Connexion
Abonnez-vous

Comment les botnets génèrent leurs noms de domaines

Avec un random() ?

Comment les botnets génèrent leurs noms de domaines

Le 09 janvier 2015 à 17h00

Qu’ils servent à voler des données, à espionner ou à bloquer un site web, les réseaux d’ordinateurs zombies (botnets) exploitent des serveurs de contrôle, généralement en annexant un nom de domaine. Comment les pirates réalisent-ils cette opération ? Que font les autorités ? Comment ces activités sont-elles identifiées ? Nous avons tenté d'en savoir plus.

Début décembre se tenait la Botconf, un évènement de trois jours qui réunissait 200 spécialistes de la lutte contre les botnets à Nancy (voir notre entretien). Un botnet, c’est un réseau d’ordinateurs infectés par un malware et contrôlés à distance, par dizaines, centaines ou milliers, par un ou plusieurs serveurs. Au fil des conférences à Nancy, un sujet revenait sans cesse : les noms de domaine utilisés par les pirates pour contacter et contrôler ces ordinateurs infectés. Qu’ils soient volés ou créés, uniques ou générés à la chaine, les noms de domaine sont au centre de la communication de nombreux botnets et compliquent le travail de ceux qui luttent contre ces réseaux.

Un pirate a deux moyens principaux d’obtenir un nom de domaine, le voler ou l’enregistrer lui-même. Dans le cas du vol, la méthode est assez simple, puisqu'il suffit de trouver le mot de passe du propriétaire sur le site du bureau d’enregistrement et détourner le nom de domaine. Dans le cas de la création d’un nom de domaine, plusieurs solutions s’offrent au pirate, dont deux principales : la créer manuellement ou en masse, grâce à un algorithme de génération de noms de domaines (DGA) quasi-aléatoire.

Dans le premier cas, il suffit d’enregistrer un nom de domaine comme n’importe qui le ferait, à la différence que les coordonnées sont fausses, la carte de crédit servant au paiement très sûrement volée et la connexion sûrement masquée par un proxy, un VPN ou Tor. C’est dans le second cas que les conditions deviennent particulières : la génération automatique de noms de domaine par le botnet lui-même, qui sont ensuite réservés via les API proposées par bon nombre de bureaux d’enregistrement.

De Conficker à Cryptolocker, le casse-tête de l’automatisation

« Le phénomène DGA a commencé avec Conficker, en 2008. L’avantage était que les noms de domaine n’étaient pas écrits en dur dans le code du malware. Donc si vous voyez le malware, vous ne pouvez pas juste trouver les noms et les bloquer », nous expliquait début décembre Dhia Mahjoub, chercheur en sécurité chez OpenDNS. « Les noms de domaine sont générés sur l’hôte infecté, à partir d’une synchronisation (par date ou autre). Ils peuvent se connecter à un site, récupérer une ‘charge’ (seed) et générer le domaine. C’est un moyen d’être plus résilient. C’est devenu une bonne pratique, très efficace », poursuit-il.

Il est donc classique qu’un botnet ait son propre algorithme de génération de noms de domaine, plus ou moins compliqué. Généralement, ils donnent une longue suite de chiffres et lettres illisibles, suivie d’une extension que seul un robot pourrait générer ou reconnaitre. Pour Dhia Mahjoub, même si cette technique paraît « vieille école » désormais, elle reste toujours efficace. « Par exemple, ils ont fait tomber ZeuS/GameOver, il est revenu et il utilise toujours un DGA », explique le spécialiste.

Même dans le cas de réseaux de bots qui se contrôlent « entre eux », en pair-à-pair, comme ZeuS, le DGA est toujours utile. Si le PC infecté n’arrive plus à se connecter au réseau formé par ses pairs, il peut se rabattre sur un serveur de contrôle sur l’Internet public, en générant un nom de domaine au passage.

La génération automatisée de noms peut aussi s’intégrer à des méthodes plus avancées, comme le « fast flux ». Le principe : au lieu d’avoir un serveur unique derrière chaque nom de domaine, il peut se cacher des dizaines d’ordinateurs du botnet qui deviennent à tour de rôle le serveur de contrôle. Certains réseaux, qui utilisent simultanément des dizaines de noms de domaines, peuvent ainsi devenir extrêmement difficiles à faire tomber, avec des noms de domaine et des serveurs qui changent constamment et aléatoirement.

