En tant que méthode courante et efficace de cyberattaque, les botnets représentent une menace énorme pour la sécurité Internet d'aujourd'hui. Cet article présente le concept et les méthodes de contrôle des botnets, ainsi que les 6 botnets notoires. J'espère qu'après avoir lu cet article, je pourrai avoir une compréhension préliminaire des botnets.
Un botnet est un réseau qui utilise un ou plusieurs moyens de propagation pour infecter un grand nombre d'hôtes avec un virus de programme bot (zombie), créant ainsi un réseau qui peut être contrôlé un-à-plusieurs entre le contrôleur et les hôtes infectés.
Ils sont parfois appelés « armées de robots » et peuvent être utilisés par les cybercriminels pour diverses activités, notamment l'envoi de spam et la conduite d'attaques par déni de service distribué (DDoS).
Tout appareil connecté à Internet peut être ajouté à un botnet, y compris les ordinateurs portables, les ordinateurs de bureau, les smartphones, les lecteurs DVR, les routeurs sans fil et d'autres appareils Internet des objets (IoT).
Les botnets sont contrôlés par des serveurs de commande et de contrôle (C&C), qui sont des ordinateurs contrôlés par des pirates ou des groupes de pirates qui peuvent envoyer des commandes aux botnets du botnet et peuvent également recevoir des informations collectées par les botnets. Le contrôleur du botnet est appelé Bot Botder ou Bot master.
L'avènement de l'IoT (Internet des objets) signifie que davantage d'appareils peuvent désormais être ajoutés au botnet. En outre, il convient de noter que de nombreux appareils IoT sont désormais insuffisamment sécurisés et reposent principalement sur des mots de passe par défaut et des micrologiciels difficiles à mettre à jour. Cela signifie que la taille des botnets peut facilement augmenter à l'avenir.
Comment le botnet contrôle-t-il votre ordinateur
Un botnet peut être contrôlé par un contrôleur botmaster de plusieurs manières différentes.
Traditionnellement, un botnet peut être contrôlé par un serveur C&C. Dans ce cas, l'appareil Bot retourne à un emplacement prédéterminé et attend une commande du serveur. le contrôleur Bot envoie la commande au serveur, qui transmet ensuite la commande au réseau Bot, puis les résultats ou informations collectés sont renvoyés à ce serveur central par l'appareil Bot.
Cependant, le fait d'avoir un serveur centralisé rend le botnet plus vulnérable aux attaques et aux tentatives de sabotage. Pour cette raison, de nombreux contrôleurs de botnet utilisent désormais principalement le modèle peer-to-peer (P2P).
Dans les botnets P2P, les bots interconnectés partagent des informations sans rapport à un serveur central, c'est-à-dire que les bots infectés envoient et reçoivent des commandes. Ces appareils bots sondent ensuite des adresses IP aléatoires pour contacter d'autres appareils infectés. Une fois contacté, l'appareil Bot répond avec des informations telles que la version de son logiciel et une liste d'appareils connus. Si le Bot contacté dispose d'une version logicielle plus récente, l'autre Bot se mettra automatiquement à jour vers cette version. Cette approche permet au botnet de se développer et de rester à jour sans avoir à contacter un serveur central, ce qui rend plus difficile pour les forces de l'ordre ou d'autres agences de démanteler le botnet.
Les deux utilisations les plus courantes des botnets sont l'envoi de campagnes de spam et la conduite d'attaques par déni de service distribué (DDoS).
Les appareils Bot peuvent également être utilisés pour envoyer des logiciels malveillants par courrier électronique, et différents types de logiciels malveillants peuvent avoir des cibles différentes, y compris la collecte d'informations à partir d'ordinateurs infectés. Cela peut inclure des mots de passe, des informations de carte de crédit et toute autre information pouvant être vendue sur le marché noir. Les informations sensibles de l'entreprise peuvent également être volées si les appareils du réseau d'entreprise deviennent des appareils Bot.
Les appareils Bot sont également couramment utilisés pour la fraude aux clics, la visite de sites Web pour créer un faux trafic et générer des revenus pour le propriétaire de l'appareil Bot, et ils sont également souvent utilisés pour l'extraction de bitcoins.
