320 likes | 544 Views
SRS Day – Conférence 17 novembre 2010. Les Serveurs bulletproof. Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien Noé – noe_v. Mise en contexte. Des menaces informatisées de plus en plus présentes et identifiées
E N D
SRS Day – Conférence 17 novembre 2010 Les Serveurs bulletproof Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_lEdouard Veron – veron_e Alban Pétré – petre_e Victorien Noé – noe_v
Mise en contexte • Des menaces informatisées de plus en plus présentes et identifiées • Quel est l’origine des malwares et pourriels mondial ? • Les attaques actuelles sont toutes distribuées et complexes mais ne sont ni plus ni moins que des procédures informatisées administrables à distance • Qui sont les serveurs dernières ces attaques ? • Comment de tels serveurs peuvent-ils impunément s’inscrire dans le fonctionnement de l’Internet mondial ? • Quels sont les mécanismes mises en œuvre par ces serveurs ? • Comment les autorités mondiales nous protègent-elles face à ces menaces ? Source Symantec – Nov 2010 Source HostInfected– Nov 2010 SRS Day @ EPITA - 17 novembre 2010
Mise en contexte Les hébergements bulletproof Offres d’hébergement proposant des services d’hébergement classiques mais étant très peu regardant sur l’activité ou l’identités de ses clients Les hébergeurs affirment clairement et ouvertement leurs intentions: peu importe les plaintes reçues, il s’engagent à maintenir leur service Leur commerce est complétement libre: une simple recherche sur Google suffit pour trouver des hébergements de ce type Les hébergements bulletproof: épicentre de la cybercriminalité mondiale Ces services concentrent toutes les activités malveillantes envisageables sur Internet: Spam Malwares Phishing Scamming… « We will not shut you down due to complaints. » SRS Day @ EPITA - 17 novembre 2010
Plan de la présentation • Le rôle des hébergeurs dit « bulletproof » • Intégration des serveurs bulletproof dans l’Internet moderne • Focus sur les mécanismes d’autoprotection de ces serveurs • Etude des usages des hébergeurs bulletproof • Présentation des réponses légales mises en œuvre SRS Day @ EPITA - 17 novembre 2010
Le rôle des hébergeurs bulletproof SRS Day @ EPITA - 17 novembre 2010
Serveur bulletproof • Historique: • Des fournisseurs de « root shell » apparaissent pour garder le contrôle de chan IRC • Des services anonymes, redondés et sécurisés, des services à « l’épreuve des balles » (“bulletproof”) • Evolution: • Ces fournisseurs répondent aux besoins des pirates: anonyme, sécurisé • Apparition de nouvelles offres avec des arguments ouvertement destinés à fidéliser les organisations criminelles • Utilisation • Utilisation pour des activités nuisibles: scans de ports, campagnes de spams, attaques DoS, etc. • Hébergement de contenu illicite: réseaux pédophiles, sites à caractère raciste, etc. • Situation géographique • En franchissant les limites de la légalité les fournisseurs choisissent d’héberger leurs serveurs dans des pays laxistes au niveau de la loi tels que la Chine, la Russie, les paradis fiscaux SRS Day @ EPITA - 17 novembre 2010
Hébergement d’un serveur bulletproof • Mettre en place un serveur bulletproof n’est pas quelque chose de facile de part l’illégalité de ses actions. Elle est axée autour de quatre points: • Les serveurs, qui représenteront l’architecture physique de l’organisation • Une gestion des DNS • Les moyens de communication avec les clients • C’est une des parties les plus complexes. L’aspect illégal de certaines activités empêche de faire autant de communication que les fournisseurs auraient voulues. • Un moyen d’être payé de façon sécurisée • Il faut que le moyen de paiement soit sûr et sécurisé mais aussi le plus discret possible • Plusieurs services de paiement en ligne qui assurent l’anonymat (ex: Web Money basé au Belize) SRS Day @ EPITA - 17 novembre 2010
