Botnets : que sont-ils et comment fonctionnent-ils ?

Publié: 2023-02-21

En tant que grands réseaux d'ordinateurs compromis, les botnets existent depuis des années. L'idée de créer tout un réseau de machines infectées pouvant être utilisées pour mener des cyberattaques à grande échelle et propager des logiciels malveillants a sans aucun doute changé l'Internet tel que nous le connaissons aujourd'hui.

Les botnets sont le moteur de la grande majorité des cyberattaques ciblant non seulement les sites Web et les serveurs WordPress, mais aussi des réseaux et des systèmes informatiques entiers. Sans l'ombre d'un doute, le monde moderne de la cybersécurité tourne autour des réseaux de bots en tant que cœur de toute l'économie qui régit le dark web.

L'écosystème a tellement évolué que l'existence des botnets a créé une nouvelle tendance dans l'industrie de la cybersécurité, connue sous le nom d'attaque en tant que service ou botnet en tant que service. Les créateurs de botnet loueraient la puissance de calcul et les ressources des machines compromises sous leur contrôle à des tiers pour lancer des cyberattaques de différents types.

Les sites WordPress sont victimes d'attaques menées par des bots et sont entraînés dans des botnets plus souvent que vous ne pouvez l'imaginer. En fait, la grande majorité du temps, un site Web WordPress est piraté, il fait partie d'un réseau d'autres sites Web et serveurs compromis. Les logiciels malveillants de botnet dorment dans le système jusqu'à ce que le maître du bot décide d'utiliser votre site Web pour lancer une attaque. En plus des conséquences négatives évidentes des infections par des logiciels malveillants, faire partie d'un botnet rendra votre site Web extrêmement lent, car le pirate utilisera désormais les ressources de votre serveur pour lancer de nouvelles attaques.

Pour aggraver les choses, quitter un botnet n'est pas du tout une tâche facile. Un attaquant s'assurerait de laisser des portes dérobées soigneusement conçues pour profiter de votre site Web WordPress aussi longtemps que possible. C'est pourquoi il est impératif de savoir exactement comment fonctionnent les botnets et comment protéger votre site WordPress.

Dans ce guide complet des réseaux de bots, nous plongeons dans l'histoire et l'architecture des botnets, découvrant le mystère qui se cache derrière les cyberattaques modernes, hautement distribuées et dirigées par des bots. Vous découvrirez certains des botnets les plus importants qui existent aujourd'hui et comment vous pouvez vous protéger, vous et votre entreprise, de la destruction qu'ils entraînent.

botnets

Qu'est-ce qu'un botnet ?

Un botnet, qui signifie un réseau de bots, est un système distribué d'ordinateurs compromis infectés par le même type de malware qui permet à l'attaquant d'utiliser le pool consolidé de ressources informatiques pour lancer des cyberattaques à grande échelle. En plus de mener des cyberattaques, les propriétaires de botnets peuvent utiliser les ordinateurs infectés par le réseau pour effectuer d'autres activités, telles que l'extraction de crypto-monnaie ou l'augmentation du nombre de vues sur une publicité ou une vidéo.

L'exploitation d'un botnet est illégale et de nombreux réseaux connus de bots ont finalement été fermés et leurs propriétaires arrêtés. Malgré le fait qu'il est souvent difficile d'identifier le propriétaire d'un botnet particulier, ce n'est pas impossible.

Quelle est la taille des botnets et quels types d'appareils les composent ?

En ce qui concerne la taille du réseau, les botnets varient considérablement. Il en va de même pour les types d'entités infectées qui forment un botnet. Il peut y avoir de quelques sites Web infectés à des centaines de milliers de systèmes informatiques compromis. Cela dépend des systèmes qu'un attaquant utilisant un botnet cible le plus.

