Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Technique de propagation des vers par e-mails

Date :22 Juin 2005

Publication: Article

Le mois de janvier a été une période très prolifique au niveau des vers informatiques avec l'apparition de deux spécimens ayant eu une propagation à grande échelle : le ver "Bagle" (CERT-IST/AV-2004.015) et le ver "MyDoom" (CERT-IST/AV-2004.024). Bien que ces deux vers n'utilisent pas de technique nouvelle (propagation via des e-mails contenant une pièce jointe infectée ou propagation via des réseaux "Peer-to-Peer"), ils ont néanmoins infecté de manière conséquente de nombreux systèmes sur Internet.

Ce phénomène peut être lié à deux aspects qui sont :

  • la capacité du ver à formater des e-mails élaborés,
  • une utilisation systématique d'un moteur SMTP (serveur de messagerie) autonome.

Usurpation de l'adresse de l'émetteur :

Le phénomène d'usurpation d'adresse de l'expéditeur de l'e-mail (champ "De" ou "From") n'est pas récent. Déjà en 2002, des vers comme "Frethem" (CERT-IST/AV-2002.196) utilisaient cette particularité. Elle permet en fait au ver de fabriquer un e-mail avec un faux champ expéditeur destiné à faire baisser la vigilance du destinataire afin qu'il ouvre plus facilement la pièce jointe associée à l'e-mail malveillant.

Les adresses utilisées dans le champ expéditeur sont collectées sur la machine infectée au travers:

  • des fichiers relatifs aux clients de messagerie (fichiers d'extensions ".eml", ".dbx", ".wab" et ".mbx") dans lesquels sont stockés les messages et carnets d'adresses de la victime,
  • des fichiers temporaires des navigateurs web (fichiers contenant des "images" des pages web visitées),
  • des fichiers web (HTML, HTA, …) ou texte présents sur le disque dur.

Pour obtenir des informations sur le véritable émetteur de l'e-mail infecté, il faut accéder aux données présentes dans l'en-tête SMTP du message de manière à identifier le véritable chemin suivi par le message.

Exemple d'en-tête SMTP :

...
Received: from cert-ist.com (unknown [192.168.120.135])
by mail.member_Cert-IST.com (Postfix) with ESMTP id 94A50EFE1
for <adresse@member_Cert-IST.com>; Tue, 27 Jan 2004 05:21:19 -0700 (MST)
From:
cert@cert-ist.com
To:
adresse@member_Cert-IST.com
Subject: HI
...

Dans cette en-tête SMTP nous pouvons constater plusieurs éléments :

  • Le premier champ "Received :" contient des éléments sur le serveur SMTP qui est à l'origine du message.

    • Si on se réfère à l'information "from cert-ist.com", tout peut penser à croire que c'est le Cert-IST qui a émis cet e-mail. Cependant, l'information qui suit montre une adresse IP non résolue qui n'appartient pas au domaine "Cert-IST.com". C'est en fait cette adresse IP qui est la véritable source du message. L'en-tête SMTP a également subi une modification par le ver pour rendre son origine plus furtive. Cette technique de modification d'en-tête est assez récente et n'a été observée que pour le ver "MyDoom".

  • L'adresse e-mail indiquée dans le champ "From" (émetteur) est une adresse collectée sur le poste infecté.

  • L'adresse e-mail indiqué dans le champ "To" (destinataire) est également une adresse collectée sur le poste infecté.

On remarque également avec ces nouveaux vers, que le choix des champs "From" et "To" semble suivre une certaine logique. En effet, les e-mails infectés possèdent assez souvent des couples de champs 'From" et 'To" homogènes :

  • Les 2 champs appartiennent au même domaine

    • From : adresse1@meme_domaine.com
    • To : adresse2@meme_domaine.com

  • Les 2 champs coïncident avec une utilisation standard d'une liste de diffusion

    • From : adresse@domaine_autorise.com
    • To : liste_de_diffusion@domaine.com

  • Les 2 champs sont choisis de manière aléatoire (cas le plus connu)

    • From : adresse1@domaine1.com
    • To : adresse2@domaine2.com

Ce type de comportement laisse à penser que ce type de ver utilise les adresses e-mails collectées dans des messages dédiés à des listes de diffusion (message ayant comme "tag" SMTP : "Precedence: bulk" ou "junk" ou "list") ou des couples "From/To" issus de messages réels.

Un moteur SMTP intégré

Maintenant que le ver sait formater des e-mails d'une manière relativement élaborée, il doit les envoyer vers ses destinataires. Pour cela, il utilise son propre moteur SMTP et ceci pour 3 raisons :

  • Les serveurs de messagerie institutionnels du réseau sur lequel se trouve la machine infectée empêchent généralement leurs utilisateurs d'envoyer des messages vers l'extérieur en utilisant une fausse identité (champ"From" contenant un nom de domaine différent de celui géré par le serveur de messagerie).
  • Les transactions SMTP sont généralement journalisées, ce qui pourrait permettre de remonter aisément à la source de l'envoi.
  • Certains réseaux autorisent leurs utilisateurs à se connecter sur Internet sans aucune contrainte protocolaire (pas de filtrage des flux en sortie).

Ces raisons ont donc poussé les concepteurs de vers à implémenter des serveurs de messagerie autonomes dans les fonctionnalités de leurs vers. Cependant, dans des environnements sécurisés (présence de gardes-barrières filtrant les flux entrant et sortant, de relais, de routeurs filtrants sur le LAN, …), la propagation de ce type de ver en interne et vers l'extérieur peut être aisément contenu.

Ainsi, afin d'enrayer ce phénomène de ver qui utilise la messagerie comme vecteur de propagation, il est nécessaire de prendre quelques précautions élémentaires :

  • filtrer avec un anti-virus à jour tous les e-mails entrants et sortants du réseau interne,
  • empêcher le relayage au niveau des serveurs de messagerie (contrôle sur les adresses e-mails ET sur les adresses IP des connexions),
  • filtrer sur le garde-barrières le trafic sortant (en plus du trafic entrant),
  • filtrer les trafics inter-LAN pour empêcher les envois d'e-mails internes de façon autonome.

En conclusion …

On peut constater que les vers arrivent aujourd'hui à utiliser des fonctionnalités de messagerie de plus en plus évoluées afin de tromper la vigilance des utilisateurs. Ces fonctionnalités remettent parfois en cause les recommandations des formations de sensibilisation à la sécurité qui préconisent de ne pas ouvrir d'e-mails provenant d'un destinataire non sûr. Avec "Bagle" ou "MyDoom", un e-mail infecté peut sembler "provenir" d'une personne connue et représenter également un risque réel.

Un effet de bords de ces nouvelles techniques virales sont les problèmes de notification des anti-virus lors des détections. En effet, du fait que le champ relatif à l'émetteur est forgé, les anti-virus envoient leurs messages de notification à de mauvaises adresses, ce qui a tendance à générer un phénomène de Spam. Cet aspect avait été abordé dans le Bulletin Sécurité n°72 du mois de septembre 2003.