Place des serveurs bulletproof dans l’Internet mondial SRS Day @ EPITA - 17 novembre 2010
Internet: un réseau d’AS interconnectés • Internet est un réseau de réseaux interconnectés. Chacun de ces réseaux est appelé AS pour Autonomous System • Chaque AS représente une plage d’adresses IP administrée par une même entité. L’IANA gère l’ensemble des AS en les classant par numéro • Internet repose sur un principe de routage de paquet IP • Pour établir des tables de routages performantes, les AS disposent d’un protocole de dialogue appelé BGP pour Border Gateway Protocol • Une fois établies, les routes sont mémorisées ce qui permet un routage rapide et automatique des paquets IP à travers les différents réseaux • Les hébergeurs bulletproof sont en premier lieux des administrateurs d’AS • Administration de plages d’IP totalement autonomes • Au départ complétement légitime, offrant des services sensiblement identiques à ceux proposés par le marché de l’hébergement classique • Evolution vers des activités ouvertement illégales grâce à des offres bulletproof beaucoup plus lucratives SRS Day @ EPITA - 17 novembre 2010
Etude de cas: Russian Business Network • Etude d’un des hébergeurs bulletproof les plus virulents de 2007 • RBN: une organisation complexe et très complète • Apporte un soutient matériel aux cybercriminels: • Opérateur du botnetStorm • Base de réplication du malware Mpack • Hébergement de nombreux sites de phishing, de pédopornographie… • Services d’anonymisation pour pirates • Basé en Russie… • RBN s’appuie sur des dispositions législative trop laxistes • Utilise le contexte économique pour recruter de brillants et jeunes techniciens russes • … mais administré à l’échelle mondial: • Les whois réseau pointent vers des adresses aux Seychelles et au Panama • Les domaines sont enregistrés depuis New York aux Etats-Unis • Les (faux) noms affiliés à RBN proviennent de plusieurs pays du globe • Une organisation avec de fortes ramifications internationales • Identifié par VeriSign en 2006 lors de la réservation du bloc d’IP 81.95.144.1 – 81.95.159.255 • Une offre parfaitement légale lors de sa création, mais une stratégie permettant le développement d’une offre bulletproof dès la création de l’AS • 2007: les autorités mondiales identifient RBN comme étant le centre névralgique des cyber attaques mondiales SRS Day @ EPITA - 17 novembre 2010
Etude de cas: Russian Business Network La rôle du RBN dans le cyber crime mondial SRS Day @ EPITA - 17 novembre 2010
RBN: Une compréhension globale du fonctionnement d’Internet • RBN est structuré en plusieurs petits AS: • Chaque AS est administré de manière indépendante • Les AS proposent des services soit légaux, soit illégaux • Chaque « micro-as » a un unique lien de peeringavec l’AS central de RBN: • En cas de coupure, plusieurs centaines desites légitimes seraient privés de services • RBN étant originellement légitime, certainesorganismes vitaux russes utilisent les services de RBN • Création de plusieurs sociétés écrans chargéesde dissimuler les activités de RBN: • Création d’un FAI pour professionnels: SBT Telecom… • Permet d’établir des partenariats de peering avec les plus grands FAI russes et limitrophes • RBN devient un acteur majeur pour le trafic est-européen grâce à des routes plus efficaces et rapides • RBN établit une liaison directe avec l’Internet eXchange Point de Moscou • Les IXPs sont les carrefours du trafic Internet mondial: c’est ici que sont échangées les tables de routage à l’échelle mondiale. • En établissant un lien direct vers l’IXP Russe, RBN devient un acteur incontournable dans le routage mondial à destination des pays de l’Est Européen SRS Day @ EPITA - 17 novembre 2010
