Les Serveurs bulletproof SRS Day – Conférence 17 novembre 2010 Les Serveurs bulletproof Par: Charles Hourtoule – hourto_c Luc Delsalle – delsal_l Edouard Veron – veron_e Alban Pétré – petre_e Victorien Noé – noe_v

Mise en contexte Des menaces informatisées de plus en plus présentes et identifiées Quel est l’origine des malwares et pourriels mondial ? Les attaques actuelles sont toutes distribuées et complexes mais ne sont ni plus ni moins que des procédures informatisées administrables à distance Qui sont les serveurs dernières ces attaques ? Comment de tels serveurs peuvent-ils impunément s’inscrire dans le fonctionnement de l’Internet mondial ? Quels sont les mécanismes mises en œuvre par ces serveurs ? Comment les autorités mondiales nous protègent-elles face à ces menaces ? Chiffres au deuxième trimestre 2010 514 millions d’infections détectées 33 765 504 vulnérabilités non patchées et identifiées sur les ordinateurs personnels 8 540 223 tentatives d’exploitations fût détectées 157 626 761 attaques envers des ordinateurs fût bloquées Source Symantec – Nov 2010 Source HostInfected– Nov 2010 SRS Day @ EPITA - 17 novembre 2010

Les hébergements bulletproof Mise en contexte Les hébergements bulletproof Offres d’hébergement proposant des services d’hébergement classiques mais étant très peu regardant sur l’activité ou l’identités de ses clients Les hébergeurs affirment clairement et ouvertement leurs intentions: peu importe les plaintes reçues, il s’engagent à maintenir leur service Leur commerce est complétement libre: une simple recherche sur Google suffit pour trouver des hébergements de ce type Les hébergements bulletproof: épicentre de la cybercriminalité mondiale Ces services concentrent toutes les activités malveillantes envisageables sur Internet: Spam Malwares Phishing Scamming… « We will not shut you down due to complaints. » SRS Day @ EPITA - 17 novembre 2010

Plan de la présentation Le rôle des hébergeurs dit « bulletproof » Intégration des serveurs bulletproof dans l’Internet moderne Focus sur les mécanismes d’autoprotection de ces serveurs Etude des usages des hébergeurs bulletproof Présentation des réponses légales mises en œuvre SRS Day @ EPITA - 17 novembre 2010

Le rôle des hébergeurs bulletproof SRS Day @ EPITA - 17 novembre 2010

Serveur bulletproof Historique: Evolution: Utilisation Des fournisseurs de « root shell » apparaissent pour garder le contrôle de chan IRC Des services anonymes, redondés et sécurisés, des services à « l’épreuve des balles » (“bulletproof”) Evolution: Ces fournisseurs répondent aux besoins des pirates: anonyme, sécurisé Apparition de nouvelles offres avec des arguments ouvertement destinés à fidéliser les organisations criminelles Utilisation Utilisation pour des activités nuisibles: scans de ports, campagnes de spams, attaques DoS, etc. Hébergement de contenu illicite: réseaux pédophiles, sites à caractère raciste, etc. Situation géographique En franchissant les limites de la légalité les fournisseurs choisissent d’héberger leurs serveurs dans des pays laxistes au niveau de la loi tels que la Chine, la Russie, les paradis fiscaux SRS Day @ EPITA - 17 novembre 2010

Hébergement d’un serveur bulletproof Mettre en place un serveur bulletproof n’est pas quelque chose de facile de part l’illégalité de ses actions. Elle est axée autour de quatre points: Les serveurs, qui représenteront l’architecture physique de l’organisation Une gestion des DNS Les moyens de communication avec les clients C’est une des parties les plus complexes. L’aspect illégal de certaines activités empêche de faire autant de communication que les fournisseurs auraient voulues. Un moyen d’être payé de façon sécurisée Il faut que le moyen de paiement soit sûr et sécurisé mais aussi le plus discret possible Plusieurs services de paiement en ligne qui assurent l’anonymat (ex: Web Money basé au Belize) SRS Day @ EPITA - 17 novembre 2010