6 botnets tristement célèbres
De nombreux botnets sont apparus au cours de l'histoire, mais certains d'entre eux ont eu plus d'influence que d'autres. Voici 6 botnets très connus.
Bagle
Bagle est l'un des premiers botnets au monde, qui a été utilisé pour une campagne massive de spam. Il est apparu en 2004 et se composait principalement d'appareils informatiques Microsoft Windows. Bagle est un ver qui a infecté plus de 200 000 ordinateurs, et on estime que le virus envoie plus de 10% de tous les spams dans le monde.
Confier
Conficker est un ver informatique notoire qui est apparu pour la première fois fin 2008 et qui afflige le personnel de sécurité du réseau.
La première version de Conficker est apparue en novembre 2008, et elle s'est rapidement propagée via les partages réseau et les clés USB infectées. Selon un décompte, il a infecté jusqu'à 11 millions d'ordinateurs. Cela fait de Conficker un énorme botnet qui pourrait causer beaucoup de dégâts via d'énormes attaques DDoS si les attaquants voulaient l'utiliser pour attaquer. Cependant, il n'a lancé aucune attaque, et même maintenant, les véritables intentions des créateurs de Conficker restent un mystère, et il n'a jamais été clair à quel groupe il était attribué.
Le coût du nettoyage de Conficker est estimé à $9 milliards, et étonnamment, les ordinateurs infectés par Conficker existent toujours malgré le fait qu'il a été publié il y a près d'une décennie.
ZéroAccès
L'un des plus grands botnets connus, le botnet ZeroAccess est apparu en 2013 en tant que botnet de l'armée avec près de 2 millions d'ordinateurs. Il s'agit d'un botnet difficile à combattre en raison de l'utilisation d'un modèle de serveur P2P + C&C, mais les chercheurs de Symantec ont étudié le botnet en 2013 et ont découvert que près de 500 000 des appareils Bot avaient des bacs à sable (bacs à sable de navigateur).
ZeroAccess est principalement utilisé pour la fraude aux clics et l'extraction de bitcoins, et compte tenu de la taille du botnet, on pense qu'il a généré une richesse importante pour les contrôleurs derrière lui au plus fort de son activité.
Gameover Zeus
Gameover Zeus est un énorme botnet qui est principalement utilisé pour voler les informations bancaires des gens. Le botnet compte jusqu'à 1 million d'appareils informatiques. On estime que le botnet a été utilisé pour voler plus de $100 millions.
Gameover Zeus est une variante du malware Trojan.ZBot, et il est toujours actif aujourd'hui. Gameover Zeus est une variante sophistiquée du malware original qui peut permettre une fraude financière à grande échelle en détournant les sessions bancaires en ligne de milliers de victimes. Comme de nombreuses campagnes actuelles de malware par e-mail, il est généralement envoyé via des e-mails sortants. Une fois qu'un utilisateur infecté visite son site bancaire, le malware intercepte la session, accède aux informations de la victime et vole son argent.
Bien que Gameover Zeus ait été supprimé en 2014, de nombreuses variantes du malware Zeus sont toujours actives aujourd'hui.
Necurs
Necurs est l'un des botnets les plus actifs et les plus connus du moment. C'était l'un des plus grands distributeurs d'e-mails malveillants en 2016, et il a également promu les campagnes de ransomware Locky à grande échelle. Cependant, il a mystérieusement cessé ses activités le 24 décembre 2016 et est resté inactif pendant près de trois mois. Au cours de cette période, le taux d'e-mails malveillants détectés par Symantec (une agence de cybersécurité) a chuté de manière spectaculaire.
L'activité a repris le 20 mars et Symantec a bloqué près de 2 millions d'e-mails malveillants pour cette seule journée. Cependant, depuis son retour, Necurs ne s'est pas concentré sur l'envoi de campagnes d'e-mails malveillants, mais plutôt sur l'envoi de campagnes de spam de stock « pump and dump ». Il a commencé à envoyer ce type de campagnes avant de disparaître en décembre et a intensifié ses efforts pour continuer à le faire depuis son retour.