L’un des cas les plus emblématiques est le malware Cryptolocker, un rançongiciel qui infecte un PC et chiffre tous les fichiers qu’il peut atteindre (sur l’ordinateur ou le réseau). Une fois les documents chiffrés, il demande une rançon à payer sous quelques jours pour débloquer l’ordinateur et le contenu, sous peine de tout perdre. Ce logiciel, qui récupère la clé de chiffrement des documents à partir d’un serveur, peut générer jusqu’à 1 000 noms de domaine par jour. Des noms aléatoires qui ne sont utilisés que pour la journée. En toute logique, un vrai cauchemar.

Comment lutter contre les DGA

Il existe pourtant un moyen de contrer Cryptolocker, pour un effort minime : prévoir quels domaines il va générer. « On a constaté que la première chose que faisait Cryptolocker une fois sur une machine, c’était de se connecter à un des domaines générés pour cette journée pour rapatrier la clé dont il avait besoin pour chiffrer tous les fichiers. S’il ne rapatrie pas la clé, il ne chiffre rien », explique Thomas Chopitea, de l’équipe de réponse à incident (CERT) de la Société Générale. « On a pris ce DGA, on l’a déroulé sur ce qui restait de l’année 2013 et sur l’année 2014 en lançant l'algorithme avec différents paramètres (jour, mois, années) et on a demandé à bloquer [sur le réseau de l’entreprise] les noms qui allaient être générés », affirme-t-il.

Cette méthode n’est pourtant pas la panacée. Elle exploite une faiblesse de Cryptolocker que d’autres rançongiciels n’ont pas, par exemple s’ils génèrent eux-mêmes la clé de chiffrement. Connaitre les noms à venir reste tout de même très utile. C’est pour ça que l’institut Fraunhofer a présenté « DGArchive » à la Botconf de décembre ; une base de données déroulant les noms de domaine qui seront générés par les principaux algorithmes en circulation.

La prévisibilité n’est pas l’un des seuls problèmes des botnets. L’autre est que les algorithmes génèrent des adresses très reconnaissables. « Ceux qui travaillent là-dessus savent reconnaitre d’un clin d’œil à quel botnet correspond une URL », nous expliquait en décembre Éric Freyssinet, chef de la division de lutte contre la cybercriminalité au sein du pôle judiciaire de la gendarmerie nationale dans un long entretien.

C’est pour cela que des domaines à l’apparence plus naturelle commencent à voir le jour, utilisant des mots du dictionnaire, des noms propres, voire des listes d’employés d’organisations et d’entreprises. « Si on prend un DGA qui génère des noms complètement au hasard, on est très vulnérable à des analyses assez simples, comme le pourcentage de voyelles ou de consonnes. C’est donc normal d’utiliser les algorithmes qu’on a maintenant pour produire des choses qui ont l’air plus vraisemblables », affirme le spécialiste des noms de domaine Stéphane Bortzmeyer.

Reste deux grandes forces à ces algorithmes : les noms de domaine générés utilisent des extensions du monde entier, et les noms utilisés ne le sont que pour une période de temps très courte. Sur le premier point, l’illustration nous vient de la « National Crime Agency » anglaise (PDF), quand elle a fait tomber le réseau derrière Cryptolocker à la mi-2014. L’agence a dû se coordonner avec ses homologues d’autres pays pour atteindre l’ensemble des domaines générés, qui utilisaient sept extensions (.com, .net, .org, .co.uk, .ru…). En clair, si les pirates ont pu générer très facilement des noms qui dépendent de trois pays différents (Etats-Unis, Angleterre et Russie), les empêcher de nuire a dû demander une coordination large, dans un processus long.

Botnets

Vu par les bureaux d’enregistrement

L’autre souci est que les domaines sont utilisés au mieux quelques jours, au pire moins d’une journée. D’habitude, si une activité malveillante passe par un nom de domaine, le bureau d’enregistrement est contacté pour que le domaine soit supprimé, souvent sous quelques jours. Dans le cas de botnet qui génèrent et changent fréquemment de domaines, comme Cryptolocker, « on ne va pas vraiment chercher le takedown. Cela dure 24 h et le lendemain on aura exactement le même problème. Ça brûle beaucoup de ressources pour rien » analyse Thomas Chopitea de la Société Générale. Dans ce cas, les solutions alternatives comme bloquer à l’avance les noms générés s’imposent.