Voici les principaux types d'appareils qui forment des botnets :

  • Ordinateurs personnels et appareils mobiles . Ordinateurs de bureau, ordinateurs portables, smartphones et tablettes exécutant différents systèmes d'exploitation.
  • Appareils Internet des objets (IoT) . Appareils domestiques intelligents, trackers de fitness et montres intelligentes.
  • Périphériques de cœur de réseau . Commutateurs de paquets tels que les routeurs.
  • Serveurs et sites Web individuels .

La plupart du temps, les pirates ciblent les ordinateurs personnels, les appareils mobiles et les serveurs pour les infecter avec des logiciels malveillants de botnet et les connecter au réseau existant de bots. Cependant, les sites Web WordPress peuvent également être des entités formant un botnet. De cette façon, le contenu de votre site n'est pas la cible des pirates, mais les ressources du serveur de votre site sont extrêmement précieuses dans un botnet. La principale différence entre ces situations est le niveau de contrôle qu'un attaquant acquiert sur le système compromis.

Si un site Web WordPress est compromis dans le but d'ajouter des ressources à un botnet, dans la plupart des cas, l'attaquant ne pourra pas obtenir un accès de niveau racine ou administrateur au serveur. Cela signifie qu'ils seront limités au nombre de ressources du serveur et au niveau d'accès au système du site Web compromis, ou plutôt de l'utilisateur du système qui possède le site Web.

Comment sont créés les botnets ?

Les botnets sont créés en infectant les systèmes informatiques avec des logiciels malveillants, qui se présentent dans la plupart des cas sous la forme d'un virus cheval de Troie qu'un utilisateur peut télécharger par inadvertance ou que les pirates malveillants installent sur un serveur ou un site Web déjà compromis. En utilisant ce type spécial de logiciel malveillant, également connu sous le nom de botnet, un pirate conserve le contrôle du système de la victime infectée et l'utilise pour effectuer des activités frauduleuses en envoyant des instructions sur le réseau.

Une fois installé, le malware botnet oblige le système compromis à le diffuser davantage, infectant davantage d'ordinateurs qui seront connectés au réseau frauduleux. L'une des principales raisons pour lesquelles les botnets s'appuient sur une expansion constante est la difficulté de maintenir l'accès aux systèmes compromis. La porte dérobée créée par un botnet peut être découverte et supprimée à tout moment, ce qui signifie que le terminal sera déconnecté du réseau de bots et ne sera plus contrôlé par le pirate.

Méthodes courantes de distribution des logiciels malveillants Botnet

Comment les logiciels malveillants de botnet sont-ils distribués ? Les logiciels malveillants de botnet peuvent se propager en utilisant un large éventail de techniques, qui incluent souvent l'ingénierie sociale, l'exploitation d'une vulnérabilité ou la réalisation d'une attaque par force brute pour obtenir un accès non autorisé au système afin de télécharger une charge utile malveillante.

Ordinateurs personnels et appareils mobiles

Étonnamment, lorsqu'il s'agit de prendre le contrôle d'ordinateurs personnels et d'appareils mobiles, l'envoi de pièces jointes malveillantes est la méthode numéro un employée par les pirates. Les fichiers tels que les feuilles de calcul Excel et les documents Microsoft Word, ainsi que les archives de fichiers, sont les moyens les plus courants de distribution des logiciels malveillants de botnet. L'un des logiciels malveillants de botnet les plus notoires, Emotet, est censé être distribué via des pièces jointes malveillantes.

Cependant, même si la victime télécharge la pièce jointe, il ne suffit pas que le logiciel malveillant du botnet soit activé sur son appareil. Un utilisateur doit confirmer certaines activités apparemment inoffensives, telles que l'exécution de macros ou l'activation de l'édition de fichiers, qui déclencheront l'infection et accorderont à l'attaquant un accès complet au système de l'ordinateur cible, y compris toutes les données qui y sont stockées.

