Deux articles sur le camouflage des outils de « télécommande » destinés aux botnets viennent d’être publiés, l’un par deux chercheurs de Dell SecureWorks et CrowdStrike (Pierre-Marc Bureau et Christian Dietrich), l’autre par Artturi Lehtiö de F-Secure. Deux enquêtes sur les astuces les plus échevelées que développent aussi bien les grands réseaux mafieux que les services de renseignement de quelques Etats-Nation impliqués dans les actes de cyber-guerre.
Le papier Dell/CrowsStrike se focalise sur l’usage de la stéganographie pour véhiculer les ordres du C&C. Stegoloader cache son code dans les fichiers PNG, Lurk dans les BMP et Gozi dans les icones Windows résument à la fois l’article du blog de Dell et la série d’écrans de présentation utilisée lors de la Black Hat Europe qui s’est achevée la semaine passée.
Cette utilisation hors norme des images comme couche de transport n’est pas sans rappeler les travaux que Saumil Shah à l’occasion de la première NoSuchCon. Les conclusions d’alors sont toujours valables : il est vain de vouloir filtrer toutes les images du Web pour en détecter une commande cryptique. Et il est presque aussi difficile d’envisager de détourner le botnet ainsi piloté, puisque les vecteurs de diffusion potentiels sont innombrables et leurs serveurs d’hébergement généralement profondément cachés dans le code du Bot.
Artturi Lehtiö, de son côté, destinait la publication de ses recherches au Virus Bulletin. Il s’agit là encore d’une analyse des techniques de camouflage des échanges entre C&C et machine zombifiée, mais en utilisant cette fois réseaux sociaux et autres services en ligne. Cela va du simple fichier hébergé sur Google Doc (Backdoor.Makadocs), au message discret (mais public) envoyé sur Twitter (Janicab). Cette approche avait été pressentie et décrite dès 2010 par Ziv Gadot et Itzik Kotler lors de la conférence Hackito Ergo Sum de 2010, puis de plus en plus largement utilisée par le côté obscur de la force, ainsi ce botnet visant la sphère Apple et qui lisait les articles de Reddit, ou cette infection Android qui allait se repaître dans les espaces infinis de la blogosphère (étude conduite en 2011 déjà ).
Mais le summum de la duplicité, expliquent le chercheur, c’est lorsque le C&C d’OnionDuke utilise Twitter pour y émettre des mises à jour elles-mêmes camouflées dans une image postée. Stéganographie et réseaux sociaux, le mélange est détonnant.
Et Lehtiö d’énumérer les vecteurs de pilotage : Skype, Facebook, Google Calendar, Yahoo mail, Google Talk, MSN Messenger, et, lorsque le botnet cible les équipements mobiles, les ordres sont transmis par Baidu, ou les push du Google’s Cloud Messaging. Les données extraites suivent un chemin comparable, plus adapté au volume de l’information. Microsoft Onedrive, par exemple, ou Cloudme.com.