En discutant avec ces spécialistes, deux profils de bureaux d’enregistrement de noms se dégagent. D’abord, les bureaux de bonne foi dont le système est abusé par des pirates et qui vont tenter de remédier au problème, dans la limite de leurs moyens (en personnel, en marge légale…). Ensuite, ceux qui n’ont que peu d’intérêt à traiter les demandes, soit les ignorent, soit les font trainer.

Des bureaux se disent (relativement) épargnés, à l'image de Gandi. « Il est compliqué d’automatiser la création en masse de domaines chez nous. Ca restreint la possibilité des bots. Il y a trop d’infos à donner. Il y a une cohérence des données vérifiée, même via l’API. Par exemple, on refuse la création si le nom de ville ne correspond pas au code postal. On vérifie aussi a posteriori que les données ne sont pas le copier-coller d'un bottin (souvent de petites villes, pour être le plus discret possible). Il y a d'autres indices, comme les adresses IP utilisées pour enregistrer, le fait que l'adresse DNS soit celle du domaine et non d'un serveur DNS externe ou des informations 'trop propres' et complètes à l'inscription », détaille Alexandre Hugla, responsable du département "abuse" de Gandi. « Ca n’empêche pas qu’on ait des noms de domaine pour ça, de manière plutôt ponctuelle et saisonnière. En tout, les noms utilisés pour des botnets représentent 5 % de nos signalements, avec un volume bien moindre qu'en 2006 par exemple », pondère-t-il.

« Toute personne qui est dans l’industrie du nom de domaine peut nommer des bureaux d’enregistrement ‘connus’. Mais ça ne repose pas toujours sur une analyse scientifique » affirme Stéphane Bortzmeyer. « Peut-être que les bureaux choisis par les criminels sont plus efficaces » sur des critères comme la vitesse d'enregistrement et la lenteur à s'apercevoir de l'usage des domaines, continue-t-il. « Les méchants collaborent entre eux, échangent des informations, donc dès qu’il y a un endroit où on dit 'Tu peux aller à tel bureau, c’est cool', tout le monde s’y précipite. En général, d’ailleurs, ça tourne très vite : tout le monde se précipite au même endroit, le bureau prend des mesures et tape dans le tas, et après tout le monde migre à un autre », affirme M. Bortzmeyer.

Difficile de collaborer avec les bureaux d’enregistrement

Une solution : contourner le circuit officiel. « Habituellement, si vous voulez que les choses aillent vite, vous devez envoyer un email à quelqu’un que vous connaissez, qu’il puisse les fermer en quelques heures », continue Dhia Mahjoub. Une méthode également utilisée par Thomas Chopitea. « C’est bien le problème des procédures de ces entreprises. De même pour les FAI. Tu as des entreprises qui répondent sous 24 h à 48 h, d’autres où c’est plus long, un trou noir. Dans ces cas, il vaut mieux avoir une personne de confiance ou mettre en copie le responsable » concorde Alexandre Hugla de Gandi. En cause, selon lui, l'absence de règles pour la gestion des requêtes liées aux abus, qui est laissée à la discrétion de chaque acteur. « En France, il existe depuis trois ans un groupe de travail avec bureaux d'enregistrement, FAI et entreprises de haut niveau » pour pallier ce problème, affirme-t-il.

Certains des bureaux jugés « peu coopératifs » feraient de ces activités criminelles un business, avec d’éventuelles spécialités par pays. « Malheureusement, dans certains pays, les choses ne bougent pas aussi vite qu’elles le devraient. En Europe par exemple, aux Pays-Bas, en Allemagne ou en Suisse, des registrars vont répondre très rapidement. Chez d’autres, ils ne vont pas avoir assez de personnel dédié ou ils s’en fichent … Par exemple parce qu’ils reçoivent des dessous de table » suppose Dhia Mahjoub d’OpenDNS. « En circuit normal d’alerte ‘abuse’, vous pouvez attendre une semaine… Ils peuvent même transférer la requête ‘abuse’ au criminel derrière, qui peut tout supprimer. Il disparaitra » insiste le chercheur en sécurité.

Une analyse que ne partage pas Stéphane Bortzmeyer, pour qui un bureau trop connu pour ce type d’activité serait facilement blacklisté. De même, pointer certains pays peut relever d’un « biais d’observation » des spécialistes. « Alors c’est vrai qu’il y a des pays avec plus de problèmes, mais ça dépend encore des dangers qu’on voit », précise-t-il.

