Barracuda full logo

Malware 101 : bots, portes dérobées et autres logiciels malveillants persistants

Thèmes:
19 oct. 2023
|
Jonathan Tanner

Comme dans le cas du keylogger déjà mentionné, certains malwares cherchent à rester présents dans un système plutôt que de s’arrêter une fois l’objectif atteint. Les bots sont un bon exemple de ce phénomène, qui est devenu très courant depuis quelques années. En général, les bots attendent de recevoir les instructions des attaquants sur la marche à suivre, ou plus précisément d’un serveur créé par l’attaquant, que l’on appelle serveur C2 (« commande et contrôle »). Le bot vérifiera régulièrement si de nouvelles instructions ont été envoyées à partir de ce serveur et les exécutera le cas échéant. Si, en général, la fonctionnalité des instructions doit être codée dans le bot avant qu’il ne soit distribué, la possibilité d’ajouter une nouvelle fonctionnalité aux bots – comme l’application d’une mise à jour à un malware – est devenue courante. Ces composants de fonctionnalité sont souvent appelés modules.

La fonctionnalité spécifique du module ou de l’instruction peut fortement varier. Il peut s’agir de renvoyer des informations techniques sur l’ordinateur hôte du bot, de voler des données, des identifiants ou des frappes au clavier (auquel cas les objectifs détaillés dans l’article précédent sont également applicables), ou encore d’exécuter une attaque par déni de service (DOS) contre un serveur particulier. Lorsque l’attaque est combinée à celle de nombreux autres appareils infectés par le même bot et qui reçoivent des instructions du même attaquant (l’ensemble étant alors appelé un botnet), on parle alors d’attaque de type déni de service distribué (DDOS), et ses conséquences sont potentiellement catastrophiques. Ce type d’attaque a été exécuté par le botnet Mirai en 2016 contre DynDNS et a entraîné l’indisponibilité d’une grande partie de l’Internet aux États-Unis durant l’attaque.

Comment les cybercriminels utilisent les botnets pour maximiser les attaques

Compte tenu des possibilités d’application des bots, les cybercriminels ont pris l’habitude de créer des botnets dans le but de les louer à d’autres attaquants. Au lieu d’avoir à créer l’infrastructure nécessaire pour déployer une attaque DDoS massive contre une cible précise, un pirate peut décider de louer un botnet existant pour parvenir à ses fins. Le type de fonctionnalité dont sont dotés un grand nombre de bots peut être assez simple à détecter pour les logiciels antimalware et les logiciels de surveillance réseau. Heureusement pour les attaquants, l’état actuel de la technologie permet de transformer presque n’importe quel objet en ordinateur.

Le marché de l’Internet des objets (IoT) regorge d’appareils qui utilisent des versions allégées de Linux particulièrement vulnérables aux bots. Les routeurs domestiques exécutent généralement des distributions de Linux similaires, et sont encore plus répandus que les appareils IoT. (Bien que cela ne concerne pas les malwares, il convient de rappeler que les routeurs sont des appareils réseau et non des appareils IoT). Ainsi, les routeurs et les appareils IoT sont des cibles très courantes pour les malwares dont le mode d’attaque est de transformer leurs cibles en bots, et ont constitué une part importante du botnet Mirai mentionné plus haut.

Portes dérobées et cryptomineurs

Si les bots sont les types de malwares persistants les plus connus aujourd’hui, l’un des objectifs premiers des malwares est la porte dérobée, qui donne au pirate un accès au système à un moment futur qu’il pourra choisir. Les portes dérobées ont des niveaux de complexité différents, de la simple ouverture immédiate d’un port au fait de demander une séquence spécifique de requêtes au système afin d’ouvrir le port de connexion, ce qu’on appelle le « port knocking ».

Dans ce dernier cas, les portes dérobées peuvent souvent éviter la détection tant qu’elles ne sont pas utilisées. Les portes dérobées existent depuis plus longtemps que les malwares et étaient auparavant déployées par d’autres moyens, comme l’accès physique à un système ou son piratage manuel. Pour les pirates, l’émergence des malwares a permis d’automatiser le processus de création de portes dérobées.

Une porte dérobée peut être un simple port ouvert (ou un port qui peut être ouvert dans le cadre du « port knocking ») et qui permet à un pirate de se connecter. Une version plus « conviviale » de la porte dérobée est le cheval de Troie d’accès à distance (« Remote Access Trojan » ou RAT). Ces malwares offrent généralement une meilleure fonctionnalité, notamment un client que le pirate peut utiliser et éventuellement des modules qui peuvent être déployés (comme les keyloggers) pour augmenter les fonctionnalités du RAT. Bien qu’une porte dérobée fonctionne d’une manière similaire aux protocoles Telnet et SSH, un RAT ressemble plus à une application de bureau à distance.

Alors que les bots et les portes dérobées sont des objectifs courants de persistance sur un réseau, les cryptomineurs ont un seul et unique objectif, à savoir détourner la puissance de calcul d’un appareil dans le but de miner des cryptomonnaies. Les cryptomineurs étaient très populaires il y a quelques années. Ils ont tellement perturbé l’utilisation des ransomwares que certains experts en sécurité pensaient qu’ils finiraient par les remplacer et qu’ils deviendraient le malware de prédilection pour tout pirate motivé par le gain financier. La baisse de la rentabilité du cryptomining et des tactiques de ransomwares (qui a coïncidé avec une baisse du taux de paiement des rançons) a toutefois fini par renverser la tendance.

Les conséquences des malwares persistants

S’il est vrai qu’aucun malware ne « disparaît totalement » tant que tous les aspects de son infection ne sont pas corrigés, les malwares persistants restent généralement actifs plutôt que d’entrer en veille une fois qu’ils ont atteint leurs objectifs. Ils sont ainsi susceptibles de continuer à être utilisés pour des activités malveillantes, mais leur présence sur le réseau les rend également vulnérables aux systèmes de sécurité. Dans le cas des portes dérobées, l’absence de signaux provenant d’un malware présent sur le réseau qui n’est pas utilisé activement peut compliquer la détection. Les portes dérobées permettent également aux pirates d’attendre le moment le plus propice pour frapper.

Vous pouvez lire le reste de la série Malwares 101 ici

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
À propos du cycle de publication de l'API
À propos du cycle de publication de l'API
 Comment les identifiants de session aident à protéger les API
Comment les identifiants de session aident à protéger les API
Pourquoi les API zombies sont une bombe à retardement pour votre entreprise
Pourquoi les API zombies sont une bombe à retardement pour votre entreprise
 Threat Spotlight : Les bons, les mauvais et les « gray bots » – les bots scrapers d'IA générative qui ciblent vos applications Web
Threat Spotlight : Les bons, les mauvais et les « gray bots » – les bots scrapers d'IA générative qui ciblent vos applications Web
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.