Les techniques de "bullet-proof hosting" ou de "DNS fast-flux" utilisées par les spammers pour conserver actifs leurs sites web même sous le "feu" de la communauté sécurité seraient à mettre au placard.
Un défaut dans la cuirasse
Ces deux techniques avaient cependant un défaut commun : L'URL d'accès au site web restait la même. Il "suffisait" que le nom de domaine (ou que l'URL entière) soit listée dans une ou plusieurs bases de réputation et la navigation vers celle-ci était bloquée au niveau des navigateurs.
Je vous rassure tout de suite : Les hébergeurs complaisants et les techniques de redondance dynamique de serveurs de résolution de noms DNS restent bien présents dans l'arsenal des cybercriminels.
Un nom de domaine par jour
Une solution très simple a été trouvée à ce "défaut" : Utiliser un nom de domaine pendant un voir 2 jours maximum et en changer. C'est ce qui a été constaté par "M86 Security Labs" dans leur dernier rapport d'analyse (PDF) qui analyse les tendances et techniques des cybercriminels sur le 1er semestre 2010. Après avoir analysé les liens présents dans les mails de spam reçus sur une durée de 60 jours, près de 70% des noms de domaines utilisés ne sont utilisés que durant une journée ou moins...
Game-over pour les systèmes de filtrage d'URL "off-line"
Leur conclusion est assez simple : Tout système de filtrage basé sur l'analyse des noms de domaine doit fonctionner en temps-réel, car même une synchronisation quotidienne est devenue insuffisante.
Une opportunité pour le Cloud "URL-Filtering"
Si cette tendance se confirme et se généralise, elle pourrait être un argument de poids pour les services de filtrage d'URL en mode "Cloud" car dans un tel mode plus besoin d'une quelconque synchronisation, tout le monde bénéficiant d'une base commune mise à jour en temps réel.
Reste que dans les deux cas, il y a besoin d'identifier le ou les noms de domaine délictueux... une course au plus rapide entre attaquant et défenseur avec un avantage au premier car il a l'initiative.
Quoi d'autre d'intéressant dans ce rapport ?
Très justement, il rappelé que la diffusion de codes malicieux n'est pas uniquement focalisée dans des pays comme la Russie et la Chine : En 1er rang des pays hébergeant des contenus malicieux on retrouve les États-Unis. Avec la Chine et les USA on a donc simultanément le plus grand nombre d'internautes d'un coté et de l'autre la source de diffusion d'attaque la plus grande. Intéressant.
Le spam est toujours le roi
Toujours selon leur rapport, le spam représenterait 88% du trafic de mail mondial et 43% de celui-ci serait envoyé par un seul est unique réseau de machines zombies (botnet) connu sous le nom de "Rustock".
Toujours coté botnets, on peut voir que ceux-ci utilisent des techniques particulièrement évoluées (cf. "kernel mode rootkit") afin de rester masqués et rendre extrêmement difficile leur détection par les logiciels de sécurité.
Produits pharmaceutiques et botnets : Une relation gagnant-gagnant.
C'est peut-être le coté contenu des spams qui est le plus intéressant : Plus de 80% des spams envoyés font la promotion de médicaments ou de produits pharmaceutiques. L'explication donnée est assez simple : Des programmes d'affiliation entre les vendeurs de médicaments frelatés et les gestionnaires de botnets promettent à ces derniers de toucher entre 30 et 40% des revenus pour tout message de spam ayant abouti à une vente...
Outre cet aspect financier, le programme d'affiliation mis en place offre des facilités aux spammers : Des noms de domaine pré-enregistrés, des pages web toutes prêtes ou encore des outils de statistique en ligne pour vérifier la bonne efficacité des campagnes d'envoi.
Techniques d'attaques en constante évolution
Sur les 15 vulnérabilités les plus exploitées, près de 10 d'entre-elles sont antérieures à 2009 et toutes ont un correctif de publié : Montre que les patchs de sécurité sont malheureusement loin d'être la norme.
Du coté des nouveautés; on peut lire que des techniques de répartition du code d'attaque entre Javascript et Flash ActionScript rends la tache des moteurs d'analyse encore plus complexe et difficile qu'elle ne l'était déjà.
Les systèmes de raccourcissement d'URLs à des fins malicieuses sont aussi pointées du doigt. Rien de nouveau que nous ne sachions déjà.
Recommandations : A l'ouest, rien de nouveau
Je vous laisse prendre connaissance des conclusions de cette étude et de ses recommandations. Nos lecteurs ne seront absolument pas dépaysés car l'ensemble des préconisations faites dans par M86 Security Labs ont été l'objet de précédents bulletins. Le problème ? Il est justement là : Ceux qui lisent le blog sécurité d'Orange Business sont sensibilisés à la sécurité (ou sont en passe de le devenir) et sont donc à priori des cibles moins évidentes, ou du moins plus difficiles, que le 1er quidam sur Internet.... alors que c'est justement ce quidam qui la cible des cybercriminels.
Le salut est-il dans la sensibilisation ?
Convaincre les "quidams" (ou les utilisateurs) de l'importance de sensibiliser leurs systèmes et d'éviter les comportements à risques : Un classique pour tout professionnel de la sécurité. Toutes les entreprises "sérieuses" ont mis en place un programme de sensibilisation à la sécurité. Même les gouvernements et institutions s'y mettent... alors pourquoi si peut de résultats ? Les messages ne sont-ils pas adaptés ? Ne visent-ils pas les bons objectifs ? Sont-il trop rapides et sans substance ? ...
C'est un sujet que j'aborderai dans un prochain bulletin et qui s'appuiera sur un article publié dans une revue de l'IEEE... à bientôt.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens