les serveurs bulletproof

SRS Day – Conférence17 novembre 2010

Par:Charles Hourtoule – hourto_cLuc Delsalle – delsal_lEdouard Veron – veron_eAlban Pétré – petre_eVictorien Noé – noe_v

Mise en contexte Des menaces informatisées de plus en plus présentes et

identifiées

Quel est l’origine des malwares et pourriels mondial ? Les attaques actuelles sont toutes distribuées et complexes mais ne sont ni plus ni

moins que des procédures informatisées administrables à distance Qui sont les serveurs dernières ces attaques ?

Comment de tels serveurs peuvent-ils impunément s’inscrire dans le fonctionnement de l’Internet mondial ?

Quels sont les mécanismes mises en œuvre par ces serveurs ? Comment les autorités mondiales nous protègent-elles face à ces menaces ?

SRS Day @ EPITA - 17 novembre 2010 2

Source Symantec – Nov 2010

Source HostInfected– Nov 2010

• Offres d’hébergement proposant des services d’hébergement classiques mais étant très peu regardant sur l’activité ou l’identités de ses clients

• Les hébergeurs affirment clairement et ouvertement leurs intentions: peu importe les plaintes reçues, il s’engagent à maintenir leur service

• Leur commerce est complétement libre: une simple recherche sur Google suffit pour trouver des hébergements de ce type

• Les hébergements bulletproof: épicentre de la cybercriminalité mondiale

• Ces services concentrent toutes les activités malveillantes envisageables sur Internet:

• Spam• Malwares• Phishing• Scamming…

3

« We will not shut you down due to complaints. »SRS Day @ EPITA - 17

novembre 2010

Mise en contexteLes hébergements bulletproof

• Le rôle des hébergeurs dit « bulletproof »

• Intégration des serveurs bulletproof dans l’Internet moderne

• Focus sur les mécanismes d’autoprotection de ces serveurs

• Etude des usages des hébergeurs bulletproof

• Présentation des réponses légales mises en œuvre

4

Plan de la présentation

SRS Day @ EPITA - 17 novembre 2010

5

Le rôle des hébergeurs bulletproof


Serveur bulletproof

6SRS Day @ EPITA - 17

novembre 2010

Historique: Des fournisseurs de « root shell » apparaissent pour garder le contrôle de chan IRCDes services anonymes, redondés et sécurisés, des services à « l’épreuve des balles » (“bulletproof”)

Evolution:Ces fournisseurs répondent aux besoins des pirates: anonyme, sécuriséApparition de nouvelles offres avec des arguments ouvertement destinés à fidéliser les organisations criminelles

UtilisationUtilisation pour des activités nuisibles: scans de ports, campagnes de spams, attaques DoS, etc.Hébergement de contenu illicite: réseaux pédophiles, sites à caractère raciste, etc.

Situation géographiqueEn franchissant les limites de la légalité les fournisseurs choisissent d’héberger leurs serveurs dans des pays laxistes au niveau de la loi tels que la Chine, la Russie, les paradis fiscaux

Hébergement d’un serveur bulletproof


novembre 2010

Mettre en place un serveur bulletproof n’est pas quelque chose de facile de part l’illégalité de ses actions. Elle est axée autour de quatre points:

Les serveurs, qui représenteront l’architecture physique de l’organisation

Une gestion des DNS

Les moyens de communication avec les clientsC’est une des parties les plus complexes. L’aspect illégal de certaines activités empêche de faire autant de communication que les fournisseurs auraient voulues.

Un moyen d’être payé de façon sécuriséeIl faut que le moyen de paiement soit sûr et sécurisé mais aussi le plus discret possiblePlusieurs services de paiement en ligne qui assurent l’anonymat (ex: Web Money basé au Belize)

8

Place des serveurs bulletproof dans l’Internet mondial


Internet: un réseau d’AS interconnectés Internet est un réseau de réseaux interconnectés. Chacun de ces

réseaux est appelé AS pour Autonomous System

Chaque AS représente une plage d’adresses IP administrée par une même entité. L’IANA gère l’ensemble des AS en les classant par numéro

