Commandement et contrôle : votre réseau pourrait être sous le contrôle de cybercriminels
L’acte de se connecter à un réseau est une chose quotidienne. Nous le faisons sur notre lieu de travail, à l’université, au collège, à la maison et à peu près n’importe où. Cependant, nous sommes exposés à de nombreuses attaques telles que Command-and-Control . Celles-ci sont particulièrement dangereuses car elles ont la capacité de se propager très rapidement et à très grande échelle, pour mener des attaques dévastatrices telles que les DDoS. Dans cet article, nous vous expliquons en quoi ils consistent et quelles sont les mesures à prendre pour prévenir et se remettre de ces attaques.
Un serveur Command-and-Control est un appareil compromis et à son tour, sous le contrôle d’un cybercriminel. Cet ordinateur, ainsi que d’autres appareils « contrôlés » qui font partie d’un réseau, peuvent être membres d’un centre de commande et peuvent également appartenir à un botnet. Et ce dernier est comme un groupe composé de ces appareils contrôlés afin d’avoir le contrôle complet du réseau.
Comment une attaque de commandement et de contrôle est menée
L’image ci-dessus montre dans quelle mesure les attaques de commandement et de contrôle peuvent être étendues. Elles peuvent être si grandes qu’elles peuvent être constituées comme suit :
- Bot Master : il s’agirait de l’appareil central, qui peut être un ordinateur ou un serveur géré par l’attaquant.
- Serveurs Command-and-Control : rappelez-vous que ces serveurs C&C sont aussi des appareils infectés -généralement- par un cheval de Troie. Ceux-ci sont comme les enfants du Bot Master et, à leur tour, ont la capacité d’infecter d’autres appareils.
- Bots : sont les appareils qui ont été infectés ou «recrutés» par les serveurs C&C qui deviennent plus tard des bots (robots) . Ceux-ci peuvent appartenir au même réseau ou, les serveurs C&C peuvent être constitués d’appareils appartenant à d’autres réseaux.
Fondamentalement, les attaques Command-and-Control ont la capacité d’armer d’énormes botnets pour exécuter facilement des attaques à grande échelle. Les botnets géants sont des armes idéales pour les attaques DDoS, ou pour l’envoi massif de spam ou d’e-mails malveillants afin d’infecter encore plus d’appareils. Ainsi, le botnet peut continuer à se développer. Les serveurs de commande et de contrôle recrutent des ordinateurs et d’autres appareils de deux manières principales :
- Courrier électronique. Sans crainte d’erreur, c’est le moyen le plus efficace de recruter des bots. Plus que tout parce que l’utilisateur est très curieux et pour satisfaire ce désir de connaître le contenu d’un fichier joint, il téléchargera le fichier et l’ouvrira, même si ledit utilisateur ne s’était pas attendu à recevoir un tel fichier. Il en va de même pour les liens, peu importe, ces liens qui sont clairement perçus comme suspects, les victimes accèdent et tombent. Nous le savons, la curiosité est la principale menace à la sécurité.
- Exploiter les vulnérabilités. Il existe des vulnérabilités qui, une fois exploitées, peuvent créer une sorte de porte dérobée ( backdoor ) qui permet un accès et un contrôle complets de l’appareil de la victime. Gardons à l’esprit que des vulnérabilités apparaissent, et si nous ne disposons pas d’un système d’exploitation mis à jour, de modules complémentaires et d’extensions de navigateur Web non sécurisés et de tout autre programme non sécurisé. nous serons vulnérables.
Types d’architectures de botnet
Nous avons précédemment décrit un schéma de fonctionnement traditionnel pour un botnet centralisé . Le modèle client-serveur est la base qui constitue ce type de réseaux malveillants. Généralement, la communication entre les membres du botnet se fait via le vétéran IRC (Internet Relay Chat). Ce service de messagerie instantanée fonctionne comme suit : un utilisateur installe un programme qui sert d’interface IRC, qui est utilisé pour contacter les serveurs de chat. Ces serveurs permettent la communication entre les utilisateurs. Les réseaux IRC sont très simples et ne nécessitent pas beaucoup de bande passante, ce qui signifie qu’ils sont très utiles pour la création et l’expansion de botnets. La plupart des botnets qui ont été créés pour mener les attaques DDoS les plus dévastatrices ont été rendus possibles en particulier par IRC.
