Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le rapport « État des lieux d’Internet / Sécurité : informations sur les opérateurs » d’Akamai souligne l’importance du partage d’informations dans la lutte contre les cybermenaces

avril 2018 par Akamai

Akamai Technologies, Inc. annonce la mise à disposition de son rapport « État des lieux d’Internet / Sécurité : informations sur les opérateurs - Printemps 2018 ». Ce dernier montre que le partage d’informations est déterminant afin d’améliorer la protection contre les cybermenaces. Ce rapport analyse les données provenant de plus de 14 000 milliards de requêtes DNS recueillies par Akamai entre septembre 2017 et février 2018 depuis des réseaux de fournisseurs de services de communication partout dans le monde.

Depuis plus de 19 ans, Nominum, acheté par Akamai en 2017, a tiré parti de données DNS détaillées afin d’améliorer la protection globale contre les cyberattaques sophistiquées telles que le déni de service distribué (DDoS), les ransomware, les chevaux de Troie et les botnets. Le rapport d’informations sur les opérateurs d’Akamai s’appuie sur l’expertise de Nominum et souligne l’efficacité de la sécurité DNS, enrichie par les données provenant d’autres niveaux de sécurité. Cette approche de sécurité multidimensionnelle implique que différentes solutions de sécurité protègent collectivement les données d’une entreprise.

« La compréhension compartimentée des attaques visant des systèmes individuels n’est pas suffisante pour que les défenseurs soient préparés à affronter les menaces complexes actuelles », déclare Yuriy Yuzifovich, Director of Data Science, Threat Intelligence chez Akamai. « La communication entre les différentes plateformes est essentielle afin d’acquérir et partager les connaissances entre les équipes, les systèmes et les ensembles de données. Nous pensons que les requêtes DNS fournies par notre service sont essentielles pour fournir aux équipes de sécurité les données nécessaires afin de profiter d’une vue d’ensemble des menaces. »

Lutte contre le botnet Mirai : la collaboration en action

La collaboration entre les équipes au sein d’Akamai a joué un rôle crucial dans la découverte des domaines CnC (commande et contrôle) Mirai afin d’améliorer la future détection du botnet Mirai. L’équipe Security Intelligence and Response Team (SIRT) d’Akamai a suivi le botnet Mirai depuis sa création en utilisant des « pots de miel » pour détecter les communications Mirai et identifier ses serveurs CnC. À la fin du mois de janvier 2018, les équipes SIRT et Nominum d’Akamai ont partagé une liste contenant plus de 500 domaines CnC Mirai suspects. L’objectif de cette action était de savoir si l’utilisation de données DNS et de l’intelligence artificielle pouvait alimenter cette liste de domaines CnC et améliorer la future détection du botnet Mirai. À travers plusieurs couches d’analyse, les équipes combinées d’Akamai ont pu augmenter l’ensemble de données CnC du botnet Mirai pour trouver un lien entre les botnets Mirai et les distributeurs du ransomware Petya. Cette analyse collaborative a suggéré une évolution des botnets IoT : au départ presque exclusivement utilisés pour lancer des attaques DDoS, les botnets sont désormais utilisés pour lancer des attaques plus sophistiquées telles que la distribution de ransomware et le minage de cryptomonnaies. Les botnets IoT sont difficiles à détecter car la plupart des utilisateurs ne remarquent pas les quelques indicateurs d’infection. Néanmoins, la recherche collaborative menée par ces équipes a permis de trouver et de bloquer des dizaines de nouveaux domaines CnC utilisés pour contrôler l’activité du botnet.

Mineurs de cryptomonnaies développés en JavaScript : un modèle commercial douteux

La hausse exponentielle de la consommation publique des cryptomonnaies a provoqué une augmentation nette et observable du nombre de souches de logiciels malveillants, ainsi que du nombre de terminaux infectés par ces derniers. Pour le minage de cryptomonnaies à grande échelle, Akamai a observé deux modèles commerciaux distincts. Le premier modèle utilise la puissance de traitement des terminaux infectés pour miner des jetons liés aux cryptomonnaies. Le second modèle utilise le code intégré dans les sites de contenu : les terminaux qui visitent ces sites travaillent ainsi pour le mineur de cryptomonnaies. Akamai a mené une analyse approfondie sur ce second modèle commercial. Celui-ci représente en effet un nouveau défi de sécurité pour les utilisateurs et les propriétaires de sites Web. Après analyse des domaines des mineurs de cryptomonnaies, Akamai a pu estimer le coût de cette activité, en termes de puissance informatique et de gains monétaires. Cette recherche démontre que le minage de cryptomonnaies pourrait devenir une alternative viable aux revenus publicitaires pour financer les sites Web.

Menaces en pleine évolution : utilisation détournée des logiciels malveillants et des vulnérabilités

La cybersécurité n’est pas un secteur figé. Des chercheurs ont observé que les cybercriminels réutilisaient de vieilles techniques dans l’environnement digital actuel. Au cours des six mois durant lesquels Akamai a recueilli ces données, quelques campagnes majeures de logiciels malveillants et de vulnérabilités ont montré des changements notables dans leur procédure d’exploitation, notamment :
• Le protocole WPAD (Web Proxy Auto-Discovery) a été utilisé pour exposer des systèmes Windows à des attaques MitM (Man-in-the-Middle) entre le 24 novembre et le 14 décembre 2017. Le protocole WPAD est destiné à être utilisé sur les réseaux protégés (par exemple sur les réseaux locaux privés) et laisse les ordinateurs vulnérables à des attaques majeures lorsqu’ils naviguent sur Internet.
• Les créateurs de logiciels malveillants se diversifient : en plus de s’attaquer aux informations financières, ils tentent désormais de voler des informations de connexion aux réseaux sociaux. Terdot, une variante du botnet Zeus, crée un proxy local qui permet aux cybercriminels de faire du cyberespionnage et de propager de fausses informations via le navigateur Web de la victime.
• Les créateurs de botnets conçoivent des outils plus flexibles : le botnet Lopai en est un bon exemple. Ce logiciel malveillant pour mobiles cible principalement les terminaux Android et utilise une approche modulaire qui permet aux propriétaires de créer des mises à jour avec de nouvelles fonctionnalités. Pour en savoir plus sur ce rapport, rendez-vous au stand d’Akamai (#N3625) au Moscone Center North lors de la conférence RSA qui aura lieu le jeudi 19 avril à 10 h 30. Yohai Einav, Principal Security Researcher chez Akamai, présentera le processus de recherche et les découvertes spécifiques.


Méthodologie
Lors de ses recherches sur la sécurité, Akamai analyse des ensembles de données à des rythmes quotidiens, hebdomadaires et trimestriels pour anticiper les prochaines actions des cybercriminels. Le but est de détecter les signaux d’attaque noyés dans l’océan des données DNS et de confirmer les types d’attaque connus, tout en détectant simultanément toute activité malveillante nouvelle, inconnue et non identifiée. Outre l’utilisation de sources de données commerciales et publiques, notre équipe analyse les 100 milliards de requêtes quotidiennes provenant des clients d’Akamai. Akamai travaille avec plus de 130 fournisseurs de services dans plus de 40 pays et traite 1 700 milliards de requêtes par jour. Cet échantillon représente environ 3 % du trafic DNS total mondial généré par les consommateurs et les entreprises dans le monde.




Voir les articles précédents

    

Voir les articles suivants