Place des serveurs bulletproof dans l’Internet mondial SRS Day @ EPITA - 17 novembre 2010

Internet: un réseau d’AS interconnectés Internet est un réseau de réseaux interconnectés. Chacun de ces réseaux est appelé AS pour Autonomous System Chaque AS représente une plage d’adresses IP administrée par une même entité. L’IANA gère l’ensemble des AS en les classant par numéro Internet repose sur un principe de routage de paquet IP Pour établir des tables de routages performantes, les AS disposent d’un protocole de dialogue appelé BGP pour Border Gateway Protocol Une fois établies, les routes sont mémorisées ce qui permet un routage rapide et automatique des paquets IP à travers les différents réseaux Les hébergeurs bulletproof sont en premier lieux des administrateurs d’AS Administration de plages d’IP totalement autonomes Au départ complétement légitime, offrant des services sensiblement identiques à ceux proposés par le marché de l’hébergement classique Evolution vers des activités ouvertement illégales grâce à des offres bulletproof beaucoup plus lucratives SRS Day @ EPITA - 17 novembre 2010

Etude de cas: Russian Business Network Etude d’un des hébergeurs bulletproof les plus virulents de 2007 RBN: une organisation complexe et très complète Apporte un soutient matériel aux cybercriminels: Opérateur du botnet Storm Base de réplication du malware Mpack Hébergement de nombreux sites de phishing, de pédopornographie… Services d’anonymisation pour pirates Basé en Russie… RBN s’appuie sur des dispositions législative trop laxistes Utilise le contexte économique pour recruter de brillants et jeunes techniciens russes … mais administré à l’échelle mondial: Les whois réseau pointent vers des adresses aux Seychelles et au Panama Les domaines sont enregistrés depuis New York aux Etats-Unis Les (faux) noms affiliés à RBN proviennent de plusieurs pays du globe Une organisation avec de fortes ramifications internationales Identifié par VeriSign en 2006 lors de la réservation du bloc d’IP 81.95.144.1 – 81.95.159.255 Une offre parfaitement légale lors de sa création, mais une stratégie permettant le développement d’une offre bulletproof dès la création de l’AS 2007: les autorités mondiales identifient RBN comme étant le centre névralgique des cyber attaques mondiales SRS Day @ EPITA - 17 novembre 2010

Etude de cas: Russian Business Network La rôle du RBN dans le cyber crime mondial SRS Day @ EPITA - 17 novembre 2010

RBN: Une compréhension globale du fonctionnement d’Internet AS40989 RBN AS Credolink AS20807 Nevacon AS41731 Micronet AS41187 SBT Telecom AS41173 Oinvest AS41108 Connectcom AS34596 Akimon AS28866 RBN est structuré en plusieurs petits AS: Chaque AS est administré de manière indépendante Les AS proposent des services soit légaux, soit illégaux Chaque « micro-as » a un unique lien de peering avec l’AS central de RBN: En cas de coupure, plusieurs centaines de sites légitimes seraient privés de services RBN étant originellement légitime, certaines organismes vitaux russes utilisent les services de RBN Création de plusieurs sociétés écrans chargées de dissimuler les activités de RBN: Création d’un FAI pour professionnels: SBT Telecom… Permet d’établir des partenariats de peering avec les plus grands FAI russes et limitrophes RBN devient un acteur majeur pour le trafic est-européen grâce à des routes plus efficaces et rapides RBN établit une liaison directe avec l’Internet eXchange Point de Moscou Les IXPs sont les carrefours du trafic Internet mondial: c’est ici que sont échangées les tables de routage à l’échelle mondiale. En établissant un lien direct vers l’IXP Russe, RBN devient un acteur incontournable dans le routage mondial à destination des pays de l’Est Européen SRS Day @ EPITA - 17 novembre 2010

RBN: Une compréhension globale du fonctionnement d’Internet La rôle du RBN dans le cyber crime mondial SRS Day @ EPITA - 17 novembre 2010