Internet repose sur un principe de routage de paquet IP Pour établir des tables de routages performantes, les AS disposent d’un

protocole de dialogue appelé BGP pour Border Gateway Protocol Une fois établies, les routes sont mémorisées ce qui permet un routage rapide

et automatique des paquets IP à travers les différents réseaux

Les hébergeurs bulletproof sont en premier lieux des administrateurs d’AS

Administration de plages d’IP totalement autonomes Au départ complétement légitime, offrant des services sensiblement

identiques à ceux proposés par le marché de l’hébergement classique Evolution vers des activités ouvertement illégales grâce à des offres

bulletproof beaucoup plus lucratives9


Etude de cas: Russian Business Network


novembre 2010

Etude de cas: Russian Business Network


novembre 2010

La rôle du RBN dans le cyber crime mondial

RBN: Une compréhension globale du fonctionnement d’Internet


novembre 2010

RBN est structuré en plusieurs petits AS: Chaque AS est administré de manière indépendante Les AS proposent des services soit légaux, soit illégaux Chaque « micro-as » a un unique lien de peering

avec l’AS central de RBN: En cas de coupure, plusieurs centaines de

sites légitimes seraient privés de services RBN étant originellement légitime, certaines

organismes vitaux russes utilisent les services de RBN

Création de plusieurs sociétés écrans chargéesde dissimuler les activités de RBN:

Création d’un FAI pour professionnels: SBT Telecom… Permet d’établir des partenariats de peering avec les plus grands FAI

russes et limitrophes RBN devient un acteur majeur pour le trafic est-européen grâce à des

routes plus efficaces et rapides

RBN établit une liaison directe avec l’Internet eXchange Point de Moscou

Les IXPs sont les carrefours du trafic Internet mondial: c’est ici que sont échangées les tables de routage à l’échelle mondiale.

En établissant un lien direct vers l’IXP Russe, RBN devient un acteur incontournable dans le routage mondial à destination des pays de l’Est Européen

RBN: Une compréhension globale du fonctionnement d’Internet


novembre 2010

La rôle du RBN dans le cyber crime mondial

RBN: Quels soutiens? L’implantation d’une telle structure demande de hautes qualifications,

et une excellente compréhension du fonctionnement d’Internet On peut supposer que RBN a su s’appuyer sur de brillants cerveaux maitrisant

les faiblesses originelles d’Internet

Des organisations criminelles sont certainement intervenues: Pour aider à financer l’entreprise de RBN lors de la phase de création

« légitime » de l’entreprise Pour faire pression sur des organismes légitimes afin de s’interconnecter avec

RBN, obtenir un accès aux IXP russes Pour faciliter le blanchissement de l’argent récolté par les activités du RBN

RBN: une structure devenue incontournable pour le trafic Internet mondial

Déconnecter RBN était donc particulièrement difficile si l’on ne souhaitait pas ralentir une partie du trafic Internet russe pendant plusieurs jours.

Les relations de peering établies avec des acteurs d’Internet légitimes les rendent dépendant de la bonne marche de RBN

La structure de RBN étant complexe, il est difficile de clairement identifier les limites de l’organisation et ainsi la fermer

Les régulateurs mondiaux d’Internet étaient donc parfaitement au courant des menaces de RBN, sans pour autant être en mesure de limiter son activité malveillante


novembre 2010

15

Les mécanismes de protections des serveurs bulletproof


Les réseaux FAST-FLUX


novembre 2010

Technique qui s’appuie sur le protocole DNSPlusieurs adresses IP associées à un même hôteDurée de validité (TTL) de la réponse très bas

Adresses IP de machines compromises utilisées comme reverse-proxy pour masquer le serveur réel du pirate « mothership »

ButsAnonymat: une investigation sur les adresses IP correspondant au nom de domaine conduira chez des particuliers répartis partout dans le monde

Haute-disponibilité: Il ne suffit pas de bannir/attaquer une seule adresse IP mais beaucoup plus

Il existe deux manières d’implémenter un réseau FAST-FLUXSingle-fluxDouble-flux



novembre 2010

Source: http://www.blogs.orange-business.com/securite/

Les Serveurs Upstream


novembre 2010

FonctionnementUn serveur Upstream est un serveur qui fournit un service à un autre serveur. Il est situé plus haut dans la hiérarchie des serveursLes malwares, virus, spam… sont donc stockés et envoyés depuis le serveur bulletproof. Les serveurs upstream sont des serveurs « clean » , ils ne servent que de passerelle. Ils sont enregistrés en toute légalité auprès des FAILe serveur bulletproof est connecté à plusieurs serveurs upstream et peut alterner les connections

