Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : les pirates utilisent de plus en plus les serveurs DNS en tant que serveurs de commande et de contrôle

février 2012 par CERT-XMCO

- Date : 29 Février 2012

- Criticité : Élevée

- Description :
Le cas de DNSChanger (voir CXA-2012-0266) pourrait bientôt ne plus être un cas isolé.

Ces dernières années, les pirates ont régulièrement modifié le canal utilisé pour échanger des informations entre les systèmes compromis et leurs serveurs de contrôle. En effet, différents protocoles d’échanges ont émergé ces derniers mois pour remplacer les usuels TCP, IRC et HTTP. On a ainsi pu voir apparaitre différents protocoles tels que HTTPS, Twitter, Facebook, YouTube ou encore les nombreux sites de "Paste" (Pastebin, Pastie, Gist et autres). Mais ceux-ci pourraient prochainement laisser leurs places au DNS.

En effet, contrairement aux autres protocoles dont l’usage peut être plus ou moins facilement surveillé et/ou restreint, le DNS est universel et peu surveillé en entreprise. Il est donc beaucoup plus discret.

D’après Ed Skoudis, un chercheur spécialisé en sécurité qui a réalisé une présentation sur ce sujet dans le cadre de la conférence RSA, les pirates auraient tiré parti du DNS pour permettre à leurs bots de contacter les serveurs de C2 dans le cadre de plusieurs attaques de grandes ampleurs observées ces derniers mois. D’après lui, ce type d’attaque devrait être de plus en plus souvent observé dans les prochains mois.

En effet, même si un poste local n’est pas toujours autorisé à résoudre directement un nom de domaine sur Internet, les entreprises mettent souvent en place un serveur DNS en interne capable de résoudre récursivement les noms de domaine. Un malware sera donc presque toujours en mesure de contacter son serveur de C2 (Command & Control) en se reposant sur ce protocole d’échange, même si les postes compromis ne sont normalement pas en mesure de se connecter sur Internet.

Par ailleurs, vu le nombre de résolutions effectuées par les nombreux postes clients internes au réseau des entreprises, il est quasiment impossible d’enregistrer des traces des résolutions effectuées. Seul l’enregistrement d’échantillon peut être envisagé dans une telle situation.

Enfin, le chercheur a proposé différentes solutions permettant d’identifier des comportements suspects au sein de ce type de fichier de traces : repérer les requêtes particulièrement longues ou encore les réponses contenant des données étranges ou encore encodées.

- Référence :
http://www.csoonline.com/article/701151/malware-increasingly-uses-dns-as-command-and-control-channel-to-avoid-detection-experts-say

http://blog.c22.cc/2012/02/28/quick-post-list-of-paste-sites

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0266

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0307


Voir les articles précédents

    

Voir les articles suivants