Conception d'une plateforme exp´erimentale pour l'´etude ...

Publié par

Conception d'une plateforme exp´erimentale pour l'´etude ...

Publié le : jeudi 21 juillet 2011
Lecture(s) : 51
Nombre de pages : 10
Voir plus Voir moins
Conception pourl´etude type bots
duneplateformeexp´erimentale comportementale de maliciels de
Ion Alberdi et Philippe Owezarski et Vincent Nicomette LAASCNRS 7 avenue du Colonel Roche  31077 Toulouse Cedex 4 {ialberdi,owe,nicomett}@laas.fr
Prot´egerlesre´seauxcontrelesattaquesded´enideservicedistribue´es(DdSD)estunedesprobl´ematiquesstrate´giques principalesdelInternet.Lessolutionscourantes`abasedesyst`emesdede´tectiondintrusionspr´esententlinconv´enient dˆetrepostactives(oure´actives)etdoncdenefonctionnerquaposteriori.Lessyste`mesded´efensedelInternetdevraientplutˆoteˆtreproactifs,i.e.capablesdempˆecherlesattaquesdeseproduire.Cetarticle,quisinscritdanscette optique de recherche a` long terme, propose, dans ce but, de commencer par observer et analyser les attaques et les pirates.Enparticulier,lobjectifestdede´tecteretdinltrercequiapparaˆıtcommelasourceprincipaledesattaques,a` savoir lesbotnetuipieuxqoircsavasl`,cieimslaintaerecedalntmeetropmocedute´ledesoccnnertserus.Notre´etu lotent lesbotp´uenreipmleanteefnoprlmaeceexditteialleismoecsactnepleuiqtunioteencolaerpmimeesr´C.spape techniquedem´etrologie/supervisionlatechnologiedespots de mielm,iassruottue,thaecl´´ertoupsleicilamselregr c’est la principale contribution de ce papier, une infrastructure permettant l’observation et l’analyse du comportement desmalicielscollect´es,quenousconside´ronscommee´tantunpotdemielpostinfection.Cegenredeplateformeest confront´e`adesproble`mesdele´galit´eparrapport`adesrisquesdepollutiondessyst`emesdinformationdautrui.Notre approcheadoncpourcontrainteder´eduireaumaximumlerisquedenvoyerdutracmalicieuxverslInternet.Ce syste`meae´te´misenplace,puistest´edurantquatremois.Cepapierpre´sentelespremiersre´sultatsobtenusparlobservationdesmalicielscollecte´s,leurspremi`eresanalysesetlespremi`eresconclusionssurlecomportementdesbotnets, d´emontrantainsilinte´reˆtetlapertinencedelaplateforme. Motscle´s:pot de miel,botnet, maliciel.
1 Introduction AlorsquelInternetestentraindedevenirunre´seaumultiservicespourdiff´erentstypesdapplications auxbesoinsdivers,lesattaquesdeDe´nideServiceDistribu´ees(DdSD)repr´esententunemenacedimportance.Eneffet,garantirlaQualit´edeServiceestdevenuaujourdhuiundesleitmotivdelInternetquien plus de transporter des fichiers, transporte e´galement de la voix et de la vide´o (pour ne citer que ces types de m´edia)ayantdescontraintestemporellesfortes.Ainsi,ilsuftquuneattaqueralentisseunpeulere´seau, pourquelaqualit´eduservicenesoitplussufsante,etleserviceparconse´quentnonrendu(etdoncnon facturable). Cestypesdattaquessontextr`emementfre´quentes.Lexempleleplusc´el`ebreestcertainementlattaque lanc´eele17Octobre2002contreles13serveursDNSracinesdelInternet.Cetteattaqueavaitre´ussia` rendre7decesserveursindisponibles,etunepartienonn´egligeabledelInternetsestvueprive´edece service durant une pe´riode significative, engendrant des de´lais pe´niblement longs pour les utilisateurs. De fa¸conge´ne´rale,[MMS01]ad´enombre´plusde12000attaquesciblant5000hoˆtesdiffe´rentsdurantune p´eriodede3semainesen2001.[Sym06]afrmequedejanvier`ajuin2006ilyaeuunemoyennede66.000 botapjruo.roiuqaltnstaatesqu´enc1061
Machinecompromisepilot´ee`adistance.
Ion Alberdi et Philippe Owezarski et Vincent Nicomette
