir à s’inquiéter de la prise de contrôle de leurs serveurs de contrôle ? Bien sûr qu’il y a un moyen. Si les traqueurs ne savent pas où vont les logiciels malveillants une fois qu’ils sont installés, ils ne pourront pas arrêter les serveurs. C’est là que les DGA entrent en jeu. En d’autres termes, une DGA calcule indépendamment les domaines selon un schéma plus ou moins aléatoire. Cela se produit à différents intervalles, de chaque jour à plusieurs fois par heure. Il suffit maintenant à un criminel d’enregistrer les domaines générés au hasard et de les connecter à son infrastructure de contrôle. Connaissant le fonctionnement de son algorithme, il peut pré-calculer et enregistrer des centaines de domaines et n’a plus à se soucier de la saisie de l’un d’entre eux. La chasse aux serveurs de contrôle devient donc une course virtuelle vers le bas : vous pouvez être en mesure de fermer un serveur, mais vous découvrez alors que les machines infectées sont déjà passées au serveur suivant qui est sous le contrôle des criminels. Les systèmes ne sont pas menacés. L’analyse doit situer sur le malware et cela va assurer la sécurité du système de logiciel.
Mais tout n’est pas perdu pour autant : la façon dont les domaines sont créés suit toujours un certain schéma et les schémas sont visibles. Ce simple fait recèle un grand potentiel : si les chercheurs peuvent surveiller le trafic réseau d’une application suspecte, on peut alors conclure avec une certaine certitude si un domaine contacté a été créé ou non par un tel algorithme de génération de domaine. Actuellement, il existe toujours le risque de détection de faux positifs, bien qu’il y ait très peu de cas d’utilisation légitime des DGA. Certains algorithmes tentent spécifiquement de faire croire qu’un domaine légitime a été contacté, mais avec des fautes de frappe comme « goolge.de ». Les données obtenues peuvent également être utilisées pour tirer d’autres conclusions : les chercheurs peuvent également utiliser la manière des systèmes dont les domaines C2 sont calculés pour établir des liens entre les différentes familles de logiciels malveillants.
Une fois que l’on sait comment un logiciel malveillant calcule les adresses de son serveur de contrôle, des contre-mesures peuvent être lancées. Une mesure efficace et controversée consisterait à ce que les services répressifs enregistrent les domaines afin qu’ils ne soient plus accessibles à l’agresseur. Les experts appellent également cette stratégie « sinkholing ». Cependant, les criminels s’en apercevraient très rapidement. Au fait : le fait qu’un domaine n’ait pas été contacté à l’avance a contribué de manière significative au ralentissement du logiciel de rançon WannaCry. Le chercheur de logiciels malveillants a découvert qu’un domaine contacté n’était pas enregistré et l’a enregistré lui-même. Cela a déclenché par inadvertance le fameux killswitch de WannaCry, faisant de lui un héros contre son gré pour des milliers d’entreprises dans le monde entier.
Le monde de la cybersécurité a évolué. Aujourd’hui, les cybercriminels n’hésitent pas à user des stratagèmes les plus complexes pour atteindre leurs cibles. Afin de maintenir leur présence dans le réseau de la victime via un serveur de commande et de contrôle, la plupart d’entre eux ont recours au DNS dynamique. Cette stratégie leur permet de lancer des transferts ou des mises à jour de fichiers, généralement à des fins malveillantes. Les algorithmes de génération de noms de domaine, ou DGA Domain Generation Algorithm, constituent en l’occurrence l’une des techniques les plus difficiles à détecter. Il existe toutefois des méthodes visant à repérer ce type d’attaque DNS notoirement connu. Pour bien les comprendre, il est important de savoir en quoi consiste l’usage frauduleux de noms de domaine.
Contrôle de l’hôte
L’enregistrement de noms de domaine à des fins malveillantes comme phishing, malwares, botnets relève de la fraude et est jugé illégal dans le monde entier. Cela ne dissuade pourtant pas les cybercriminels, qui continueront à profiter de la souplesse des noms de domaine pour leur enrichissement personnel. Une pratique connue consiste à déplacer l’adresse IP des serveurs de commande et de contrôle des malwares au moyen de différentes techniques afin d’échapper à la détection. Pour garder le contrôle de l’hôte compromis, les cybercriminels déploient une porte dérobée, ou backdoor, de même qu’un canal C&C de manière à rester en communication constante avec l’appareil cible. Autrement dit, l’appareil se transforme en bot contrôlé par le botmaster, c’est‐à‐dire le cybercriminel.