Outre cette méthode, les logiciels malveillants de botnet peuvent également être distribués à l'aide d'attaques de script intersite ou déguisés en logiciels légitimes qu'un utilisateur est invité à installer. Compromettre les sites Web intéressants pour les utilisateurs ciblés afin d'infecter leurs appareils personnels est communément appelé une attaque par point d'eau et est largement utilisé par les propriétaires de botnets.

Serveurs et sites Web

Les serveurs et les sites Web ne peuvent généralement pas être infectés par des logiciels malveillants de botnet de la même manière que les ordinateurs personnels et les appareils mobiles. Un attaquant exploite généralement une vulnérabilité pour obtenir un accès au niveau du système ou du site Web à un serveur victime, puis télécharge un logiciel malveillant qui lui permettra ensuite d'en établir le contrôle.

Les sites Web compromis par l'attaquant seront ensuite utilisés pour diffuser davantage les logiciels malveillants du botnet en y injectant du code malveillant. Les utilisateurs visitant des sites infectés verront le logiciel malveillant téléchargé et activé sur leurs appareils qui feront partie du même réseau de bots. S'assurer que votre site est correctement protégé par une solution de sécurité comme iThemes Security aide non seulement votre site à se défendre contre ces attaques, mais il aide également votre site à ne pas infecter les autres, en arrêtant les botnets dans leur élan.

Client-serveur et Peer-to-peer : l'architecture d'un botnet

Les botnets sont généralement construits sur l'un des deux principaux modèles d'application réseau : les architectures client-serveur et peer-to-peer (P2P). Le modèle client-serveur reste l'architecture la plus répandue, non seulement les botnets mais aussi la plupart des applications Web en tirent parti.

L'architecture client-serveur est utilisée pour créer un modèle centralisé, où la machine de l'attaquant, également connue sous le nom de bot herder, envoie des instructions aux zombies, ou bots, qui forment un botnet. Les ordinateurs zombies, quant à eux, ne communiquent pas directement entre eux. Les grands botnets peuvent être pilotés par plusieurs bot herders – des proxys – pour faciliter le processus de gestion.

Dans certains cas, les botnets peuvent utiliser le modèle décentralisé qui utilise la communication peer-to-peer. Les botnets décentralisés peuvent faire passer les instructions d'un ordinateur zombie à un autre, répartissant ensuite les commandes sur l'ensemble du réseau de bots. L'architecture P2P complique l'identification de l'éleveur et la découverte de l'identité du maître du bot.

En même temps que le bot herder initie une connexion à un ordinateur zombie, les appareils infectés envoient souvent des demandes au maître du bot à intervalles réguliers pour vérifier les nouvelles instructions. La plupart des logiciels malveillants de botnet sont configurés pour rester inactifs pendant une longue période afin d'échapper à la détection.

Le serveur de commande et de contrôle (C2) en tant que cœur d'un botnet

Le bot herder, qui représente l'ordinateur du propriétaire du bot utilisé pour envoyer des commandes aux machines zombies, est connu sous le nom de serveur de commande et de contrôle, ou C2. Le serveur de commande et de contrôle se trouve au cœur de chaque botnet et permet à l'attaquant de communiquer avec les systèmes compromis en utilisant les architectures d'application réseau client-serveur ou peer-to-peer.

Une fois qu'un nouvel ordinateur zombie est ajouté à un botnet, le centre de commande et de contrôle l'oblige à créer un canal de communication pour que l'attaquant établisse une présence pratique du clavier sur l'appareil infecté. Ceci est réalisé via des outils d'accès à distance.

Les serveurs C2C ont souvent recours à un trafic fiable et rarement surveillé, tel que le DNS, pour envoyer des instructions aux hôtes infectés. Pour éviter la découverte par les forces de l'ordre, les emplacements des serveurs de commande et de contrôle sont fréquemment modifiés par le maître du bot, et des techniques malveillantes telles que les algorithmes de génération de domaine (DGA) sont souvent utilisées.

