Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Nouveau type de réseau d'attaque baptisé "55808"

Date :22 Juin 2005

Publication: Article

Au cours du mois de juin, une discussion à rebondissement a "secoué" la communauté de la sécurité informatique, et plus particulièrement les experts analysant les événements anormaux détectés sur Internet. Le phénomène analysé est le plus souvent baptisé "55808", mais la société ISS l'a appelé aussi "Stumbler".

Nous sommes persuadés que "55808" n'est pas un événement important (malgré les spéculations qu'il y a autour), mais il nous a paru intéressant de lui consacrer cet article. Nous vous présentons donc une synthèse chronologique de son "histoire".

Tout d'abord, "55808" doit son nom à une caractéristique technique du trafic réseau qu'il génère. En effet, depuis plusieurs mois, "on" dit qu'un nombre anormalement élevé de paquets TCP ayant l'option "window size" positionnée à la valeur 55808 sont vus en divers points d'Internet (l'option "window size" de TCP sert à implémenter le contrôle de flux. Il indique normalement combien d'octets maximum un système peut recevoir).

Une annonce commerciale ?

La société Lancope (www.lancope.com) est la première à faire une annonce publique à ce sujet. Elle annonce le 9 juin dernier qu'elle a effectivement identifié un nouveau type de "réseau d'attaque" (la 3ème génération des réseaux DDOS). La nouveauté de cette 3ème génération est que la communication entre toutes les machines infectées se fait en envoyant des paquets TCP avec des adresses IP falsifiées (ce qui rend impossible l'identification des membres du réseau), mais avec le paramètre "window size" positionné à la valeur "55808". Ce paramètre permet aux membres du réseau de se reconnaître entre eux.

La société Lancope annonce aussi que cette nouvelle génération est indétectable par les anti-virus ou les systèmes de détection d'intrusion (IDS) classiques, et que seul son produit est capable de la mettre en évidence…

Un nouveau type de cheval de Troie insaisissable ?

Pendant dix jours, les spéculations sur l'annonce de Lancope sont allées bon train :

  • Plusieurs articles de presse ont diffusé l'annonce faite par Lancope et ont spéculé sur cette nouvelle menace.

  • Plusieurs personnes ont confirmé que du trafic TCP "window_size=55808" a été vu en différents points sur Internet.

  • Mais personne ne semble avoir capturé un exemplaire du code de ce nouveau type de cheval de Troie (NB: la dénomination de "Cheval de Troie" utilisée par tous à ce moment là ne nous semble pas appropriée pour désigner un agent DDOS).

Une première explication technique

Le 19 juin, ISS (www.iss.net) et Intrusec (www.intrusec.com) ont publié chacun de leur coté les premières réelles analyses techniques du phénomène. L'analyse faite par Intrusec est la plus complète, et c'est celle que nous reprenons ici.

"55808" est un "outil" permettant de faire du "scan de ports TCP" de façon distribuée et furtive. Le principe est d'installer un agent "55808" sur le plus de grand nombre de machines possibles et de les faire collaborer.

  • Chaque agent sonde ses cibles en envoyant des paquets TCP de type "SYN" dont les adresses sources sont usurpées. Du fait de cette usurpation d'adresse, il est très difficile de localiser les agents (le scan est donc très furtif), mais il est aussi impossible pour l'agent de recevoir la réponse générée par la machine sondée (puisque cette réponse va être envoyée vers le système dont l'adresse a été usurpée).

  • Chaque agent surveille donc également en permanence le brin réseau sur lequel il est, de façon à capturer les réponses générées par la machine sondée (suite aux sollicitations d'un autre agent "55808") qui y passeraient.

  • Chaque jour, chacun des agents du réseau "55808" remonte les informations collectées vers un site central où les données sont consolidées.

Si le réseau "55808" est petit (i.e. sil y a peu d'agents installés), l'efficacité du système est mauvaise. Par contre, si ce réseau grandit, le système commence réellement à fonctionner.

Intrusec précise également que :

  • Les agents trouvés contiennent du code permettant aussi de faire passer des ordres au sein du réseau (par exemple pour changer dynamiquement l'adresse du point central vers lequel sont remontées quotidiennement les informations collectées par le réseau "55808"). Il pourrait donc être possible de faire évoluer les agents pour implémenter des fonctions nocives (portes dérobées, attaques DDOS, etc..).

  • Le réseau semble largement expérimental et immature : certaines branches de code ne sont pas finies ; il n'y pas de fonction d'infection automatique des machines permettant de répandre de façon furtive des agents sur Internet ; il n'y pas d'action néfaste implémentée, etc…

  • Les machines infectées sont actuellement des machines UNIX. Plusieurs symptômes caractéristiques (indiquant la présence d'un agent "55808") sont listés dans le rapport. Il n'y a pas de mécanisme permettant à "55808" de se propager seul de machine en machine (il doit être installé par un autre outil, ou manuellement).

A-t-on réellement tout compris ?

L'histoire de "55808" n'est peut-être pas terminée, car plusieurs éléments ajoutent du mystère à "l'affaire" :

  • Intrusec indique qu'il est convaincu que l'agent qu'il a analysé n'est pas le véritable agent ayant provoqué le trafic anormal détecté au début de l'affaire. Il existerait donc, selon lui, plusieurs outils distincts qui utiliseraient ce principe de "window-size=55808". Il avance même l'hypothèse que l'agent qu'il a analysé pourrait avoir été construit après l'annonce faite par Lancope, par exemple pour démontrer que la théorie avancée (3ème génération de réseau d'attaque) était viable, ou pour imiter le comportement annoncé.

  • Une autre source indique que la caractéristique "window-size=55808" est utilisée depuis quelque temps déjà (sans raison particulière) dans des variantes du robot IRC "sdbot" et qu'il n'y a donc pas d'affaire du tout (le fait d'utiliser cette "window size" n'aurait pas de fonction particulière).

Qu'en retenir ?

Au-delà de l'aspect anecdotique que peut avoir cette affaire, le Cert-IST retient que :

  • Le principe d'un scan de ports TCP furtif, tel qu'implémenté par "55808", est techniquement possible. Il peut être intéressant en terme de furtivité, mais semble peu efficace en terme de performance.

  • Il peut s'agir d'une expérimentation (un "proof of concept") sur la possibilité de réaliser un nouveau type de réseau d'attaque. Il n'y a pas de doute que si les résultats sont positifs, ce nouveau type de réseau sera publiquement débattu. Ce nouveau type de réseau DDOS ne change pas vraiment le risque "DDOS" qui existe déjà : la nature du risque reste inchangée et les méthodes de protection également. Seuls l'aspect détection et l'éradication sont donc potentiellement impactés.

  • Il peut aussi s'agir simplement d'un "non-événement", par exemple si "55808" n'est qu'une signature pour indiquer la provenance originelle d'un code source qui circule dans le monde des hackers.

 

Pour plus d'information

Analyse technique de Intrusec : http://www.intrusec.com/55808.html

Alerte émise par ISS : http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22441

Annonce Lancope : http://www.lancope.com/news/Virus_Alert_Trojan.htm

Un des articles de presse à propos de "55808" : http://www.eweek.com/article2/0,3959,1130759,00.asp