RBN: Quels soutiens? L’implantation d’une telle structure demande de hautes qualifications, et une excellente compréhension du fonctionnement d’Internet On peut supposer que RBN a su s’appuyer sur de brillants cerveaux maitrisant les faiblesses originelles d’Internet Des organisations criminelles sont certainement intervenues: Pour aider à financer l’entreprise de RBN lors de la phase de création « légitime » de l’entreprise Pour faire pression sur des organismes légitimes afin de s’interconnecter avec RBN, obtenir un accès aux IXP russes Pour faciliter le blanchissement de l’argent récolté par les activités du RBN RBN: une structure devenue incontournable pour le trafic Internet mondial Déconnecter RBN était donc particulièrement difficile si l’on ne souhaitait pas ralentir une partie du trafic Internet russe pendant plusieurs jours. Les relations de peering établies avec des acteurs d’Internet légitimes les rendent dépendant de la bonne marche de RBN La structure de RBN étant complexe, il est difficile de clairement identifier les limites de l’organisation et ainsi la fermer Les régulateurs mondiaux d’Internet étaient donc parfaitement au courant des menaces de RBN, sans pour autant être en mesure de limiter son activité malveillante SRS Day @ EPITA - 17 novembre 2010

Les mécanismes de protections des serveurs bulletproof SRS Day @ EPITA - 17 novembre 2010

Les réseaux FAST-FLUX Technique qui s’appuie sur le protocole DNS Plusieurs adresses IP associées à un même hôte Durée de validité (TTL) de la réponse très bas Adresses IP de machines compromises utilisées comme reverse-proxy pour masquer le serveur réel du pirate « mothership » Buts Anonymat: une investigation sur les adresses IP correspondant au nom de domaine conduira chez des particuliers répartis partout dans le monde Haute-disponibilité: Il ne suffit pas de bannir/attaquer une seule adresse IP mais beaucoup plus Il existe deux manières d’implémenter un réseau FAST-FLUX Single-flux Double-flux (Round Robin DNS: permet d’associer plusieurs IP à un nom de domaine) Cette technique est utilisé par des hébergeurs pour leurs permettre de distribuer le traffic de leur site Internet et par la cybercriminalité pour la robustesse offerte par ce système. Les hébergeurs bulletproof utilise leurs réseaux botnets pour les camoufler l’adresse réel de leurs serveurs. Chacune de ces machines compromises se comporte comme des reverses proxy. Tout ceci permet d’obtenir de l’anonymat et de la haute disponibilité SRS Day @ EPITA - 17 novembre 2010

Source: http://www.blogs.orange-business.com/securite/ Les réseaux FAST-FLUX Source: http://www.blogs.orange-business.com/securite/ SRS Day @ EPITA - 17 novembre 2010

Source: http://www.blogs.orange-business.com/securite/ Les réseaux FAST-FLUX Source: http://www.blogs.orange-business.com/securite/ SRS Day @ EPITA - 17 novembre 2010

Les Serveurs Upstream Fonctionnement But: Un serveur Upstream est un serveur qui fournit un service à un autre serveur. Il est situé plus haut dans la hiérarchie des serveurs Les malwares, virus, spam… sont donc stockés et envoyés depuis le serveur bulletproof. Les serveurs upstream sont des serveurs « clean » , ils ne servent que de passerelle. Ils sont enregistrés en toute légalité auprès des FAI Le serveur bulletproof est connecté à plusieurs serveurs upstream et peut alterner les connections But: Les serveurs upstream permettent aux serveurs bulletproof de rester anonymes de part la complexité de leurs maillages L’architecture et le nombre de serveurs upstream assurent aux serveurs bulletproof une continuité d’activité et une très grande réactivité si un des serveurs tombe ou est fermé SRS Day @ EPITA - 17 novembre 2010

Etude des usages des serveurs bulletproof SRS Day @ EPITA - 17 novembre 2010

Contenus illégaux des flux provenant des serveurs bulletproof Exploits de logiciels, incluant les 0-days, Codes malveillants visant à manipuler les PC des victimes : faux codecs Chevaux de Troie bancaires robots de spam faux antivirus etc., Sites de phishing, Sites de recrutement de “money mules”, Serveurs C&C (Command and Control) pour botnets, tel que Zeus, Licences de logiciels payants (Warez), Contenu pornographique illégal (pédopornographie), Communications codées entre organisations criminelles ou terroristes SRS Day @ EPITA - 17 novembre 2010

