À la Botconf, la lutte contre les botnets à l’heure de l’intelligence artificielle

Du classement des malwares à la suppression automatique des serveurs pirate, la lutte contre les botnets gagne peu à peu en automatisme. C'est la direction pointée par de nombreux projets lors de la dernière édition de la Botconf, à laquelle nous étions début décembre.

Alors que l'intelligence artificielle est le mot à la mode chez les multinationales et dans la French Tech, elle trouve de plus en plus d'applications dans la lutte contre les réseaux d'appareils zombies (botnets). Du 6 au 8 décembre, Montpellier accueillait la Botconf, un événement annuel à portée internationale destiné à présenter les expériences et outils d'universitaires et de ceux chargés au quotidien de cette lutte, chez les forces de l'ordre ou des sociétés de sécurité.

L'événement, que nous couvrons pour la quatrième année, est devenu l'occasion d'annonces spécifiques. Avast y a ainsi libéré un outil de décorticage automatique de malwares, un peu avant les débuts officiels de Malpedia, une nouvelle base de données de malwares, inspirée par une présentation d'une édition précédente.

Un organisateur constate aussi cet élargissement des botnets à la compréhension des malwares. « Oui, la thématique a un peu dévié. Le malware est la partie visible de l'iceberg. Les présentations parlaient tout de même beaucoup de l'écosystème, de l'économie de ceux qui propagent les malwares, ou de ceux qui revendent des accès à des machines compromises pour faire du rebond, du proxy, du spam, de la fraude publicitaire... Le botnet est moins visible cette année, mais en filigrane dans toutes les présentations ».

L'IA, une aide de plus en plus concrète contre les botnets

Pour ce responsable de l'événement, « la tendance montante est le machine learning. Là, on l'a vraiment sentie dans les papiers ». Ce n'est rien de le dire. Il y a encore trois ans, les projets présentés tenaient plus de la recherche que de l'utilisation au quotidien. Fin 2014, deux doctorants présentaient ainsi « une approche par graphe pour détecter des botnets » (PDF), à partir des noms de domaine générés par les nœuds des réseaux zombies, et utilisés pour communiquer. 

Le 6 décembre, le chercheur Sébastien Larinier et Robert Erra, responsable du laboratoire sécurité d'EPITA, présentaient une expérimentation pour classer deux millions d'échantillons de malwares avec des outils accessibles, coordonnés via des scripts Python. La conférence soulignait la difficulté d'appliquer l'apprentissage automatique (machine learning) au malware, un domaine pour lequel les critères de sélection et labels sont encore à construire.

« Le machine learning est très bien théorisé. Il faut l'adapter aux spécificités de l'analyse de malware. Le machine learning traditionnel vient de la bio-informatique par exemple. Ils ont déjà plein d'observations, leurs jeux de données avec les bons labels. [En sécurité informatique,] nous n'avons pas forcément ces labels » analyse l'organisateur que nous avons interrogé.

L'approche ici est donc de multiplier les essais de rapprochements, puis d'identifier certains malwares pour donner du sens à ce qu'a produit la machine. Le travail sur de larges bases de données est aussi le sens de Malpedia, qui ambitionne de devenir un point de référence pour l'analyse de ces logiciels, en fournissant des données et une classification commune à l'industrie, alors que les grandes bases (comme VirusTotal) ou le nommage des malwares sont aujourd'hui surtout le fait de sociétés privées.

Automatiser la protection des réseaux face aux botnets

Cela ne veut pas dire que ces derniers ne s'ouvrent pas. La Botconf a été l'occasion de libérer le code de  Retargetable Decompiler (dit RetDec), un système de décompilation de malwares en développement depuis sept ans chez AVG, acquis par Avast fin 2016. Un chercheur peut lui faire ingurgiter (presque) n'importe quel malware, pour en obtenir une version en C facilement lisible. « Chez Avast, RetDec est activement utilisé pour l'analyse d'échantillons pour diverses plateformes, comme x86/PE et ARM/ELF » affirme la société dans un billet de blog.

Cette ouverture des ressources pourrait bénéficier aux plus petits acteurs, alors que les outils de travail et bases de connaissances des menaces sont un levier de recrutement important pour les sociétés de sécurité.

