pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Des malwares utilisent TOR pour contacter leur C&C

Jeudi 13 septembre 2012

Vous n'avez rien compris au titre ? Je vais vous expliquer:

Les PC infectés (zombie) ont besoin d'être commandés par celui qui les a infecté. Pour cela, ils prennent leurs ordres de centres de commande appelés "C&C" (Command and Control). Pour mettre un terme à l'infection de millions d'ordinateurs par un malware, il suffit de donc de prendre le contrôle du C&C ou de le faire fermer. Cette opération a déjà été effectuée de nombreuses fois par les autorités, avec la collaboration des éditeurs d'antivirus (Kaspersky, Microsoft...).


Les premiers malware prenaient leurs ordres d'une URL précise. Il était alors facile pour les autorités de contacter l'hébergeur pour faire fermer le centre de commande.

Les auteurs de malware, pour éviter la saisie des hébergeurs, sont donc passés au fast-flux (une technique pour attribuer à un même nom de domaine de nombreuses adresses IP), rendant le blocage d'un hébergeur unique inopérant. Mais les autorités sont montées un cran au dessus et ont commencé à saisir les noms de domaine.

Beaucoup de malwares sont passés à IRC, ce protocole de chat, parfois en utilisant des serveurs IRC connus. Une fois de plus, il suffit de demander aux administrateur de ces serveurs IRC de collaborer pour bloquer les canaux utilisés par ces malwares.

Du coup, certains malware comme Conficker ont adopté une stratégie intéressante: Ils contactent un nom de domaine différent chaque jour, calculé par un algorithme. Il suffit donc au pirate d'acheter le bon nom de domaine le bon jour pour pouvoir passer des commandes aux zombies. Mais les éditeurs d'antivirus sont parvenus à faire du reverse-engineering et en déduire l'algo. Les domaines ont ainsi pu être bloqués (par exemple chez OpenDNS).

Quelle est l'évolution logique ? Le P2P bien sûr ! Des malwares comme TDL4 ont alors adopté des protocoles P2P. Pas bête: Pas de nom de domaine ou de serveur central à bloquer ou saisir, puisque c'est décentralisé. L'auteur peut passer ses commandes depuis n'importe quel nœud du réseau infecté.

Mais les protocoles P2P posent problème: Ils sont rapidement repérés, et beaucoup d'entreprises les bloquent. Ça ne passe donc pas bien partout.


Comme constaté par l'éditeur d'antibirus G-Data, certains auteurs de malwares sont donc revenus à un centre de contrôle IRC classique... mais sous forme de service caché TOR. C'est très futé:
  • TOR peut fonctionner en utilisant HTTP, ce qui permet au malware de traverser les proxy des entreprises et universités pour contacter le centre de contrôle.
  • Le trafic TOR étant encapsulé dans HTTP, il ne lève généralement pas d'alerte.
  • TOR étant chiffré, cela rend la détection par les IDS plus difficile.
  • TOR a aussi des utilisations légales. Ce n'est pas donc pas forcément judicieux de le bloquer en totalité. Il est impossible de distinguer le trafic TOR légitime du trafic TOR généré par le malware.
  • mais surtout, le système de service caché fait qu'il devient impossible de connaître l'adresse IP réelle du serveur IRC, et donc impossible de s'adresser à l'hébergeur pour le faire fermer.
  • TOR n'ayant pas de système de nommage (DNS) centralisé, impossible de saisir un nom de domaine.

C'est très fûté.

J'espère juste que cela ne sera pas un prétexte supplémentaire pour les autorités pour bloquer TOR.


(YYeeeeahhh... vous avez vu ? Mon blog n'est pas mort !)