Dans l’absolu, qu’y peuvent les autorités comme l’ICANN, qui gère les ressources d’Internet au niveau mondial ? Pas grand-chose selon certains experts, à l’image de Dhia Mahjoub, pour qui l'organisme peut difficilement voir ces activités et n’a pas une politique suffisamment répressive. « S’ils agissaient, ça créerait une sorte de précédent. Le problème, je pense, c’est que ça prend trop de temps et qu’il n’y a peut-être pas de suite. [Imaginons qu’on les ferme], les registrars [complices] vont peut-être réapparaitre ailleurs. Les mêmes personnes vont créer une autre entreprise... » affirme le chercheur d'OpenDNS.

« Sur du .com, j’ai vu passer des retraits d’autorisations de registrars avec une procédure : un avertissement, voire plusieurs pour non-respect des règles fixées par l’ICANN. On ne peut pas dire qu’il n’y a rien », modère Stéphane Bortzmeyer, pour qui les domaines sont un problème parmi d’autres. « D’autres algorithmes ne passent pas par des noms de domaine. Un algorithme de génération aléatoire passe par Twitter pour générer des hashtags et transmettre ses commandes. De même le service de notes anonymes Pastebin a déjà été utilisé. En fait tout système de communication peut servir. A partir du moment où on peut mettre quelque chose sur Internet, ça peut servir à ces communications », pèse enfin le spécialiste.

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Hello, merci.



C’est de cette façon qu’est géré le spam ?



N’est-il pas possible de faire comme avec les mot de passe en limitant le nombre d’enregistrement par minutes/heures/jours ?

votre avatar

Merci au pigiste. ;)

Dans le cas de twitter par exemple, ca peut se retrouver dans le code du botnet, et donc ensuite surveiller ou interdire le hashtag?

 

votre avatar

Super article, très intéressant.

votre avatar

Merci Guénaël Pépin :)

votre avatar

Cool.

Super article, clair, technique. Nickel.

 

votre avatar

De rien pour l’article. :)



Je n’ai pas de réponse précise mais il y a au moins deux points auquel je pense. Gandi me disait ne pas avoir le droit légalement de refuser une vente, donc les contrôles doivent se faire avant tout a posteriori, une fois le domaine enregistré et une réclamation reçue. Sur le second point, il doit sûrement y avoir des usages légaux qui mettent aussi à l’épreuve les API des registrars, quoi doivent être difficiles à dissocier de l’illégal, même si je ne saurais pas en citer.



Voilà voilà !

votre avatar

Merci à toi. :)



Sur ce cas précis, le hashtag était généralement aléatoirement selon la même technique : le serveur génère le le hashtag de son côté et les bots génèrent le même du leur pour le retrouver (si j’ai bien suivi les explications). Donc c’est très éphémère et marginal, sachant que des choses comme les bots de spam doivent être plus urgents pour Twitter concrètement.



J’imagine qu’on peut utiliser la même technique que pour les noms de domaine (“dérouler” les noms qui seront générés dans les mois à venir) mais il ne doit pas encore y avoir le besoin, tant c’est marginal. Même si je m’avance en disant ça.

votre avatar

ah ok, dans ce cas effectivement, ça peut être n’importe quelle suite de chars trainant sur n’importe quel site.

Ceci étant dit, les adresses des sites à surveiller pour le bot sont codés en durs elles?

 

C’est les mêmes méthodes pour les bots gouvernementaux? ou alors typiquement pour stuxnet le truc est en autonomie complète et c’est programmé en dur de se réveiller si il voit tel logiciel.



Il doit du coup y avoir pas mal d’ordis (XP?) infectés par des vieux codes qui passent leur temps à chercher leur maitre sans le trouver…

votre avatar

Exactement.




Je vais tenter l'explication globale. :) De base, le bot et le serveur n'ont pour adresse que leur adresse IP, (quasi) imprévisible. Il faut trouver un point de rendez-vous. En l'occurrence, un nom de domaine.      






 Donc, pourquoi un nom de domaine et non un sous-domaine ou un service de DNS dynamique comme no-ip ?      






Un nom de domaine unique est trop prévisible, un service de DNS dynamique est trop centralisé. Il suffirait de faire tomber le domaine ou comme Microsoft en juillet d'aller voir les services de DNS dynamique pour tout bloquer. Les noms de domaine, ça s'achète n'importe où, dans n'importe quel pays, à des entreprises qui ne sont pas toujours très surveillées. Une carte bancaire volée, ça coûte quelques euros et ça peut servir pendant une période suffisamment longue.      