Le but de l'envoi de spams boursiers est de faire monter le prix d'une action entre les mains de l'expéditeur en encourageant la victime à acheter des actions de la même société. Une fois que le cours de l'action est poussé à la hausse par les achats d'actions de la victime, le spammeur vend toutes les actions. Cela fait chuter considérablement le cours des actions et rend moins probable que les victimes vendent leurs actions.
Mirai
La plupart des gens connaissent probablement Mirai, qui a ravagé les réseaux du monde entier au cours des derniers mois de 2016, en utilisant une gamme d'appareils IoT pour lancer des attaques DDoS sur diverses cibles à travers le monde.
Les cibles initiales des attaques DDoS de Mirai en septembre étaient les sites Web du fournisseur d'hébergement OVH ainsi que l'expert en sécurité Brian Krebs. Il s'agissait d'attaques DDoS massives, qui étaient à l'époque les plus importantes jamais enregistrées à 1 Tbps et 620 Gbps, respectivement. Fin septembre, Mirai a publié une mise à jour sur sa communauté de piratage en ligne HackForums, et trois semaines plus tard, elle a lancé une attaque DDoS massive contre le fournisseur DNS Dyn pour bloquer l'accès des utilisateurs à plusieurs sites Web bien connus, notamment Netflix, Twitter et PayPal.
Fin novembre, une variante du réseau Mirai a exploité une vulnérabilité dans les routeurs en Allemagne pour l'accès à Internet, conduisant à une attaque contre près d'un million d'internautes à domicile ; la même vulnérabilité a également affecté les routeurs des internautes irlandais à domicile.
Le botnet Mirai se compose principalement de routeurs et de caméras de sécurité infectés, et cet incident met en évidence que les appareils IoT sont très laxistes en matière de sécurité.
5. Aperçu
Les botnets existent depuis longtemps et se sont développés à mesure que la technologie continue d'évoluer. Avec la croissance des appareils IoT et l'augmentation du nombre d'appareils associés à Internet, l'histoire du développement des botnets est peut-être loin d'être terminée.
Français 
English 
日本語 
Deutsch (Sie) 
Italiano 
Polski 
Português 
ไทย 
Bahasa Indonesia 
Español
Qu'est-ce que Botnet ? Comment ça marche? Les 6 botnets les plus connus
En tant que méthode courante et efficace de cyberattaque, les botnets représentent une menace énorme pour la sécurité Internet d'aujourd'hui. Cet article présente le concept et les méthodes de contrôle des botnets, ainsi que les 6 botnets notoires. J'espère qu'après avoir lu cet article, je pourrai avoir une compréhension préliminaire des botnets.
Qu'est-ce qu'un botnet ?
Un botnet est un réseau qui utilise un ou plusieurs moyens de propagation pour infecter un grand nombre d'hôtes avec un virus de programme bot (zombie), créant ainsi un réseau qui peut être contrôlé un-à-plusieurs entre le contrôleur et les hôtes infectés.
Ils sont parfois appelés « armées de robots » et peuvent être utilisés par les cybercriminels pour diverses activités, notamment l'envoi de spam et la conduite d'attaques par déni de service distribué (DDoS).
Tout appareil connecté à Internet peut être ajouté à un botnet, y compris les ordinateurs portables, les ordinateurs de bureau, les smartphones, les lecteurs DVR, les routeurs sans fil et d'autres appareils Internet des objets (IoT).
Les botnets sont contrôlés par des serveurs de commande et de contrôle (C&C), qui sont des ordinateurs contrôlés par des pirates ou des groupes de pirates qui peuvent envoyer des commandes aux botnets du botnet et peuvent également recevoir des informations collectées par les botnets. Le contrôleur du botnet est appelé Bot Botder ou Bot master.
L'avènement de l'IoT (Internet des objets) signifie que davantage d'appareils peuvent désormais être ajoutés au botnet. En outre, il convient de noter que de nombreux appareils IoT sont désormais insuffisamment sécurisés et reposent principalement sur des mots de passe par défaut et des micrologiciels difficiles à mettre à jour. Cela signifie que la taille des botnets peut facilement augmenter à l'avenir.
Comment le botnet contrôle-t-il votre ordinateur
Un botnet peut être contrôlé par un contrôleur botmaster de plusieurs manières différentes.