Principales utilisations faites par les cyber-criminels Botnets C&C Les botnets C&C exécutent des commandes provenant de serveurs de contrôle Ces serveurs sont hébergés sur des serveurs bulletproof, donc difficiles à neutraliser Par exemple, le trojan Zeus recevait des ordres de serveurs hébergés chez Troyak.org Spammeurs Botnets C&C qui envoient des mails en continue Constituent la majeure partie des flux illégaux Srizbi, considéré comme le plus grand spammeur, était hébergé chez McColo, en Californie, fermée depuis 2008 et entraînant une chute de 60% du nombre de spam envoyés dans le monde Phishing Les pages Web des sites falsifiées et les données récupérées sont stockées sur des serveurs bulletproof Anonymat et haute disponibilité sont ainsi garantis pour le pirate SRS Day @ EPITA - 17 novembre 2010

Les tendances du marché Le spam reste l’utilisation la plus importante des serveurs bulletproof Environ 150 000 e-mails envoyés chaque seconde (Symantec, Nov. 2010) Cette moyenne augmente constamment, car de nouveaux virus apparaissent De nouveaux acteurs apparaissent tandis que d’autres restent La Chine Pays de l’ex-URSS USA Les hébergeurs arrivent à intégrer de mieux en mieux leurs serveurs dans les routes des paquets qui transitent, les rendant de plus en plus difficiles à supprimer SRS Day @ EPITA - 17 novembre 2010

Le volume de spam envoyé ne diminue pas SRS Day @ EPITA - 17 novembre 2010

Entrée sur le marché de la cybercriminalité Des prix raisonnables 700$ pour un serveur 100$ pour un nom de domaine Les revendeurs de serveurs bulletproof Ils n’exercent aucun contrôle sur les contenus, comme Tecom en Chine Certains affichent publiquement leurs activités Spamahost (anciennement Xrumer) www.ccihosting.com et bien d’autres… SRS Day @ EPITA - 17 novembre 2010

Etude de RBN: une véritable arme électronique ? RBN apparu dans plusieurs conflits politiques liés à la Russie En plus des ses activités classiques (Spam, phishing, hébergement de malwares); RBN fût utilisé à des fins politiques Implication dans la guerre d’Ossétie du Sud: RBN fût la première plate-forme utilisée pour réaliser des attaques de type DDoS envers les infrastructures de télécommunication de la Géorgie Ces attaques ont permis un blocage quasi-total des mesures de défenses Géorgiennes Une large compagne de dénigrement contre les dirigeants politiques de la Géorgie fût orchestrée depuis les serveurs de RBN grâce à des envois massifs de spam et de « defacement » Participation active de RBN à des actes de cyber guerre RBN dépasse le cadre du cyberespace S’inscrit dans des actions terroristes Peut causer des préjudices physiques à des populations Site Géorgien defacé en utilisant les ressources de RBN SRS Day @ EPITA - 17 novembre 2010

Des réponses judiciaires efficaces ? SRS Day @ EPITA - 17 novembre 2010

Les moyens de détection Les acteurs de la détection Les fournisseurs d’accès Les CERT (Computer Emergency Response Team) Privés ou d’Etat (ex.: le CERTA en France, l’US-CERT aux Etats-Unis). Les éditeurs d’anti-virus et les sociétés de sécurité Les autorités En France: principalement l’ANSSI mais aussi la police (OCLCTIC, BEFTI, DCRI, …) et la gendarmerie (NTECH). En Europe: Europol, Eurojust, différents services spécialisés A l’échelle mondiale: Interpol Des partenariats entre ces services se créent et se maintiennent afin de lutter plus efficacement contre la cybercriminalité. SRS Day @ EPITA - 17 novembre 2010

