Dans les abysses : le paysage des botnets en graphique

Les outils d’analyse des réseaux sociaux donnent une nouvelle vision des relations qui peuvent exister entre les machines composant les botnets.

Nos articles de blog et nos études donnent des idées sur les aspects techniques des menaces DDoS. Cette fois-ci, nous aimerions décrire l’écosystème DDoS sous un angle différent, en faisant appel aux outils de SNA (Social Network Analysis, ou analyse des réseaux sociaux). Notre objectif : fournir une analyses de données exploratoires sur les relations entre les machines composants les botnets en utilisant des données du monde réel collectées lors d’attaques contre nos clients. 

Explorer ces relations est très utile pour conceptualiser l’activité des mauvais acteurs et les ressources qu’ils utilisent dans leurs différents scénarios d’attaques. Cette information est valable pour les opérateurs réseau et les équipes de sécurité à la recherche d’une meilleure compréhension des menaces DDoS auxquelles ils pourraient faire face. Cela met également en lumière l’importance de la réputation IP dans les stratégies de neutralisation des attaques DDoS.

Représentation graphique

Pour représenter les relations entre les diverses machines botnet, nous avons utilisé un échantillon de 57 034 adresses IP de botnets impliqués dans des attaques contre 580 de nos clients sur une période de 60 jours, allant du 1er janvier au 1er mars 2016.

Cet échantillon a été exporté dans Gephi, un formidable logiciel de visualisation open source couramment employé pour l’analyse de centralité. L’analyse de centralité est utilisée par exemple, pour identifier la ou les personnes les plus influentes au sein d’un groupe social ou pour évaluer les relations entre les nœuds d’un réseau.

Dans notre cas, nous avons recherché des liens entre adresses IP cibles et IP impliquées dans des scénarios d’attaque DDoS. Après avoir injecté nos données dans Gephi, nous avons obtenu l’image suivante :

Cette « nébuleuse » d’apparence cosmique est en fait un instantané des attaques contre nos clients. Si elle peut sembler fascinante vue de loin, elle devient bien plus intéressante si on l’examine de près. 

Voici une légende pour vous aider à vous repérer : 
• Les points rouges sont des adresses IP cibles.
• Les points bleus sont des adresses IP attaquantes.
• Les lignes violettes sont des flux de trafic d’attaque. 

De plus, il est important de savoir que la distance entre les objets reflète leurs relations et les similitudes dans leur comportement. Le principe en l’occurrence est que les adresses IP attaquantes présentant des schémas d’attaque similaires sont rapprochées, les plus apparentées étant regroupées en gros amas serrés (« clusters »). 

Pour montrer comment cela fonctionne, zoomons sur un exemple d’attaque : 
Nous observons ici trois clusters de machines infectées – A, B et C – qui convergent vers une même cible. Les machines au sein de chacun sont liées par un historique d’attaques commun, ce qui signifie qu’elles font partie du même botnet et obéissent au(x) même(s) opérateur(s).

Il est à noter que ces trois clusters correspondent probablement à seulement deux botnets différents car la proximité de A et B indiquent qu’ils affichent des schémas comportementaux similaires. Cela illustre la façon dont les auteurs des attaques utilisent les ressources de leurs botnets pour faire du « multitâche », c’est-à-dire lancer plusieurs attaques à la fois, sachant qu’ils ont rarement besoin de la totalité des ressources à leur disposition pour paralyser une seule cible. 

Dans cet exemple, toutefois, les acteurs malveillants ont trouvé à qui parler et ont mis pratiquement toutes leurs forces dans la balance, mais en vain. Même avec le renfort du botnet C plus imposant, la cible est demeurée en ligne, protégée par nos services de neutralisation.

A côté, vous pouvez également noter la présence du cluster miniature C.2, composé de machines qui se comportent de la même façon que le cluster C voisin mais ne participent pas à cette attaque spécifique. 

Pourquoi ? Vraisemblablement parce que le malware ayant servi à les pirater a été éliminé, soit par l’utilisateur de la machine, soit par d’autres acteurs malveillants qui se sont débarrassés de tous les malwares préexistants après qu’ils aient installé leurs propres backdoors.

C’est le genre de scénario que peut révéler un gros plan sur une seule attaque. Une fois encore, nous vous exhortons à explorer l’image en détail pour tenter de découvrir les coulisses des milliers d’attaques inscrites dans ses pixels. 

Pour notre part, nous allons prendre du recul pour observer trois types distincts de scénarios d’attaque, chacun lié à un archétype différent d’acteur malveillant.