Top 3 des botnets les plus importants et les plus populaires créés

On pense que les botnets sont apparus au début des années 2000 et ont évolué depuis. L'un des premiers botnets connus a été découvert en 2001. Un vaste réseau de bots a été créé pour lancer des campagnes de spam qui représentaient environ vingt-cinq pour cent de tous les e-mails non sollicités envoyés à cette époque.

Depuis lors, de nombreux grands botnets ont été découverts et démantelés. Cependant, certains réseaux de robots contenant des centaines de milliers, voire des millions d'ordinateurs compromis existent encore aujourd'hui et sont activement utilisés pour mener des cyberattaques à grande échelle.

Les trois botnets les plus importants et les plus populaires qui existent aujourd'hui sont les botnets Mantis, Srizbi et Emotet.

Le botnet Mantis

En 2022, CloudFlare a signalé que son réseau était ciblé par une attaque DDoS massive, avec 26 millions de requêtes Web par seconde frappant l'infrastructure. CloudFlare l'a qualifiée de plus grande attaque DDos jamais atténuée et a révélé que le botnet Mantis n'utilisait qu'environ 5 000 bots, ce qui ne représente qu'une petite fraction de la puissance de calcul totale du botnet.

Pour aller plus loin, toutes les requêtes ont été envoyées via HTTPS, ce qui est nettement plus coûteux et difficile à réaliser en termes d'attaque DDoS. Cela a fait du botnet Mantis l'un des réseaux de bots les plus puissants actuellement en activité.

Le botnet Srizbi

Le botnet Srizbi existe depuis plus d'une décennie et serait responsable de l'envoi de plus de la moitié de tous les spams envoyés par tous les autres grands réseaux de bots combinés. On estime que le botnet contrôle environ un demi-million de terminaux infectés et se développe rapidement en distribuant le soi-disant cheval de Troie Srizbi.

Botnet Emotet

Commençant comme un cheval de Troie bancaire visant à voler les informations de carte de crédit des ordinateurs infectés, Emotet s'est rapidement transformé en un énorme botnet avec plus d'un demi-million de terminaux compromis dans le monde entier. Le malware Emotet est connu pour être distribué via des pièces jointes malveillantes envoyées par des ordinateurs infectés. Emotet est l'un des botnets les plus populaires sur le dark web qui peut être loué à divers groupes piratés, dont nous parlerons plus en détail plus loin dans l'article.

5 types d'attaques courantes menées par les botnets

Les botnets sont des outils polyvalents qui peuvent être utilisés pour effectuer diverses activités frauduleuses. En plus d'utiliser le réseau d'ordinateurs compromis pour attaquer d'autres points de terminaison du réseau et propager des logiciels malveillants, le propriétaire du bot peut voler des informations sensibles à partir d'appareils zombies. Cela fait des botnets la pièce maîtresse de la cybercriminalité.

Voici les cinq principaux types de cyberattaques pour lesquelles les botnets sont utilisés :

  • Déni de service distribué (DDoS) et attaques par force brute.
  • Attaques de phishing.
  • Campagnes de spam.
  • Diffusion de logiciels malveillants.
  • Vol de données et attaques de rançongiciels.

Attaques DDoS et Brute Force

Le déni de service distribué et les attaques par force brute sont les cyberattaques les plus courantes menées par les botnets. En utilisant un pool de ressources informatiques créé par un réseau d'appareils zombies, les attaquants lancent des attaques à grande échelle qui peuvent cibler des centaines de milliers de serveurs et de sites Web, avec des millions de requêtes Web malveillantes envoyées par seconde.

Hameçonnage

Un réseau de sites Web compromis est souvent utilisé pour lancer des attaques de phishing massives. Le serveur de commande et de contrôle distribue une série de pages de phishing sur le botnet qui seront utilisées pour inciter les utilisateurs à donner leurs identifiants de connexion et d'autres informations sensibles.