Pour le domaine lui-même, les possibilités sont infinies. En utilisant un algorithme "aléatoire", seuls les bots sont censés découvrir quel est le nom de domaine généré (qui tombera au hasard sur "wxphewjnfhlyyjj.net" ?). En plus, le temps que le bureau d'enregistrement découvre que le site sert à un botnet, que les informations sont fausses ou que la carte bancaire a été volée (ce qui peut prendre plusieurs semaines...), le site aura depuis longtemps accompli sa mission.      






Le nom de domaine, c'est un point de rendez-vous retrouvable rapidement par le bot, facile à générer (notamment grâce aux API des bureaux d'enregistrement) sur lequel les contrôles se font a posteriori. Comme dit dans l'article, pour faire tomber un botnet utilisant plusieures extensions, il faut une coopération internationale, contacter un grand nombre d'acteurs pour empêcher les enregistrements et bloquer les domaines possibles chez l'utilisateur... Alors qu'en une seconde, le botnet génère son nom de domaine frauduleux et l'exploite sans délai.      






Voilà voilà. :)
votre avatar

Qui fait la loi sur les registars. Ils devraient être plus contrôlés et virés en cas d’abus. On devrait leur imposer de passer par un captcha pour obtenir un nom de domaine ça éviterait qu’une machine (et donc un bot) puisse en obtenir un aussi facilement. Mais bon, je ne fais pas trop d’illusions, c’est la loi du fric donc on fait au plus simple pour vendre un max de nom de domaine. Le jour où une agence gouvernementale tombera à cause d’un bot, on légiférera sur les registars.

votre avatar

Il suffit aux bots de changer de pays.

votre avatar

Je ne saurais pas répondre précisément. Il y a juste deux choses que j’ai compris. D’abord, que les registrars partout dans le monde sont soumis à des lois bien différentes, celles de leur pays. Donc ce qui sera illégal ou réprimé fortement dans un pays ne sera pas dans l’autre. C’est entre autres ces disparités qui ouvre un espace pour la criminalité. Ensuite, que les autorités “mondiales” type ICANN ont à la fois d’autres rôles et des procédures qui ne sont pas forcément adaptées à ce type de cas (comme dit, un registrar fermé pourra rouvrir à côté). Sans oublier que les registrars font partie d’une chaine de responsabilités qui n’a pas l’air si simple à démêler, entre registres mondiaux, locaux et registrars, mais je ne suis pas assez spécialiste.



Concernant le besoin de contrôle ou les captcha, difficile de savoir dans quelle mesure ce serait efficace. C’est une partie des discussions que j’ai eu mais ça tenait plus du débat sur le principe (les libertés, les contournements) que sur du concret. 

votre avatar

Merci pour tes réponses. :)

votre avatar

(Désolé pour les fautes, le week-end va aider. :))



En fait, le principe du DGA c’est que chaque acteur (le serveur de contrôle et le bot) génèrent chacun de son côté les noms de domaine selon des paramètres précis (comme la date). A partir de ça, le bot va tester les possibilités qu’il a généré jusqu’à trouver le serveur, si j’ai bien saisi. Donc on peut effectivement trouver les URL à l’avance en fournissant de fausses infos au bot (comme les dates des prochains mois).



Je ne saurais pas dire comment les bots gouvernementaux contactent leurs serveurs, honnêtement. Selon le FBI, le bot “nord-coréen” qui a attaqué Sony avait bien une adresse IP écrite en dur, mais c’est à prendre avec d’énormes pincettes.



Concernant les bots qui cherchent en vain le serveur, il me semble que ça existe bien. Quand les forces de l’ordre font tomber un réseau (en empêchant la génération des noms de domaine ou en installant de faux serveurs de contrôle aux adresses indiquées), ils lancent également des campagnes de désinfection quand ils peuvent pour éviter d’avoir le logiciel qui tourne toujours chez l’utilisateur. C’est ce qui s’est passé avec Cryptolocker au Royaume-Uni. Le danger étant peut-être (je m’avance encore) qu’un réseau soit remonté et ces bots réutilisés.

votre avatar

Avec un randsom() <img data-src=" />

votre avatar

J’avais tenté un EDIT mais c’est pas passé.



En bref je soulignais que le merci est à vous, d’avoir les couilles de faire des articles qui ne rapportent pas directement, avec peu de PDM et une grande qualité d’information. Peu de gens sont a même de lire jusqu’au bout et de comprendre.



C’est des heures de travail réel et concret derrière il me semble déjà pour connaitre le sujet, et il faut encore y ajouter la volonté de vulgariser ensuite. Je ne connais pas ton métier de fond et ta formation.

