jeudi 21 février 2008

BotSniffer : le plugn basé sur Snort anti-Botnet enfin disponible

Tribune : la panacée anti-Botnet enfin découverte ?

20-02-2008 - Par Arnaud Dimberton

Les points faibles de ces réseaux sont connus, ils se nomment IRC et HTTP...

Cette semaine, le Georgia Insitute of Technology (Georgia Tech) a présenté BotSniffer, un système encore à l'état de prototype qui a été spécialement élaboré pour détecter et éliminer les réseaux de PC Zombies...

Sus aux Botnets! Voilà qui pourrait être le mot d'ordre de tout internaute agacé par les menaces en circulation sur la Toile. Jusqu'à présent, il était très difficile de lutter contre les réseaux de ces PC 'sous contrôle', mais le Georgia Tech vient peut-être de trouver la parade. Nom de code du projet : BotSniffer, ou le détecteur de botnet qui a du flair...


BotSniffer analyse le trafic sur la bande passante d'un réseau et essaye d'identifier les membres d'un réseau Botnet. Rappelons qu'une machine Bot a généralement un curieux comportement aisément détectable pour un spécialiste. Pour cela, il étudie l'utilisation faite du réseau par chacun des postes.


Apparemment, ce fin limier a été conçu comme un plug-in indépendant pour la solution open source de détection des intrusions : Snort.


Snort est une application très populaire, ce qui laisse supposer que ce système de détection des Botnets a de bonnes chances de voir le jour et de sortir des labs de l'université américaine.


Selon une note publiée sur le site Web du Georgia Tech : "Nous testons BotSniffer afin qu'il puisse réellement analyser un maximum de traces sur le réseau. Pour l'instant, la solution semble très efficace et le taux de faux positifs est acceptable ".


En réalité, le talon d'Achille des botnets se trouve du côté de leur administration à distance. Les commandes qui permettent de contrôler ces armées virtuelles sur les postes infectés sont utilisées par un botmaster sous un channel IRC sécurisé par mot de passe (Internet Relay Chat) ou directement via du HTTP.


Dans les deux cas, surtout dans le second, le poste Bot va chercher à se connecter à des intervalles spécifiques et renvoyer des informations vers son maître.


BotSniffer tire partie de cette faiblesse, car si ces channels de communication sont détectés et fermés, le botmaster ne peut plus contrôler ces zombies.


Il existe déjà des solutions afin de détecter les Botnets mais ce qu’il faut retenir de cette nouvelle approche présentée par les chercheurs de Georgia Tech, c’est que les Botnets sont vulnérables et peuvent être arrêtés de différentes façons.


Reste qu'à terme, comme pour les virus, les groupes de hackers qui utilisent ces techniques vont certainement contourner BotSniffer et trouver de nouvelles méthodes, par exemple en cryptant les communications entre Bot et Serveur IRC.

Aucun commentaire: