À la mi-novembre, les chercheurs de Barracuda ont ainsi passé au crible une application Web test à l'aide de l'outil Barracuda Advanced Bot Protection, détectant en quelques jours seulement un nombre stupéfiant de bots et des millions d'attaques associées à quelque milliers d'adresses IP distinctes.
Lorsqu'ils se sont intéressés à la chronologie des données, les chercheurs ont également pu constater que ces bots agissent maintenant au grand jour. Au Royaume-Uni, par exemple, l'activité des bots atteint son pic en milieu de matinée et ne faiblit que vers 17 h, ce qui laisse penser que les pirates auraient en fait des horaires de bureau habituels.
Poursuivez votre lecture pour en savoir plus sur les tendances identifiées par les chercheurs de Barracuda quant à la manière dont les cybercriminels usurpent des agents utilisateurs authentiques ainsi que les nouveaux comportements associés à ces attaques.
Menaces particulièrement importantes
Les bad bots — Ces robots malveillants ont été identifiés comme tels en raison de leur comportement. Les bad bots sont regroupés par agent utilisateur. Or, ce dernier n'est pas toujours lui-même malveillant. Prenons l'exemple de GoogleBot. Ces bots associés à Google analysent les sites Web afin de les faire figurer dans les résultats de recherche. Ils ne sont donc pas malveillants et ne doivent pas être bloqués. Google possède ainsi plusieurs agents utilisateurs :
Ici, le problème est que, derrière ces agents utilisateurs bien connus, se cachent souvent des robots malveillants. Pour les identifier, les chercheurs de Barracuda font appel aux méthodes suivantes :
Tendre des pièges, tels que des URL masquées ou des défis JS, car les bots ne suivent pas les liens et ne réagissent pas aux défis JS comme le ferait un utilisateur humain.
Utiliser le rDNS (reverse DNS lookup) afin de contrôler la source associée au bot.
Vérifier si le client tente d'accéder à des URL utilisées dans le cadre d'attaques de fingerprinting d'applications connues.
Si ces méthodes ne donnent pas de résultat, les chercheurs se tournent alors vers le machine learning.
Les détails
Dans le cadre de l'observation des principaux profils de bots malveillants, les données collectées par les chercheurs de Barracuda montrent une hausse du trafic malveillant associé aux profils de bots suivants : HeadlessChrome, yerbasoftware et M12bot, suivis de navigateurs plus récents comme Microsoft Edge.
Profils de bots MALVEILLANTS – Novembre 2020
Profil de bot/agent utilisateur
Part du trafic de bot malveillant
Utilisateur malveillant/agent utilisateur non standard
72,00 %
Headless Chrome
5,00 %
Safari
2,50 %
Edge
1,80 %
SEMrushBot
1,50 %
L'utilisateur malveillant/agent utilisateur non standard couvre les catégories suivantes :
Les bots qui se font passer pour un navigateur spécifique mais utilisent une chaîne non standard
Les bots qui se font passer pour un logiciel spécifique mais utilisent une chaîne non standard
Les bots qui se font passer pour un navigateur spécifique mais sont démasqués en raison de comportements de navigation inhabituels ou grâce à d'autres contrôles visant à les contrer
Les bots qui se font passer pour de « bons » bots mais sont démasqués grâce aux requêtes rDNS Lookup
Lorsqu'ils ont cherché à connaître le fournisseur d'accès à Internet (FAI) ou le numéro de système autonome (NSA) à l'origine de cette activité bot malveillante, les chercheurs ont notamment identifié des plages de sous-réseaux associées à un fournisseur de réseaux mobiles indien, mais aussi certains grands noms du cloud public. Nous pouvons alors émettre la conclusion suivante : les bots sont aujourd'hui susceptibles de traverser les frontières, bien que cela puisse varier en fonction du bot et du site ciblé.
FAI à l'origine de trafic bot MALVEILLANT – Novembre 2020
FAI
Nom du système autonome
Pourcentage
Airtel
BHARTI Airtel Ltd.
34,96 %
Microsoft Corporation
MICROSOFT-CORP-MSN-AS-BLOCK
22,00 %
Tata Teleservices ISP
Tata Teleservices ISP AS
9,80 %
Amazon.com
AMAZON-AES
8,23 %
Google Cloud
GOOGLE
7,64 %
Amazon.com
AMAZON-02
7,29 %
MEO
Servicos De Comunicacoes E Multimedia S.A.
6,45 %
Limestone Networks
LIMESTONENETWORKS
3,63 %
Se protéger contre les attaques de bots
Alors que les consommateurs font le plein de cadeaux, il est conseillé aux équipes de e-commerce de prendre les mesures suivantes afin de protéger leurs applications contre les robots malveillants :
