|
|
Dispatcher un outil automatisé d'ingénierie inverse pour analyser les protocoles de communication non-documentés utilisés par les Botnets
Par Rédaction,
secuobs.com
Le 15/11/2009
Résumé : Dispatcher permet d'analyser plus efficacement les protocoles de communication non-documentés via des techniques innovantes de rétro-ingénierie automatisée. Son mode opératoire lui permet de s'affranchir des contraintes conséquentes au chiffrement et à l'obfuscation des flux réseau.
- Lire l'article
Pour infiltrer des Botnets ( lien ) distants, les chercheurs doivent être capables d'interagir avec les centres de commande et de contrôle. Cette interaction nécessite qu'ils puissent réécrire les messages reçus et envoyés par les clients infectés. Les activités malicieuses sont dès lors contenues localement tandis qu'un fonctionnement « normal » est simulé pour tromper les centres névralgiques et opérer furtivement. La compréhension préalable des protocoles de communication utilisés est donc ici impérative.
L'ingénierie inverse ( lien ) est habituellement utilisée pour extraire les spécifications de ces protocoles non-documentés. Elle facilite l'identification des structures internes à ces messages tout en permettant de cerner les objectifs que ces derniers cherchent à atteindre. Les techniques d'automatisation, pour ces opérations de rétro-ingénierie protocolaire, se focalisaient jusqu'à maintenant sur l'analyse des flux réseau ou sur l'observation des traitements consécutifs à la réception des messages.
Elles présentent cependant des inconvénients, considérés commes majeurs, puisque les premières se heurtent au chiffrement et à l'obfuscation des flux, alors que les secondes, ne prenant pas en compte les réponses, nécessitent dès lors un accès aux deux extrémités de la communication pour bénéficier d'une vision globale du fonctionnement. Lors de la conférence CCS2009 ( lien ), le mode opératoire d'un nouvel outil, Dispatcher, a été présenté comme une solution à ces différentes problématiques.
Dispatcher a été testé avec succès sur le protocole de communication de MegaD, un Botnet responsable de l'envoi d'un tiers des SPAMs début 2008. Cette analyse a permis aux chercheurs d'identifier quinze messages distincts, soit sept commandes et huit réponses respectivement envoyées par le serveur central et les clients infectés. A noter que Dispatcher prend également en charge les phases d'interaction de par ses fonctionnalités d'injection de données au sein de communications établies.
Le papier « Enabling Active Botnet Infiltration using Automatic Protocol Reverse-engineering » ( lien )
Source : Comptes Twitter @mosesrenegade et @arbornetworks ( lien )
- Article suivant : Les attaques MALfi utilisées pour le déploiement de Botnets jetables à usage unique, une nette tendance pour la cybercriminalité
- Article précédent : Glastopf un Web Honeypot dynamique de nouvelle génération pour prendre le contrôle des Botnets IRC
- Article suivant dans la catégorie Outils : Wallix lance une nouvelle version de son WAB
- Article précédent dans la catégorie Outils : Glastopf un Web Honeypot dynamique de nouvelle génération pour prendre le contrôle des Botnets IRC
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