Courrier indésirable

Le lancement de campagnes de spam massives est l'un des premiers objectifs des botnets. Le propriétaire du botnet créerait une série d'e-mails non sollicités contenant des liens vers des sites Web infectés ou des pièces jointes malveillantes afin de distribuer des logiciels malveillants ou de faciliter des attaques de phishing.

Distribution de logiciels malveillants

La distribution de logiciels malveillants est essentielle pour garantir qu'un botnet puisse survivre à long terme, compromettant davantage d'appareils. Les ordinateurs zombies analysent en permanence les grands réseaux à la recherche de vulnérabilités, les exploitant ensuite pour distribuer des logiciels malveillants de type botnet. Les sites Web et les serveurs infectés formant un botnet sont utilisés pour héberger des pages Web malveillantes ou des redirections malveillantes qui déclencheront le téléchargement de logiciels malveillants sur les appareils du visiteur dans le même but.

Attaques de vol de données et de ransomwares

Parfois, les propriétaires de botnets peuvent cibler des organisations spécifiques et leurs réseaux pour voler des informations confidentielles et installer des ransomwares. Les données obtenues peuvent ensuite être utilisées pour extorquer de l'argent et ruiner la réputation et les opérations de l'entreprise victime ou être vendues sur le dark web. Pour obtenir un accès non autorisé à de grands réseaux informatiques, les attaquants peuvent utiliser une combinaison d'ingénierie sociale et des activités frauduleuses mentionnées ci-dessus.

Attaque en tant que service : comment les botnets sont loués sur le dark web

Les botnets gagnent en popularité sur le dark web en tant que service criminel géré pouvant être acheté ou loué à un propriétaire de botnet. Au lieu de créer un nouveau réseau de bots, les pirates peuvent accéder aux ressources informatiques d'un botnet déjà établi pour exécuter des campagnes frauduleuses. Cela apporte un nouveau terme au monde de la cybersécurité - l'attaque en tant que service, qui est à certains égards similaire au concept bien établi d'infrastructure en tant que service (IaaS).

Aujourd'hui, le dark web est régi par toute une économie qui tourne autour des botnets et des malwares botnet. En plus de louer ou de vendre des réseaux de robots, les pirates vendent l'accès à des sites Web et des serveurs compromis pour étendre les réseaux de zombies existants et propager les logiciels malveillants de réseaux de zombies.

Comment empêcher votre site WordPress de faire partie d'un botnet ? Top 3 des recommandations de sécurité

En tant que système de gestion de contenu le plus populaire au monde, WordPress constitue une cible prioritaire pour les botnets et les cyberattaques pilotées par des bots. Parce que les sites WordPress sont si courants, leur utilisation pour distribuer des logiciels malveillants de botnet et mener des attaques de réseau continue d'être une méthode attrayante pour les attaques malveillantes.

De nombreux sites Web WordPress sont compromis à la suite d'une attaque réussie menée par un bot, puis deviennent une partie du botnet derrière. Les portes dérobées laissées par les attaquants peuvent être extrêmement difficiles à supprimer, ce qui peut laisser un site Web infecté sous le contrôle d'un attaquant pendant des mois, voire des années.

Faire partie d'un botnet peut nuire considérablement à la réputation de votre entreprise et entraîner des pertes financières massives et, dans certains cas, des implications juridiques à la suite de violations de données. La réduction de la surface d'attaque est essentielle pour assurer une protection suffisante contre les vecteurs d'attaque courants.

Configurer les mises à jour automatiques et installer le logiciel uniquement à partir de sources fiables

Les attaquants analysent constamment les sites Web à la recherche de vulnérabilités à exploiter. En ce qui concerne WordPress, la principale faille de sécurité exposant les sites Web à des compromis est un logiciel obsolète et peu fiable. Cela inclut le noyau WordPress, les thèmes et les plugins installés, ainsi que la version PHP utilisée.

