BotHunter une solution pour la détection des flux malveillants

Par Rédaction, secuobs.com
Le 19/11/2008

---

Résumé : La dernière version de BotHunter peut être considérée comme une évolution majeure de cette solution de par le nombre de nouveautés qu’elles proposent autant du point de vue du moteur de détection des codes malveillants que de l'augmentation conséquente des menaces détectées. - Lire l'article



Dans cette dernière version de BotHunter ( lien ), on trouve également une interface graphique ( lien ) qui, même si elle reste basique, permet de simplifier les opérations effectuées à l’aide de BotHunter ; les développeurs ayant préféré se concentrer sur l’amélioration des capacités de détection du moteur et la résolution des différents problèmes de fonctionnement présents dans la version antérieure.

Parmi les nouvelles caractéristiques ( lien ), on notera notamment l’intégration d’un système de mises à jour régulières et automatiques qui permet à BotHunter de rester le plus efficace possible face aux nouvelles menaces et à leurs variantes.

Dans la pratique, BotHunter couple un moteur de corrélation avec une version modifiée de la branche 2.x du système de détection d’intrusion IDS Opensource Snort ( lien ) afin de surveiller les flux de données ascendants et descendants avec l’objectif d’identifier des échanges suspicieux qui feront office de preuve vis-à-vis d’une infection éventuelle de l’infrastructure.

Les systèmes classiques de détection d’intrusion ont tendance à se concentrer uniquement sur les flux extérieurs qui parviennent sur le réseau interne de l’entreprise sans prendre en compte les autres sources potentielles d’infection telles qu’un appareil nomade qui aurait pu utiliser des réseaux qui ne soient pas de confiance lors de son itinérance et prendre ainsi le risque d’une infection préalable à son retour au sein du réseau d’entreprise.

Lorsqu’une séquence d’éléments infectieux, concordante aux modèles internes de détection, est identifiée, BotHunter génère un rapport de synthèse incluant la capture des événements relatifs à l’infection en cours ( lien ). Les points de concordances de ces événements peuvent être partagés entre différents acteurs d’une infection soit la victime de l’agent d’infection, les sources d’infection, de renforcement et de mises à jour ainsi que le point de contrôle extérieur et éventuellement les victimes internes ou externes d’une auto-réplication potentielle de l’agent.

Les différents règles de détection présentes dans BotHunter peuvent être classifiées de la sorte : scans de ports entrants, détections entrantes et sortantes d’exploits (rpc, netbios, shellcode), téléchargements et installations forcés (logiciels espions spyware, publicités intrusives adware), détections d’infrastructures de commande et de contrôle (botnet, Russian Business Network), logiciels de diffusion (spambot, attaques dns), les botnet qui reposent sur les protocoles de P2P et les logiciels malveillants connus (chevaux de Troie, etc.).

BotHunter est disponible gratuitement pour améliorer la compréhension du cycle de vie des logiciels malveillants, il est compatible avec les systèmes d’exploitation de type GNU/Linux, FreeBSD et Mac OS X ; un auto-exécutable Win32 est également disponible pour Microsoft Windows XP. Par ailleurs, il existe une version Live-CD ( voir notre dossier - lien ) permettant d’amorcer un système d’exploitation Ubuntu Linux comportant l’ensemble des fonctionnalités de BotHunter.

A noter que le développement de BotHunter est soutenu par toute une flopée d’organismes divers et variés tels que la National Science Foundation ( NSF - lien ) l'Intelligence Advanced Research Projects Activity ( IARPA - lien ), le programme Science et Technologie du Department of Homeland Security ( DHS S&T - lien ) ainsi que l'Army Research Office ( ARO - lien ).