RBN: Une compréhension globale du fonctionnement d’Internet La rôle du RBN dans le cyber crime mondial SRS Day @ EPITA - 17 novembre 2010
RBN: Quels soutiens? • L’implantation d’une telle structure demande de hautes qualifications, et une excellente compréhension du fonctionnement d’Internet • On peut supposer que RBN a su s’appuyer sur de brillants cerveaux maitrisant les faiblesses originelles d’Internet • Des organisations criminelles sont certainement intervenues: • Pour aider à financer l’entreprise de RBN lors de la phase de création « légitime » de l’entreprise • Pour faire pression sur des organismes légitimes afin de s’interconnecter avec RBN, obtenir un accès aux IXP russes • Pour faciliter le blanchissement de l’argent récolté par les activités du RBN • RBN: une structure devenue incontournable pour le trafic Internet mondial • Déconnecter RBN était donc particulièrement difficile si l’on ne souhaitait pas ralentir une partie du trafic Internet russe pendant plusieurs jours. • Les relations de peering établies avec des acteurs d’Internet légitimes les rendent dépendant de la bonne marche de RBN • La structure de RBN étant complexe, il est difficile de clairement identifier les limites de l’organisation et ainsi la fermer • Les régulateurs mondiaux d’Internet étaient donc parfaitement au courant des menaces de RBN, sans pour autant être en mesure de limiter son activité malveillante SRS Day @ EPITA - 17 novembre 2010
Les mécanismes de protections des serveurs bulletproof SRS Day @ EPITA - 17 novembre 2010
Les réseaux FAST-FLUX • Technique qui s’appuie sur le protocole DNS • Plusieurs adresses IP associées à un même hôte • Durée de validité (TTL) de la réponse très bas • Adresses IP de machines compromises utilisées comme reverse-proxy pour masquer le serveur réel du pirate « mothership » • Buts • Anonymat: une investigation sur les adresses IP correspondant au nom de domaine conduira chez des particuliers répartis partout dans le monde • Haute-disponibilité: Il ne suffit pas de bannir/attaquer une seule adresse IP mais beaucoup plus • Il existe deux manières d’implémenter un réseau FAST-FLUX • Single-flux • Double-flux SRS Day @ EPITA - 17 novembre 2010
Les réseaux FAST-FLUX Source: http://www.blogs.orange-business.com/securite/ SRS Day @ EPITA - 17 novembre 2010
Les réseaux FAST-FLUX Source: http://www.blogs.orange-business.com/securite/ SRS Day @ EPITA - 17 novembre 2010
Les Serveurs Upstream • Fonctionnement • Un serveur Upstream est un serveur qui fournit un service à un autre serveur. Il est situé plus haut dans la hiérarchie des serveurs • Les malwares, virus, spam… sont donc stockés et envoyés depuis le serveur bulletproof. Les serveurs upstream sont des serveurs « clean » , ils ne servent que de passerelle. Ils sont enregistrés en toute légalité auprès des FAI • Le serveur bulletproof est connecté à plusieurs serveurs upstream et peut alterner les connections • But: • Les serveurs upstream permettent aux serveurs bulletproof de rester anonymes de part la complexité de leurs maillages • L’architecture et le nombre de serveurs upstream assurent aux serveurs bulletproof une continuité d’activité et une très grande réactivité si un des serveurs tombe ou est fermé SRS Day @ EPITA - 17 novembre 2010
Etude des usages des serveurs bulletproof SRS Day @ EPITA - 17 novembre 2010
Contenus illégaux des flux provenant des serveurs bulletproof • Exploits de logiciels, incluant les 0-days, • Codes malveillants visant à manipuler les PC des victimes : • faux codecs • Chevaux de Troie bancaires • robots de spam • faux antivirus • etc., • Sites de phishing, • Sites de recrutement de “money mules”, • Serveurs C&C (Command and Control) pour botnets, tel que Zeus, • Licences de logiciels payants (Warez), • Contenu pornographique illégal (pédopornographie), • Communications codées entre organisations criminelles ou terroristes SRS Day @ EPITA - 17 novembre 2010