But:Les serveurs upstream permettent aux serveurs bulletproof de rester anonymes de part la complexité de leurs maillagesL’architecture et le nombre de serveurs upstream assurent aux serveurs bulletproof une continuité d’activité et une très grande réactivité si un des serveurs tombe ou est fermé

20

Etude des usages des serveurs bulletproof


Contenus illégaux des flux provenant des serveurs bulletproof

Exploits de logiciels, incluant les 0-days, Codes malveillants visant à manipuler les PC des victimes :

faux codecs Chevaux de Troie bancaires robots de spam faux antivirus etc.,

Sites de phishing, Sites de recrutement de “money mules”, Serveurs C&C (Command and Control) pour botnets, tel que

Zeus, Licences de logiciels payants (Warez), Contenu pornographique illégal (pédopornographie), Communications codées entre organisations criminelles ou

terroristes21


Principales utilisations faites par les cyber-criminels

Botnets C&C Les botnets C&C exécutent des commandes provenant de serveurs de

contrôle Ces serveurs sont hébergés sur des serveurs bulletproof, donc difficiles à

neutraliser Par exemple, le trojan Zeus recevait des ordres de serveurs hébergés chez

Troyak.org

Spammeurs Botnets C&C qui envoient des mails en continue Constituent la majeure partie des flux illégaux Srizbi, considéré comme le plus grand spammeur, était hébergé chez

McColo, en Californie, fermée depuis 2008 et entraînant une chute de 60% du nombre de spam envoyés dans le monde

Phishing Les pages Web des sites falsifiées et les données récupérées sont stockées

sur des serveurs bulletproof Anonymat et haute disponibilité sont ainsi garantis pour le pirate


novembre 2010

Les tendances du marché

Le spam reste l’utilisation la plus importante des serveurs bulletproof

Environ 150 000 e-mails envoyés chaque seconde (Symantec, Nov. 2010)

Cette moyenne augmente constamment, car de nouveaux virus apparaissent

De nouveaux acteurs apparaissent tandis que d’autres restent

La Chine Pays de l’ex-URSS USA

Les hébergeurs arrivent à intégrer de mieux en mieux leurs serveurs dans les routes des paquets qui transitent, les rendant de plus en plus difficiles à supprimer


novembre 2010

Le volume de spam envoyé ne diminue pas


novembre 2010

Entrée sur le marché de la cybercriminalité

Les revendeurs de serveurs bulletproof Ils n’exercent aucun contrôle sur les contenus, comme

Tecom en Chine Certains affichent publiquement leurs activités

Spamahost (anciennement Xrumer) www.ccihosting.com et bien d’autres…

Des prix raisonnables 700$ pour un

serveur 100$ pour un nom

de domaine


novembre 2010

Etude de RBN: une véritable arme électronique ? RBN apparu dans plusieurs

conflits politiques liés à la Russie En plus des ses activités classiques (Spam,

phishing, hébergement de malwares); RBN fût utilisé à des fins politiques

Implication dans la guerre d’Ossétie du Sud:

RBN fût la première plate-forme utilisée pour réaliser des attaques de type DDoS envers les infrastructures de télécommunication de la Géorgie

Ces attaques ont permis un blocage quasi-total des mesures de défenses Géorgiennes

Une large compagne de dénigrement contre les dirigeants politiques de la Géorgie fût orchestrée depuis les serveurs de RBN grâce à des envois massifs de spam et de « defacement »

Participation active de RBN à des actes de cyber guerre

RBN dépasse le cadre du cyberespace

S’inscrit dans des actions terroristes Peut causer des préjudices physiques à des

populations


novembre 2010

Site Géorgien defacé en utilisant les ressources de RBN

27

Des réponses judiciaires efficaces ?


Les moyens de détection


novembre 2010

Les acteurs de la détection Les fournisseurs d’accès Les CERT (Computer Emergency Response Team)

Privés ou d’Etat (ex.: le CERTA en France, l’US-CERT aux Etats-Unis). Les éditeurs d’anti-virus et les sociétés de sécurité Les autorités

En France: principalement l’ANSSI mais aussi la police (OCLCTIC, BEFTI, DCRI, …) et la gendarmerie (NTECH).

