Vous êtes sur le site public du Cert-IST
Inventaire des principaux botnets

Date :05 Juin 2008

Publication: Article

Nous rencontrons fréquemment, lors de notre activité de veille médiatique, des articles qui annoncent qu’un nouveau "botnet" a été découvert, et que sa puissance dépasse celle de tous les  "botnets" précédemment connus.  "Storm", "Stration", "Mega-D" se bousculent ainsi sur le devant de l'actualité. Nous vous présentons ici un inventaire de ces principaux "botnets".

 

Les types de  botnets

On distingue deux grands types d'architectures pour les botnets :

  • Les botnets utilisant un serveur central pour commander les "bots"
  • Les botnets "Peer to Peer"

Nota : Le mot "bot" est la contraction du mot "robot". Nous utiliserons cette terminologie dans la suite de cet article tant son usage est courant lorsque l'on parle de botnet.

Les botnets avec serveur central
Ce premier type d'architecture est la plus courante. Les machines compromises (hébergeant les "bots") sont asservies et commandées par une ou plusieurs machines serveurs. Typiquement, lorsqu'il démarre, le "bot" tente de contacter une série de noms de domaines (inscrits en dur dans son code). La première machine qu'il parvient ainsi à joindre devient son "commandant" et  lui envoie par la suite des ordres. Pour neutraliser ce type de "botnet" il "suffit" donc d'identifier les machines serveurs et de les neutraliser.

Nota : certains auteurs (cf. [1]) identifient deux sous-familles pour cette architecture en différenciant le cas où le serveur central est un serveur IRC (première sous-famille) du cas général des autres serveurs (seconde sous-famille).

Les botnets "Peer to Peer
Ce second type d'architecture est plus récent (2006).  Il utilise le modèle de réseau "Peer to Peer", c'est-à-dire un réseau maillé sans serveur central. Chaque "bot" dialogue avec ses pairs ("bots" voisins) sans avoir la visibilité de l'ensemble du réseau. Le pirate qui commande le botnet, appelé communément le "bot herder", transmet ses ordres à l'un des "bots" du réseau. Cet ordre se propage ensuite par voisinage sur l'ensemble du réseau (chaque "bot" transmet l'ordre qu'il reçoit à ses voisins). L'intérêt de cette approche est qu'il est très difficile de neutraliser un botnet P2P car il faut pour cela neutraliser une à une toutes les machines du réseau.

Il existe actuellement peu de botnets P2P. Les plus connus sont : Storm, Nugache, SpamThru et Mayday. Certains analystes disent qu'en fait l'architecture P2P est trop complexe à mettre en œuvre et que compte tenu de la longue durée de vie des "botnets" classiques (à architecture centralisée) leur niveau de sophistication est inutile.

 

Utilisation des botnets

Il existe un très grand nombre de botnets actifs sur Internet car dans la grande majorité lorsqu'un virus infecte un poste de travail il y installe un "bot". Ces botnets sont utilisés principalement pour :

  • Envoyer des messages de SPAM. Ces botnets de SPAM sont contrôlés par des professionnels du SPAM.
  • Effectuer des attaques en DDOS. Cette catégorie est plus hétérogène et les botnets qu'on y trouve peuvent être opérés par des professionnels (comme pour le SPAM) ou par des amateurs (comme par exemple des "script kiddies").

Bien sur un même "botnet" peut être utilisé pour effectuer à la demande ces deux types d'actions.

 

Les principaux botnets de spam

Les botnets les plus gros actuellement connus sont ceux utilisés pour envoyer du SPAM. Nous listons ici les plus connus, en nous basant sur l'étude publiée par la société SecureWorks (cf. [2]) pour évaluer leur puissance respective. Sauf mention contraire, tous ces botnets sont de type "architecture à serveur central".

Srizbi : C'est depuis février 2008 le botnet de SPAM le plus puissant. On estime que ce botnet est composé de 315 000 bots (machines compromises) et qu'il est capable d'envoyer 60 milliards de message de SPAM par jour.  D'un point de vue technique, Srizbi est surtout connu par le haut niveau de sophistication de son module "rootkit" qui lui permet de rester furtif sur les machines infectées.

Rustock : Taille estimée : 150 000 bots / 30 milliards de emails par jour.
Ce "bot" était initialement spécialisé dans les SPAM dits "pump-and-dump", c'est-à-dire qui essaient d'influencer sur le cours boursier d'actions "bon marchés" en incitant les destinataires des SPAM à spéculer et acheter ces actions.

Kraken et Bobax : Taille estimée : 185 000 bots / 9 milliards d'e-mails par jour.
"Bobax" est un des plus anciens botnets de spam. Il a récemment muté en "Kraken".

Storm :  Taille estimée : 85 000 bots / 3 milliards d'e-mails par jour.
Ce botnet a la particularité d'utiliser une architecture "P2P", ce qui rend très difficile son démantèlement. Storm (connu aussi sous les noms "Storm Worm" et "Zhelatin") a beaucoup fait parler de lui tout au long de l'année 2007 du fait de son envergure et de son modèle P2P. Des chiffres allant jusqu'à 50 millions de machines infectées avaient été avancés durant l'été 2007 avant d'être démentis plus tard.

Mega-D (Ozdok) : Taille estimée : 35 000 bots / 10 milliards d'e-mails par jour.
Ce botnet était le plus virulent en janvier 2008, mais a brutalement ralenti son activité en février. Selon certains, ce ralentissement est volontaire et a pour objet d'éviter d'attirer trop l'attention.

Stration : Ce botnet était très répandu fin 2006, mais il semble avoir disparu depuis. Il a souvent été considéré comme un concurrent de "Storm". Signalons que certains "botnets" se livrent à une bataille, c'est en particulier le cas de "Storm" qui est réputé pour avoir lancé des attaques de déni de service (DDOS) contre des machines utilisées par "Stration".

 

Pour plus d'information :