Principales utilisations faites par les cyber-criminels • Botnets C&C • Les botnets C&C exécutent des commandes provenant de serveurs de contrôle • Ces serveurs sont hébergés sur des serveurs bulletproof, donc difficiles à neutraliser • Par exemple, le trojan Zeus recevait des ordres de serveurs hébergés chez Troyak.org • Spammeurs • Botnets C&C qui envoient des mails en continue • Constituent la majeure partie des flux illégaux • Srizbi, considéré comme le plus grand spammeur, était hébergé chez McColo, en Californie, fermée depuis 2008 et entraînant une chute de 60% du nombre de spam envoyés dans le monde • Phishing • Les pages Web des sites falsifiées et les données récupérées sont stockées sur des serveurs bulletproof • Anonymat et haute disponibilité sont ainsi garantis pour le pirate SRS Day @ EPITA - 17 novembre 2010
Les tendances du marché • Le spam reste l’utilisation la plus importante des serveurs bulletproof • Environ 150 000 e-mails envoyés chaque seconde (Symantec, Nov. 2010) • Cette moyenne augmente constamment, car de nouveaux virus apparaissent • De nouveaux acteurs apparaissent tandis que d’autres restent • La Chine • Pays de l’ex-URSS • USA • Les hébergeurs arrivent à intégrer de mieux en mieux leurs serveurs dans les routes des paquets qui transitent, les rendant de plus en plus difficiles à supprimer SRS Day @ EPITA - 17 novembre 2010
Le volume de spam envoyé ne diminue pas SRS Day @ EPITA - 17 novembre 2010
Entrée sur le marché de la cybercriminalité • Les revendeurs de serveurs bulletproof • Ils n’exercent aucun contrôle sur les contenus, comme Tecom en Chine • Certains affichent publiquement leurs activités • Spamahost (anciennement Xrumer) • www.ccihosting.com • et bien d’autres… • Des prix raisonnables • 700$ pour un serveur • 100$ pour un nom de domaine SRS Day @ EPITA - 17 novembre 2010
Etude de RBN: une véritable arme électronique ? • RBN apparu dans plusieurs conflits politiques liés à la Russie • En plus des ses activités classiques (Spam, phishing, hébergement de malwares); RBN fût utilisé à des fins politiques • Implication dans la guerre d’Ossétie du Sud: • RBN fût la première plate-forme utilisée pour réaliser des attaques de type DDoS envers les infrastructures de télécommunication de la Géorgie • Ces attaques ont permis un blocage quasi-total des mesures de défenses Géorgiennes • Une large compagne de dénigrement contre les dirigeants politiques de la Géorgie fût orchestrée depuis les serveurs de RBN grâce à des envois massifs de spam et de « defacement » • Participation active de RBN à des actes de cyber guerre • RBN dépasse le cadre du cyberespace • S’inscrit dans des actions terroristes • Peut causer des préjudices physiques à des populations Site Géorgien defacé en utilisant les ressources de RBN SRS Day @ EPITA - 17 novembre 2010
Des réponses judiciaires efficaces ? SRS Day @ EPITA - 17 novembre 2010
Les moyens de détection • Les acteurs de la détection • Les fournisseurs d’accès • Les CERT (Computer Emergency Response Team) • Privés ou d’Etat (ex.: le CERTA en France, l’US-CERT aux Etats-Unis). • Les éditeurs d’anti-virus et les sociétés de sécurité • Les autorités • En France: principalement l’ANSSI mais aussi la police (OCLCTIC, BEFTI, DCRI, …) et la gendarmerie (NTECH). • En Europe: Europol, Eurojust, différents services spécialisés • A l’échelle mondiale: Interpol • Des partenariats entre ces services se créent et se maintiennent afin de lutter plus efficacement contre la cybercriminalité. SRS Day @ EPITA - 17 novembre 2010