1. Des botnets à louer essaimant en une nuée de pirates
Au premier coup d’œil, vous pouvez constater que le paysage des botnets est extrêmement chaotique. Un zoom sur l’un des nœuds majeurs d’activité révèle un environnement apparemment désorganisé, très différent des clusters cohérents vus dans l’exemple ci-dessus.

En fait, ce pentagramme disgracieux est la représentation visuelle d’un cluster massif de machines infectées utilisées par un nombre d’individus importants pour attaquer des cibles sans rapport entre elles. 

Il pourrait s’agir soit de botnets à louer, employés par divers « abonnés », soit de machines, piratées par plusieurs acteurs malveillants, comme cela a été le cas de toutes ces caméras de vidéosurveillance. Très probablement, cependant, nous avons affaire à une combinaison des deux.

Voilà à quoi ressemble la majeure partie du paysage DDoS. Un botnet multitenant, une nuée géante de pirates, constituée de machines piratées qui sont exploitées par de multiples acteurs malveillants, tout en étant revendues sous l’apparence de « stressers ». 

Si vous revenez à l’image initiale, vous constaterez que ces botnets multitenants forment l’épine dorsale de toute l’activité DDoS :

Dans notre dernier rapport sur le paysage des menaces DDoS, nous relevons que plus de 80% des attaques contre nos clients proviennent de plateformes de botnets à louer. Cette image met en perspective ce chiffre, ainsi que la menace qu’il représente.

2. Des « pros » du DDoS montant des offensives concertées
Cependant, qu’en est-il des importants nœuds d’activité qui existent en dehors de ces nuées de pirates ? Certains peuvent être également des botnets à louer qui n’ont été utilisés que lors d’une seule attaque au cours de la période étudiée. D’autres, par contre, sont des ressources propriétaires employées par des attaquants professionnels, capables de créer et entretenir leurs propres botnets, sans que ceux-ci soient partagés avec quelqu’un d’autre.
Remarquez les clusters en forme de larme ci-dessus. Il s’agit de botnets très organisés, exploités par des cybercriminels qui ne le sont pas moins. Ici, les motifs de ces dispositifs de comportement homogènes sont représentés par leur proximité et pointent d’une seule main en direction du flux d'attaque.

Ces individus ont fait des attaques DDoS leur gagne-pain. Et quand nous parlons de gagne-pain,  nous ne voulons pas parler de l’ensemble des rançons de 250$. Ce serait plus des mercenaires engagés pour faire tomber des concurrents. Les attaques qu’ils lancent sont des campagnes multifacteurs complexes pouvant se prolonger pendant des jours voire des semaines. Leurs cibles font partie des plus grands sites Web ayant recours à nos services. 

3. Des « script kiddies » qui en font une affaire personnelle
Si vous vous déplacez vers la périphérie de l’image initiale, vous y découvrirez qu’elle est émaillée de petites attaques. Ces incidents impliquent souvent une seule machine attaquante ne lâchant pas sa proie.

Ils sont, comme vous l’aurez peut-être deviné, le fait d’individus isolés se servant d’outils d’attaque DoS. La plupart d’entre eux sont des script kiddies, s’attaquant à des sites Web uniquement pour le plaisir. D’autres attaques sont des vengeances personnelles ou ont des motivations politiques. 
Les cibles de ces attaques sont souvent des sites de médias, des blogs politisés, des organisations de défense des droits de l’homme ou des institutions religieuses. 

Quoi qu’il en soit, bon nombre de ces paires de points cachent de véritables drames. Il est fascinant de constater comment deux pixels peuvent représenter la catharsis d’un contentieux qui dégénère au point que l’un des deux protagonistes recourt à une cyberattaque pour réduire l’autre au silence. 

Comme le montre l’image, ces attaques sont très courantes. A telle point que Google a récemment élargi son opération Project Shield : son initiative lancée spécialement pour protéger contre ces types d’attaque, qui visent en fait la liberté d’expression plutôt que de simples serveurs. 

Au-delà d’une belle image
Avec cette analyse, notre objectif était d’illustrer la somme des complexités du paysage DDoS. Toutefois, dans notre travail au quotidien, l’observation des relations entre les différentes machines attaquantes n’a rien d’esthétique. 

En regardant l'image, vous pourrez clairement voir que la majeure partie de l'attaque provient d'un nombre limité d’IPs contrevenantes – dispositifs détournés, maintes et maintes fois, pour une activité frauduleuse. Le suivi de ces adresses IP contrevenantes nous permet de créer des stratégies d'atténuation adaptative, avec des niveaux inférieurs de tolérance pour les récidivistes.

Aujourd’hui, nous surveillons des centaines de milliers d’adresses IP malveillantes en permanence et nos bases de données ne cessent de grossir à chaque attaque neutralisée.