Les chercheurs de HackMiami ont créer un code “résistant” aux botnets dans le but de contrecarrer les attaques de ce genre et d’éviter le vol de données confidentielles.
Et si vous pouviez offrir aux visiteurs de votre site Web une protection anti-botnet ? Une équipe de chercheurs a mis au point des techniques de codage qui rendent impossible le vol de données pour les Internautes étant infectés par un malware.
Peter Greco et Fabian Rothschild, tous deux membres du groupe HackMiami, ont montré comment ils ont étudié des échantillons de Zeus et SpyEye, ainsi que les réseaux de zombies mis en placent par les cybercriminels. Ils ont ensuite utilisé ces renseignements pour écrire du code dédié aux serveurs Web dans le but d’atténuer la menace de ces botnets. Ils sont partit de l’idée que la plupart des machines sont infectées. «Ce que nous avons fait, c’est rendre très difficile pour les botmasters d’utiliser toute information qu’ils recueillent sur les machines des victimes,» a déclaré Rothschild.
Leur espoir est de convertir ces méthodes dans un module pour l’API OWASP Enterprise Security (ESAPI), un open-source Web de la bibliothèque de contrôle de sécurité visant à rendre le code sécurisé facile à écrire. “Nous voulons parler du projet ESAPI et voir si nous pouvons trouver des modules pour eux», dit Greco.
Les techniques qu’ils ont développé n’empêchent pas l’infection mais suffisent pour contrecarrer la collecte de toute information par le botmaster. Zeus, par exemple, recueille les logins, mots de passe, cookies, paramètres VIEWSTATE, et toute autre information passée via une requête POST en HTTP. Il y a quatre options différentes, qui vont notamment chiffrer les données. «Ce que nous avons fait, c’est trouver des moyens techniques pour rendre vraiment difficile pour les botmasters d’utiliser toute information qu’ils recueillent sur les machines des victimes», dit Rothschild.
Zeus utilise le protocole HTTP POST qui permet de glaner de précieuses données des sessions Web sur les machines qu’il infecte, et transporte les informations jusqu’à son commandement et les serveurs de contrôle. Greco et Rothschild ont trouvé le moyen de rendre ces données trop lourdes ou méconnaissable pour le botnet. Chacun a ses règles sur la charge d’un serveur sur le Web, disent-ils. “Tout dépend du poid que vous voulez mettre sur votre serveur Web. Plus c’est lourd, plus cela demande un financement important” a dit Greco.
“Nous masquons les noms de variables et ajoutons des paramètres POST étrangers cachés qui ont tendance à gonfler le code”, explique Greco.
Il manque donc des données qui rendent le tout illisible pour le botnet. Dans l’approche d’atténuation “dur”, ils ont utilisé le codage Base64 pour cacher des données précieuses en provenance du client.
Ils ont créé une autre méthode baptisée “Nightmare”, où ils ont déployé l’algorithme de chiffrement symétrique RC4 sur le côté serveur. “RC4 a eu une mauvaise réputation car il peut être brute-forcé. Mais si vous changez la clé de cryptage à chaque session, il est impossible que le botmaster connaisse la clé,” a dit Greco.
Les chercheurs ont dit avoir testé toutes les techniques contre Zeus, ce qui n’est pas une mince affaire. Mais il n’y a toujours pas de remède miracle pour les infections. “Ces méthodes n’empêchent pas le vol d’identité. Si quelqu’un veut vos données, il est toujours possible de développer un plug-in pour SpyEye ou Zeus.. Mais il sera plus difficile d’obtenir les données,” a dit Greco. «Cela va atténuer les agissements de la plupart des script kiddies et botmasters spécialisés dans la récolte de données.”