Les décisions de justice • La plupart des hébergements bulletproof sont « offshores » • Souvent dans des pays peu regardants quant au contenu et à l’utilisation faite des serveurs • Des procédures souvent locales • Une court de justice américaine n’aura d’effet que sur des serveurs américains • McColo Corp (Californie) fût fermé pour cause d’hébergement de contenu malveillant (spams) • Une décision légale française ne peut pas impacter un serveur en Russie ! • Elle n’a aucune autorité, son seul recours: les instances judiciaires internationales • A l’heure actuelle, les procédures législatives sont inadaptées à l’environnement complexe d’Internet • L’ICANN (Internet Corporation for Assigned Names and Numbers) révoque les accréditations aux entreprises « malveillantes » (exemple avec EstDomains, Inc.) : EstDomains (Estonie) était notamment connu pour son laisser-faire en matière d’hébergement (malware, pédopornographie, etc.). La lettre a été envoyé au CEO Vladimir Tsastsin, annonçant la suppression de l’accréditation Registrar (attributions de TLD). Vladimir Tsastsin a fait de la prison pour fraude à la carte bancaire, usage de faux et blanchiment d’argent (3 ans dont 6 mois ferme par la court de Tartu , Estonie). SRS Day @ EPITA - 17 novembre 2010
Déconnexion d’AS corrompu • Une fois la décision de justice prise, il faut faire fermer ces serveurs, mais comment ? • Le but est de « couper » ces AS d’Internet, pour cela il faut déconnecter un à un tous les AS s’interconnectant à celui à faire fermer. • Ce phénomène s’appelle le « de-peering » • L’AS légitime supprime les routes menant vers l’AS corrompu afin de l’isoler de l’Internet. • Cependant un AS malveillant peut avoir jusqu’à 15 connexions vers d’autres AS ! La procédure est donc longue et difficile, d’autant plus qu’il peut s’interconnecter avec d’autres AS malveillants (qui ne couperont pas leurs liens). • Que faire lorsque un AS malveillant héberge aussi du contenu légitime ? • Problème de neutralité du net • Besoin d’un filtrage de plus faible granularité, mais celui-ci est couteux et peu efficace (les IP changent en moins de 24h). • La France est loin d’être irréprochable • Exemple avec l’AS OVH (AS16276) • Spam, serveurs C&C, phising, etc. SRS Day @ EPITA - 17 novembre 2010
Etude de RBN: Un démantèlement réussi ? • Les acteurs de la lutte antiviral identifient RBN comme la source des principales attaques électroniques en 2007 • L’organisation de RBN fût exposée médiatiquement, et une forte pression mondiale commença à s’exercer sur leurs activités • Certains FAI russes commencèrent à de-peerer les AS de RBN • Les clients de RBN étant trop exposés, ils commencèrent à suspendre leurs abonnements et ainsi mettre en danger le business modèle de RBN • Aucune condamnation ne fût prononcée • Malgré la très forte suspicion sur l’identité de certains acteurs de RBN, aucune arrestation ne fût prononcée • Le dimensionnement international et la forte mobilité des protagonistes empêcha toutes actions coordonnées des autorités internationales • Le service fourni étant critique pour les organisations cybercriminelles, RBN a probablement pu être protégé par certaines cellules • RBN aujourd’hui disparu ? • Officiellement la société RBN est aujourd’hui annoncée comme ayant cessé son activité • Néanmoins tout pousse à croire que RBN a juste évolué en une structure plus discrète: - Une dizaine de noms de domaines affiliés à RBN sont aujourd’hui actif en République Tchèque - Plusieurs blocs d’IP utilisés par RBN sont maintenant localisés en Chine • RBN semble avoir évolué vers un système plus discret, construisant des AS grâce à l’achat de plages d’IP de petites tailles de manière à ne pas éveiller les soupçons. Leurs relations avec les cybercriminels s’est potentiellement intensifiée de manière à garantir un meilleur anonymat. SRS Day @ EPITA - 17 novembre 2010
SRS Day – Conférence 17 novembre 2010 Les Serveurs bulletproof:Conclusion