Moi par exemple je suis censuré par les NDAs et je ne suis pas trop porté sur le rédactionnel.

un site concurrent avait tenté une approche similaire avec des dossiers bien poussés, que j’appréciais.



Et le petit plus c’est que tu es dispo ensuite pour en parler, on est pas loin du blog de passionné désintéressé.

Donc merci pour ton temps.

<img data-src=" />

&nbsp;

PS: Je me suis bouffé du 20minutes ces derniers jours, j’en reste meurtri. <img data-src=" />Plus jamais!

votre avatar

<img data-src=" />

votre avatar

Article intéressant, à la fois technique et grand public, précis, bien sourcé, analysé : du très bon travail !



Ca valait presque le coup de le mettre en accès “Abonnés en accès libre”, pour bien faire comprendre ce qu’ils manquent à ceux qui trouvent toujours des prétextes pour ne pas passer à la caisse.



<img data-src=" />

votre avatar

Comme tous les articles produit grâce aux abonnés, il sera disponible à tous dans un second temps ;)

votre avatar







David_L a écrit :



Comme tous les articles produit grâce aux abonnés, il sera disponible à tous dans un second temps ;)





Celui là c’est du lourd.

Il a raison, faites en la promotion, vous y gagnerez.


votre avatar

Très bon article ! Ça me dépasse un peu, mais je préfère ça à l’inverse.

votre avatar







Quiproquo a écrit :



Article intéressant, à la fois technique et grand public, précis, bien sourcé, analysé : du très bon travail !





Que dire de plus ?! Bravo !


votre avatar

Excellent article, qui n’est pas du pré-mâché ni du pré-digéré.

C’est exactement ce genre d’articles (1 toutes les semaines ? toutes les 2 semaines?) qui font que je suis très content de payer mon abonnement.



J’attends la suite du sujet avec impatience, je trouve ce monde des botnets très intéressant. Tout comme TOR, Freenet, etc.

votre avatar

Du coup, je ne sais plus si l’infrastructure actuelle des regitres est une bonne ou une mauvaise chose.



Si le principe assez “simple” des DNS permet de lutter contre les botnets, il permet aussi facilement le blocage (dns) d’un site par un pirate ou une instance gouvernementale, industrielle, …



Une infrastructure plus décentralisée/sécurisée assurerait un réseau plus robuste au blocage/censure, mais rendrait plus difficile la lutte contre les botnets.


votre avatar

&nbsp;Idem super article.

Sujet inattendu et très interessant. <img data-src=" />

votre avatar

Mais il les payent ces noms de domaine? A coup de 10€ par NDD plusieurs fois par jour (pour certains) ils arrivent à être rentable? Et ils ont vraiment besoin de NDD pour communiquer?

votre avatar







News a écrit :



la carte de crédit servant au paiement très sûrement volée



votre avatar







Xhell a écrit :



Mais il les payent ces noms de domaine? A coup de 10€ par NDD plusieurs fois par jour (pour certains) ils arrivent à être rentable? Et ils ont vraiment besoin de NDD pour communiquer?






 Alors je pense ne pas me tromper en disant que oui ils payent les NDD. Déjà, il existe des registrars moins chers que d'autres pour le même service de base, mais surtout, un gros botnet peut potentiellement générer plusieurs dizaines de milliers de dollars par jour, donc le coût des NDD devient vite négligeable. (Il me semble qu'une machine zombie se loue quelque chose comme 10 centimes de dollar / jour grosso modo)    






Par contre effectivement, ce qui m'interpelle également c'est ce besoin de NDD pour communiquer... Le DNS est une facilité pour l'humain, pas pour la machine, donc pourquoi un NDD plutôt qu'une IP ?&nbsp;

votre avatar







Prndndrd a écrit :



Par contre effectivement, ce qui m’interpelle également c’est ce besoin de NDD pour communiquer… Le DNS est une facilité pour l’humain, pas pour la machine, donc pourquoi un NDD plutôt qu’une IP ?&nbsp;





Parce que ce sont des machines piratées qui s’enregistrent dans le botnet.

Les IP ne peuvent pas être connues à l’avance.


Comment les botnets génèrent leurs noms de domaines

  • De Conficker à Cryptolocker, le casse-tête de l’automatisation

  • Comment lutter contre les DGA

  • Vu par les bureaux d’enregistrement

  • Difficile de collaborer avec les bureaux d’enregistrement

Fermer