En Europe: Europol, Eurojust, différents services spécialisés A l’échelle mondiale: Interpol

Des partenariats entre ces services se créent et se maintiennent afin de lutter plus efficacement contre la cybercriminalité.

Les décisions de justice


novembre 2010

La plupart des hébergements bulletproof sont « offshores » Souvent dans des pays peu regardants quant au contenu et à l’utilisation faite des

serveurs

Des procédures souvent locales Une court de justice américaine n’aura d’effet que sur des serveurs américains

McColo Corp (Californie) fût fermé pour cause d’hébergement de contenu malveillant (spams) Une décision légale française ne peut pas impacter un serveur en Russie ! Elle n’a aucune autorité, son seul recours: les instances judiciaires internationales

A l’heure actuelle, les procédures législatives sont inadaptées à l’environnement complexe d’Internet

L’ICANN (Internet Corporation for Assigned Names and Numbers) révoque les accréditations aux entreprises « malveillantes » (exemple avec EstDomains, Inc.) :

EstDomains (Estonie) était notamment connu pour son laisser-faire en matière d’hébergement (malware, pédopornographie, etc.).

La lettre a été envoyé au CEO Vladimir Tsastsin, annonçant la suppression de l’accréditation Registrar (attributions de TLD).

Vladimir Tsastsin a fait de la prison pour fraude à la carte bancaire, usage de faux et blanchiment d’argent (3 ans dont 6 mois ferme par la court de Tartu , Estonie).

Déconnexion d’AS corrompu


novembre 2010

Une fois la décision de justice prise, il faut faire fermer ces serveurs, mais comment ? Le but est de « couper » ces AS d’Internet, pour cela il faut déconnecter un à

un tous les AS s’interconnectant à celui à faire fermer. Ce phénomène s’appelle le « de-peering » L’AS légitime supprime les routes menant vers l’AS corrompu afin de l’isoler

de l’Internet. Cependant un AS malveillant peut avoir jusqu’à 15 connexions vers d’autres

AS ! La procédure est donc longue et difficile, d’autant plus qu’il peut s’interconnecter avec d’autres AS malveillants (qui ne couperont pas leurs liens).

Que faire lorsque un AS malveillant héberge aussi du contenu légitime ? Problème de neutralité du net Besoin d’un filtrage de plus faible granularité, mais celui-ci est couteux et

peu efficace (les IP changent en moins de 24h).

La France est loin d’être irréprochable Exemple avec l’AS OVH (AS16276)

Spam, serveurs C&C, phising, etc.

Etude de RBN: Un démantèlement réussi ?


novembre 2010

Les acteurs de la lutte antiviral identifient RBN comme la source des principales attaques électroniques en 2007

L’organisation de RBN fût exposée médiatiquement, et une forte pression mondiale commença à s’exercer sur leurs activités

Certains FAI russes commencèrent à de-peerer les AS de RBN Les clients de RBN étant trop exposés, ils commencèrent à suspendre leurs

abonnements et ainsi mettre en danger le business modèle de RBN

Aucune condamnation ne fût prononcée Malgré la très forte suspicion sur l’identité de certains acteurs de RBN, aucune

arrestation ne fût prononcée Le dimensionnement international et la forte mobilité des protagonistes empêcha

toutes actions coordonnées des autorités internationales Le service fourni étant critique pour les organisations cybercriminelles, RBN a

probablement pu être protégé par certaines cellules

RBN aujourd’hui disparu ? Officiellement la société RBN est aujourd’hui annoncée comme ayant cessé son

activité Néanmoins tout pousse à croire que RBN a juste évolué en une structure plus

discrète:- Une dizaine de noms de domaines affiliés à RBN sont aujourd’hui actif en République Tchèque- Plusieurs blocs d’IP utilisés par RBN sont maintenant localisés en Chine

RBN semble avoir évolué vers un système plus discret, construisant des AS grâce à l’achat de plages d’IP de petites tailles de manière à ne pas éveiller les soupçons. Leurs relations avec les cybercriminels s’est potentiellement intensifiée de manière à garantir un meilleur anonymat.

SRS Day – Conférence17 novembre 2010

les serveurs bulletproof

Documents