Des mises à jour régulières sont publiées pour tous les aspects critiques de l'écosystème WordPress, corrigeant rapidement toutes les vulnérabilités critiques découvertes. Les sociétés de développement de plugins et de thèmes de confiance s'assurent de maintenir un haut niveau de sécurité pour leurs produits.

La configuration des mises à jour logicielles automatiques est un élément important pour assurer la sécurité de votre site Web WordPress. iThemes Security Pro peut suivre toutes les mises à jour du noyau, des plug-ins et des thèmes et installer automatiquement les nouvelles versions des logiciels publiés. Si vous possédez plus d'un blog ou site Web d'entreprise construit sur WordPress, iThemes Sync Pro fournit un tableau de bord unique pour travailler avec les mises à jour et suivre la disponibilité et les mesures de référencement sur tous les sites Web que vous gérez.

Configurer l'authentification multifacteur

Les attaques par force brute dirigées par des bots ciblant WordPress ont un taux de réussite étonnamment élevé. L'accès au tableau de bord d'administration de WordPress donne à l'attaquant un contrôle total sur votre site Web. L'utilisation d'une authentification basée uniquement sur un mot de passe signifie que les pirates ne sont qu'à un pas de réussir à vous faire passer pour le propriétaire légitime du site Web.

Les mots de passe sont cassés et les attaques par force brute menées par des botnets peuvent casser assez facilement votre compte administrateur WordPress. L'utilisation de l'authentification multifacteur, telle que les clés d'accès avec authentification biométrique offerte par iThemes Security Pro, élimine efficacement le risque de prendre le contrôle de votre compte administrateur à la suite d'une attaque par force brute réussie.

Utiliser un pare-feu d'application Web

Les pare-feu d'applications Web basés sur le cloud et sur l'hôte constituent une première ligne de défense solide contre la grande majorité des cyberattaques distribuées pilotées par des bots ciblant les sites Web WordPress. En filtrant les requêtes Web malveillantes correspondant à des modèles connus, les WAF peuvent atténuer avec succès les attaques par déni de service et par force brute, ainsi que les attaques par injection de données telles que les injections SQL.

Configurez un pare-feu d'application Web robuste avec un certain nombre d'ensembles de règles gérés. Ceci, combiné à l'utilisation de l'authentification multifacteur, réduira considérablement la surface d'attaque et la probabilité que votre site Web WordPress devienne une partie d'un réseau de bots.

Laissez iThemes Security Pro protéger votre site WordPress

Les botnets sont à l'origine de la plupart des cyberattaques à grande échelle lancées sur Internet. À l'aide d'un réseau hautement distribué de bots, les pirates effectuent un large éventail d'activités frauduleuses, allant des attaques par déni de service au vol de données. Les botnets étendent constamment leur infrastructure en distribuant un type spécial de malware visant à obtenir un contrôle total sur les appareils des victimes.

Les ordinateurs zombies établissent un canal de combinaison avec l'appareil du maître du bot, connu sous le nom de serveur de commande et de contrôle, qui sera utilisé pour envoyer et recevoir d'autres instructions. Pour éviter les poursuites, les propriétaires de botnets utilisent une gamme de techniques sophistiquées qui leur permettent de rester anonymes.

Les sites Web WordPress sont la cible numéro un des botnets. La réduction de la surface d'attaque en corrigeant régulièrement les vulnérabilités, en utilisant un pare-feu d'application Web et en configurant l'authentification multifacteur est la norme de sécurité pour défendre WordPress contre les attaques de bots.

Avec trente façons de protéger les zones critiques de votre site Web WordPress, iThemes Security Pro peut devenir votre assistant de sécurité personnel. La combinaison de la puissance du plugin de sécurité avec une stratégie de sauvegarde solide que BackupBuddy peut vous aider à construire vous aidera à atteindre un haut niveau de sécurité pour votre entreprise et ses clients.