Prot´egerlesre´seauxcontrecetypedattaquesestunedesprobl´ematiquesstrate´giquesprincipalesa` r´esoudre.Lessolutionscourantesdeprotectionsebasentg´en´eralementsurlutilisationdessyste`mesde de´tectiondintrusion.Linconve´nientdecesapprochesestdˆetrepostactives(oure´actives)etdoncdene fonctionnerquelorsquelesattaquesontlieu[ZP05].Lessyst`emesded´efensedelInternetdoiventdonc e´voluerdefac¸on`aeˆtreproactifs,i.e.eˆtrecapablesdempˆecherlesattaquesdeseproduire.Cetarticlesinscritdanscetteoptiquederecherche`alongtermequinenestqua`sesbalbutiments.Pluspre´cise´ment,nous proposonsdutiliserdestechniquesdem´etrologie/supervisionpourobserveretanalyserlesattaquesetles pirates.Enparticulier,lapprochepropos´eedanscepapierapourbutded´etecteretdinltrercequiapparaıˆt comme la source principale des attaques, a` savoir lesbotnet[Fs05HWqinhdseueL.]cetsogietrolem´e utilisablespeuventeˆtredesoutilsclassiquesdeme´trologiepassivedesre´seaux,mais´egalementdansle cadredesattaques,desoutilsplusspe´cialis´esappel´espotsdemiel. Pourd´etectercesbotnets, on peut distinguer trois sources d’informations : 1. L’observation du canalCommand & Conquersihenmscaledetrˆoeconnaldaceltseiuq)C&C(, corrompues par le pirate. 2. L’observation du trafic malicieux envoye´ par lesbots (flood, spam, informations confidentielles re´cupe´re´es sur les machines, . . .). 3. Le maliciel qui corrompt un ordinateur et le transforme en bot. Notre travail se concentre sur l’e´tude comportementale de ce type de maliciels [Hol05], ces derniers e´tant les logiciels qui pilotent lesbots. Ce papier pre´sente la conception et la mise en place d’une plateforme exp´erimentalequiutiliselatechnologiedespots de miel,tussaitourieic,mlsmslareelahgr´lcert´epou et c’est la principale contribution de ce papier, une infrastructure permettant l’observation et l’analyse du comportementdesmalicielscollect´es(partie3pourladescriptionduprincipedelam´ethodeetpartie4 poursonimpl´ementation).Cegenredeplateformeestconfront´eadesprobl`emesdel´egalite´e´videntspar § rapport aux risques de pollution des syste`mes d’information d’autrui . Notre approche a l’originalite´ de fonctionnerdansunenvironnementrestrictif,laprincipalecontrainte´etantdinteragiraveclext´erieuren r´eduisantaumaximumlerisquedenvoyerdutracmalicieuxverslInternet.Cesyste`mea´ete´misenplace, puistest´edurantquatremois.Cepapierpre´sentedonclespremiersr´esultatsobtenusparlobservation desmalicielscollect´es,leurspremi`eresanalysesetlespremie`resconclusionssurlecomportementdes botnets,d´emontratniasnliitne´ˆretetpelainrtceenaledtalprofep(emetllunccoe6tiarpal,nnE.)5eitra papierende´crivantcertainsaspectsquidoiventeˆtreame´liore´sdansdefuturstravaux.Elleillustre´egalement parquelquesexemplescommentcesr´esultatspeuventeˆtreexploite´spourlaconceptiondunsyste`mede protection proactif global dans l’Internet.
´ 2Etatdelartsurl´etudedesbotnets Commede´critdanslintroduction,troissourcesdinformationspeuventeˆtreutilise´espourd´etecterdes botnets. Lexploitationdelapremi`eresourcedinformation,a`savoirlad´etectiondecanauxdetypeC&Cadonn´e + lieu`aplusieurstravaux[AKS06,Kri04,Rac04].Ces´etudesanalysentcetrac,etidentientlesbotnets enobservantdescommandesIRCnonstandardouenmesurantlar´eactivit´edesclientsIRCpourdiffe´rencier lesbotsdeshumrtvauapxiasnC.seltypnseue`auduira`&C,Cnaladececoinlntteenesr´e´resedtneine´vn savoirlIRC.Ces´etudesontdeplussuppose´queletracIRCutilis´eparlesbotnets se re´duisait au trafic IRC sur le port standard, ce que re´fute par exemple [CJM05]. ` nd Anotreconnaissancel´etudedutracmalicieuxoudesvecteursdattaques(2sourcedinformation) n’a pas eu d’application dans la de´tection debotnetdenoertspxol`ceaCes.rer.teiseptt
Pourjustiercetteafrmation,l´etude[Mas06]afrmequelalocationdebotnets (utilise´ en particulier pour le lancement de DdSDoudespam)estuneactivit´etre`srentable,etselonleursestimations,lesprotsengendr´esparcespiratesseraient´equivalents`a ceux de l’industrie des logiciels antivirus. § Leproprie´tairedunemachineestresponsabledutracquellege´n`ere.Ainsi,lepropri´etairedunemachinecorrompueest responsabledestracsdattaquesquelepiratequienaprislecontrˆoleluifaitge´ne´rer.
Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.