D’autre part, il y a l’architecture de botnet décentralisée . Sa principale caractéristique est qu’il n’y a pas de serveur ou d’appareil responsable du botnet. Tous les membres rendent son opération possible, rendant la possibilité de le détruire plus difficile. Les botnets centralisés ont la fragilité que Bot Masters , s’ils cessent de fonctionner, l’ensemble du réseau malveillant lui-même cesse de fonctionner. Toute organisation spécialisée dans la sécurité de l’information et/ou la cybersécurité peut détecter et arrêter le fonctionnement des serveurs et des canaux, il n’est donc généralement pas très pratique d’opter pour un botnet centralisé.
Que puis-je faire si mon ordinateur est devenu un bot ?
Ces mesures peuvent vous aider à prendre des mesures efficaces si votre appareil faisait partie d’un botnet. N’oubliez pas que non seulement un ordinateur est vulnérable, mais tout autre appareil qui a la possibilité de se connecter à un réseau, comme les appareils IoT. Cependant, ceux-ci peuvent à leur tour vous aider à prévenir de futurs événements :
- Le gestionnaire de tâches aide beaucoup lorsqu’il s’agit de détecter les processus qui consomment le plus de ressources de votre ordinateur. De plus, vous pourrez localiser des processus inconnus. Par conséquent, vérifiez-le fréquemment si vous remarquez un comportement étrange sur votre ordinateur. Une fois ces processus localisés, vous pouvez les tuer immédiatement et exécuter un antimalware.
- Optez pour de bonnes solutions antivirus / antimalware qui vous permettent d’effectuer des analyses très détaillées pour les logiciels malveillants et tout autre type de programme malveillant. Bien que ce ne soient pas les solutions les plus complètes, elles peuvent nous aider à identifier une grande partie des malwares qui seraient présents sur notre ordinateur.
- Si vous avez été victime d’une attaque de rootkit , deux mesures efficaces de récupération consistent à restaurer des copies de sauvegarde précédemment effectuées ou à réinstaller le système d’exploitation à partir d’un point antérieur à l’attaque. Voici l’importance de générer des copies de sauvegarde de notre fichier en général et des points précédents du système d’exploitation.
- Appliquez les mises à jour logicielles dès qu’elles sont disponibles. Il en va de même pour les mises à jour de sécurité, car elles proposent plusieurs solutions qui aident à prévenir de futures attaques. De plus, ils aident à optimiser les performances du système d’exploitation et de l’ordinateur en général.
Mesures de sécurité contre les attaques de commandement et de contrôle pour les réseaux d’entreprise
Les entreprises sont les plus exposées aux attaques des serveurs C&C. C’est parce qu’il peut y avoir des centaines et des milliers d’appareils qui font partie du même réseau ou de plusieurs réseaux. Si un réseau d’entreprise a été victime d’une attaque C&C, les performances, la vitesse et même l’indisponibilité du réseau lui-même sont courantes. Cependant, il est possible d’appliquer une série de mesures qui assureront une bonne couche de protection :
- L’analyse du réseau doit être effectuée à l’aide d’outils tels que Network Meter et s’il existe des points d’accès sans fil, nous avons ici quelques suggestions pratiques . Plus que tout, ces outils se concentrent sur le contrôle qui se connecte et quelle bande passante ils consomment. Par conséquent, vous pouvez connaître les MAC de leurs interfaces réseau et d’autres données.
- Pour avoir le contrôle et détecter les paquets suspects qui circulent sur le réseau, vous pouvez opter pour des outils tels que Wireshark et Scapy si les systèmes sont basés sur Linux.
- Configurez l’analyse et l’analyse antivirus/antimalware automatisées sur tous les ordinateurs pour assurer une protection permanente aux utilisateurs.
- Certains processus de durcissement essentiels doivent être appliqués. Certains principes fondamentaux sont la suppression des programmes suspects et la mise en œuvre d’un pare-feu basé sur le réseau ou basé sur les hôtes du réseau. Bien qu’il soit possible d’appliquer les deux.
- Ordinateurs mis à jour en permanence, tant le système d’exploitation que les applications utilisées au quotidien.
Nous espérons que ces recommandations vous aideront à surveiller si vos ordinateurs et appareils IoT font partie d’un botnet et, si c’est le cas, à pouvoir en sortir le plus rapidement possible.