DNS-Blackholing : Utilisation des techniques d'attaques à des fins défensives

Partager

Le détournement du système de résolution de noms (DNS) est l'une des techniques couramment utilisée par les "malwares/spyware" de tout poil afin de désactiver les fonctions de mises à jours des antivirus ou des correctifs de sécurité.

Lors du processus d'infection d'une machine par un malware celui-ci procède à une re-configuration cachée de votre système de deux façon différentes :

  1. Changement des paramètres des serveurs DNS afin que les requêtes soient envoyées vers des serveurs DNS contrôlés par l'attaquant.
  2. Encore plus simplement, modification du fichier "hosts" local à la machine.

Le "DNS-Blackholing" est une technique défensive s'appuyant sur des techniques similaires.

Décryptage.

Les techniques de "Blackholing" (Trou-noir) sont couramment utilisées par les opérateurs télécoms ou ISPs afin de mitiger les effets d'une attaque en déni de service par inondation (DDoS ou Flooding). Ce mécanisme s'appuie sur les fonctions de routage présentes dans tout réseau IP.

Le "DNS-Blackholing" est une technique similaire qui permet d'empêcher les communications à destination de machines identifiées comme étant "malicieuses" ; comme par exemple des serveurs web diffusant des malwares/spywares, des codes d'exploitation ou encore des sites de phishing.

Le principe de fonctionnement du "DNS-Blackholing" est le suivant :

Une requête de résolution DNS pour une machine "douteuse" (par exemple "www.sitemalicieux.com") aura pour réponse une adresse IP autre que celle normalement envoyée par des serveurs DNS "classiques". Cela aura pour conséquence de bloquer la connexion ou de la rediriger vers une une page d'alerte spécifique : La connexion ne sera donc pas établie vers le site "douteux" et l'utilisateur ne sera donc pas exposé à la menace.

Des listes de noms de domaines (ou encore de machines) identifiées comme étant malicieuses sont disponibles sur Internet depuis des sites comme www.malwaredomains.com qui propose des fichiers compatibles avec différents types de serveurs DNS ainsi que le nécessaire pour une configuration locale à un poste (fichier "hosts").

Ce mécanisme de DNS-Blackholing vient compléter les mécanismes de protection que sont les classiques antivirus, antispywares et autres solutions du même acabit.

Les caractéristiques d'un système de "DNS-blackholing" pourraient être résumées ainsi :

  1. Il permet d'empêcher l'exposition des postes/utilisateurs aux sources de menace.
  2. Il a un coût marginal (pas d'acquisition de licences ni de matériel) car s'appuie sur un système pré-existant (le DNS).
  3. Il protège d'un large éventail de menaces (Sites de phishing, de diffusion de malware ou d'exploits, etc...).

Encore un bon exemple que les techniques d'attaques peuvent aussi être utilisées à des fins défensives.

Un retour d'expérience sur ce type de technique est disponible sur le site de BleedingThreats, BlackHole DNS How-To : Plutôt positif. Pour plus de détails sur la mise en œuvre dans des environnements techniques divers et variés, je vous recommande le Black Hole DNS White Paper du site www.malwaredomains.com

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)