Les décisions de justice La plupart des hébergements bulletproof sont « offshores » Souvent dans des pays peu regardants quant au contenu et à l’utilisation faite des serveurs Des procédures souvent locales Une court de justice américaine n’aura d’effet que sur des serveurs américains McColo Corp (Californie) fût fermé pour cause d’hébergement de contenu malveillant (spams) Une décision légale française ne peut pas impacter un serveur en Russie ! Elle n’a aucune autorité, son seul recours: les instances judiciaires internationales A l’heure actuelle, les procédures législatives sont inadaptées à l’environnement complexe d’Internet L’ICANN (Internet Corporation for Assigned Names and Numbers) révoque les accréditations aux entreprises « malveillantes » (exemple avec EstDomains, Inc.) : EstDomains (Estonie) était notamment connu pour son laisser-faire en matière d’hébergement (malware, pédopornographie, etc.). La lettre a été envoyé au CEO Vladimir Tsastsin, annonçant la suppression de l’accréditation Registrar (attributions de TLD). Vladimir Tsastsin a fait de la prison pour fraude à la carte bancaire, usage de faux et blanchiment d’argent (3 ans dont 6 mois ferme par la court de Tartu , Estonie). SRS Day @ EPITA - 17 novembre 2010

Déconnexion d’AS corrompu Une fois la décision de justice prise, il faut faire fermer ces serveurs, mais comment ? Le but est de « couper » ces AS d’Internet, pour cela il faut déconnecter un à un tous les AS s’interconnectant à celui à faire fermer. Ce phénomène s’appelle le « de-peering » L’AS légitime supprime les routes menant vers l’AS corrompu afin de l’isoler de l’Internet. Cependant un AS malveillant peut avoir jusqu’à 15 connexions vers d’autres AS ! La procédure est donc longue et difficile, d’autant plus qu’il peut s’interconnecter avec d’autres AS malveillants (qui ne couperont pas leurs liens). Que faire lorsque un AS malveillant héberge aussi du contenu légitime ? Problème de neutralité du net Besoin d’un filtrage de plus faible granularité, mais celui-ci est couteux et peu efficace (les IP changent en moins de 24h). La France est loin d’être irréprochable Exemple avec l’AS OVH (AS16276) Spam, serveurs C&C, phising, etc. SRS Day @ EPITA - 17 novembre 2010

Etude de RBN: Un démantèlement réussi ? Les acteurs de la lutte antiviral identifient RBN comme la source des principales attaques électroniques en 2007 L’organisation de RBN fût exposée médiatiquement, et une forte pression mondiale commença à s’exercer sur leurs activités Certains FAI russes commencèrent à de-peerer les AS de RBN Les clients de RBN étant trop exposés, ils commencèrent à suspendre leurs abonnements et ainsi mettre en danger le business modèle de RBN Aucune condamnation ne fût prononcée Malgré la très forte suspicion sur l’identité de certains acteurs de RBN, aucune arrestation ne fût prononcée Le dimensionnement international et la forte mobilité des protagonistes empêcha toutes actions coordonnées des autorités internationales Le service fourni étant critique pour les organisations cybercriminelles, RBN a probablement pu être protégé par certaines cellules RBN aujourd’hui disparu ? Officiellement la société RBN est aujourd’hui annoncée comme ayant cessé son activité Néanmoins tout pousse à croire que RBN a juste évolué en une structure plus discrète: - Une dizaine de noms de domaines affiliés à RBN sont aujourd’hui actif en République Tchèque - Plusieurs blocs d’IP utilisés par RBN sont maintenant localisés en Chine RBN semble avoir évolué vers un système plus discret, construisant des AS grâce à l’achat de plages d’IP de petites tailles de manière à ne pas éveiller les soupçons. Leurs relations avec les cybercriminels s’est potentiellement intensifiée de manière à garantir un meilleur anonymat. SRS Day @ EPITA - 17 novembre 2010

Les Serveurs bulletproof: Conclusion SRS Day – Conférence 17 novembre 2010 Les Serveurs bulletproof: Conclusion