Traditionnellement, un botnet peut être contrôlé par un serveur C&C. Dans ce cas, l'appareil Bot retourne à un emplacement prédéterminé et attend une commande du serveur. le contrôleur Bot envoie la commande au serveur, qui transmet ensuite la commande au réseau Bot, puis les résultats ou informations collectés sont renvoyés à ce serveur central par l'appareil Bot.
Cependant, le fait d'avoir un serveur centralisé rend le botnet plus vulnérable aux attaques et aux tentatives de sabotage. Pour cette raison, de nombreux contrôleurs de botnet utilisent désormais principalement le modèle peer-to-peer (P2P).
Dans les botnets P2P, les bots interconnectés partagent des informations sans rapport à un serveur central, c'est-à-dire que les bots infectés envoient et reçoivent des commandes. Ces appareils bots sondent ensuite des adresses IP aléatoires pour contacter d'autres appareils infectés. Une fois contacté, l'appareil Bot répond avec des informations telles que la version de son logiciel et une liste d'appareils connus. Si le Bot contacté dispose d'une version logicielle plus récente, l'autre Bot se mettra automatiquement à jour vers cette version. Cette approche permet au botnet de se développer et de rester à jour sans avoir à contacter un serveur central, ce qui rend plus difficile pour les forces de l'ordre ou d'autres agences de démanteler le botnet.
Utilisations des botnets
Les deux utilisations les plus courantes des botnets sont l'envoi de campagnes de spam et la conduite d'attaques par déni de service distribué (DDoS).
Les appareils Bot peuvent également être utilisés pour envoyer des logiciels malveillants par courrier électronique, et différents types de logiciels malveillants peuvent avoir des cibles différentes, y compris la collecte d'informations à partir d'ordinateurs infectés. Cela peut inclure des mots de passe, des informations de carte de crédit et toute autre information pouvant être vendue sur le marché noir. Les informations sensibles de l'entreprise peuvent également être volées si les appareils du réseau d'entreprise deviennent des appareils Bot.
Les appareils Bot sont également couramment utilisés pour la fraude aux clics, la visite de sites Web pour créer un faux trafic et générer des revenus pour le propriétaire de l'appareil Bot, et ils sont également souvent utilisés pour l'extraction de bitcoins.
6 botnets tristement célèbres
De nombreux botnets sont apparus au cours de l'histoire, mais certains d'entre eux ont eu plus d'influence que d'autres. Voici 6 botnets très connus.
Bagle
Bagle est l'un des premiers botnets au monde, qui a été utilisé pour une campagne massive de spam. Il est apparu en 2004 et se composait principalement d'appareils informatiques Microsoft Windows. Bagle est un ver qui a infecté plus de 200 000 ordinateurs, et on estime que le virus envoie plus de 10% de tous les spams dans le monde.
Confier
Conficker est un ver informatique notoire qui est apparu pour la première fois fin 2008 et qui afflige le personnel de sécurité du réseau.
La première version de Conficker est apparue en novembre 2008, et elle s'est rapidement propagée via les partages réseau et les clés USB infectées. Selon un décompte, il a infecté jusqu'à 11 millions d'ordinateurs. Cela fait de Conficker un énorme botnet qui pourrait causer beaucoup de dégâts via d'énormes attaques DDoS si les attaquants voulaient l'utiliser pour attaquer. Cependant, il n'a lancé aucune attaque, et même maintenant, les véritables intentions des créateurs de Conficker restent un mystère, et il n'a jamais été clair à quel groupe il était attribué.
Le coût du nettoyage de Conficker est estimé à $9 milliards, et étonnamment, les ordinateurs infectés par Conficker existent toujours malgré le fait qu'il a été publié il y a près d'une décennie.
ZéroAccès
L'un des plus grands botnets connus, le botnet ZeroAccess est apparu en 2013 en tant que botnet de l'armée avec près de 2 millions d'ordinateurs. Il s'agit d'un botnet difficile à combattre en raison de l'utilisation d'un modèle de serveur P2P + C&C, mais les chercheurs de Symantec ont étudié le botnet en 2013 et ont découvert que près de 500 000 des appareils Bot avaient des bacs à sable (bacs à sable de navigateur).
ZeroAccess est principalement utilisé pour la fraude aux clics et l'extraction de bitcoins, et compte tenu de la taille du botnet, on pense qu'il a généré une richesse importante pour les contrôleurs derrière lui au plus fort de son activité.
Gameover Zeus
Gameover Zeus est un énorme botnet qui est principalement utilisé pour voler les informations bancaires des gens. Le botnet compte jusqu'à 1 million d'appareils informatiques. On estime que le botnet a été utilisé pour voler plus de $100 millions.
Gameover Zeus est une variante du malware Trojan.ZBot, et il est toujours actif aujourd'hui. Gameover Zeus est une variante sophistiquée du malware original qui peut permettre une fraude financière à grande échelle en détournant les sessions bancaires en ligne de milliers de victimes. Comme de nombreuses campagnes actuelles de malware par e-mail, il est généralement envoyé via des e-mails sortants. Une fois qu'un utilisateur infecté visite son site bancaire, le malware intercepte la session, accède aux informations de la victime et vole son argent.
Bien que Gameover Zeus ait été supprimé en 2014, de nombreuses variantes du malware Zeus sont toujours actives aujourd'hui.
Necurs
Necurs est l'un des botnets les plus actifs et les plus connus du moment. C'était l'un des plus grands distributeurs d'e-mails malveillants en 2016, et il a également promu les campagnes de ransomware Locky à grande échelle. Cependant, il a mystérieusement cessé ses activités le 24 décembre 2016 et est resté inactif pendant près de trois mois. Au cours de cette période, le taux d'e-mails malveillants détectés par Symantec (une agence de cybersécurité) a chuté de manière spectaculaire.
L'activité a repris le 20 mars et Symantec a bloqué près de 2 millions d'e-mails malveillants pour cette seule journée. Cependant, depuis son retour, Necurs ne s'est pas concentré sur l'envoi de campagnes d'e-mails malveillants, mais plutôt sur l'envoi de campagnes de spam de stock « pump and dump ». Il a commencé à envoyer ce type de campagnes avant de disparaître en décembre et a intensifié ses efforts pour continuer à le faire depuis son retour.
Le but de l'envoi de spams boursiers est de faire monter le prix d'une action entre les mains de l'expéditeur en encourageant la victime à acheter des actions de la même société. Une fois que le cours de l'action est poussé à la hausse par les achats d'actions de la victime, le spammeur vend toutes les actions. Cela fait chuter considérablement le cours des actions et rend moins probable que les victimes vendent leurs actions.
Mirai
La plupart des gens connaissent probablement Mirai, qui a ravagé les réseaux du monde entier au cours des derniers mois de 2016, en utilisant une gamme d'appareils IoT pour lancer des attaques DDoS sur diverses cibles à travers le monde.
Les cibles initiales des attaques DDoS de Mirai en septembre étaient les sites Web du fournisseur d'hébergement OVH ainsi que l'expert en sécurité Brian Krebs. Il s'agissait d'attaques DDoS massives, qui étaient à l'époque les plus importantes jamais enregistrées à 1 Tbps et 620 Gbps, respectivement. Fin septembre, Mirai a publié une mise à jour sur sa communauté de piratage en ligne HackForums, et trois semaines plus tard, elle a lancé une attaque DDoS massive contre le fournisseur DNS Dyn pour bloquer l'accès des utilisateurs à plusieurs sites Web bien connus, notamment Netflix, Twitter et PayPal.
Fin novembre, une variante du réseau Mirai a exploité une vulnérabilité dans les routeurs en Allemagne pour l'accès à Internet, conduisant à une attaque contre près d'un million d'internautes à domicile ; la même vulnérabilité a également affecté les routeurs des internautes irlandais à domicile.
Le botnet Mirai se compose principalement de routeurs et de caméras de sécurité infectés, et cet incident met en évidence que les appareils IoT sont très laxistes en matière de sécurité.
5. Aperçu
Les botnets existent depuis longtemps et se sont développés à mesure que la technologie continue d'évoluer. Avec la croissance des appareils IoT et l'augmentation du nombre d'appareils associés à Internet, l'histoire du développement des botnets est peut-être loin d'être terminée.
Articles Similaires:
Articles similaires