D'autres présentations montraient des utilisations très concrètes de l'automatisation. Jarosław Jedynak et Paweł Srokosz du CERT polonais montraient ainsi leurs outils pour imiter un malware avec des scripts, plutôt que d'émuler un vrai appareil infecté, pour faciliter l'infiltration dans des botnets, avec les cas du cheval de Troie bancaire Nymaim et de Smokeloader, un outil destiné à charger des malwares sur une machine.

Peu après, OVH présentait sa méthode pour automatiser la suppression des serveurs de contrôle de botnets que son réseau peut héberger. L'outil s'appuie sur des pots de miel, soit des machines vulnérables destinées à attirer les malwares. Ces derniers sont analysés pour trouver le serveur qui le contrôle. S'il est chez OVH, la mise hors ligne peut être automatisée.

Felix Aimé de Kaspersky montrait KnightCrawler, un outil de découverte de « waterholes », qui a permis de trouver de nombreuses campagnes. Qu'est-ce qu'un « waterhole » ? Un piège posé sur un outil ou service, utilisé pour atteindre une cible très difficile à attaquer de front.

Une autre conférence, elle, détaillait « un modèle de corrélation de noms de domaine par machine learning », censée identifier ceux derrière lesquels se cachent des serveurs contrôlant des botnets, bien plus rapidement que les méthodes habituelles.

Un besoin d'automatisation, et des limites

Car l'enjeu est bien là. Les botnets s'appuient sur des outils qui permettent de changer en un claquement de doigts le serveur donnant les ordres à des dizaines ou centaines de milliers d'appareils infectés, voire de passer d'une juridiction légale à une autre aussi rapidement.

Les forces de l'ordre et équipes de sécurité sont encore souvent incapables de suivre les changements rapides de ces infrastructures. Chaque automatisation pour analyser un malware ou repérer rapidement des communications est donc considérée comme précieuse.

Un sujet récurrent, désormais l'objet de nombreuses plaisanteries à la Botconf, concerne les algorithmes de génération de noms de domaine, sur lesquels nous écrivions il y a trois ans. C'est l'une des parties les plus mouvantes, au coeur de la coordination des botnets, donc de leur disruption.

Encore cette année, les limites de leur analyse étaient montrées. Certains algorithmes utilisent des noms avec un fort potentiel de faux positifs pour ceux qui voudraient dérouler toutes leurs possibilités, pour les bloquer en masse. En exemple, était cité akamai.com, l'un des principaux réseaux de livraison de contenu (CDN) mondiaux. Un autre, celui de Bedep, limite tout « déroulage » en amont, en générant ses noms de domaine en fonction des taux de change, imprévisibles.

Au-delà des outils, les enquêtes

La Botconf est aussi un retour sur l'année écoulée, en matière de recherche concrète sur les botnets. 2017 a été marqué par plusieurs de ces réseaux, comme le désormais connu Necurs (distribuant le rançongiciel Locky), Nymaim (décortiqué techniquement lors de l'événement) ou encore Stantinko, « une campagne d'adware œuvrant discrètement depuis 2012 ». 

Le chercheur Paul Rascagnères de Cisco a, lui, détaillé l'enquête de Talos sur le malware NotPetya, au cœur de la destruction d'infrastructures informatiques, en bonne partie en Ukraine en juin. Il montre entre autres l'importance de la diffusion d'informations dans ces périodes de tension, où les chercheurs sont à l'affût d'indices pouvant les aiguiller.

Au-delà des professionnels, ces chroniques peuvent servir aux universitaires présents à l'événement... dont le but principal est la rencontre entre les mondes de la sécurité, académique et des forces de l'ordre. « Quand on fait de la recherche, on part sur des solutions qui ne sont pas toujours techniquement applicables, parce qu'on n'a pas en tête les contraintes du quotidien que peuvent avoir les CERT par exemple, qui font de la réponse à incident au quotidien » estime un des organisateurs, pour qui ces discussions publiques peuvent lancer des projets, voire susciter des vocations.

La Botconf est aussi saluée par les participants pour la qualité de son organisation, notamment des repas, au point d'être parfois renommée « BouffeConf ». Cette année ne fait pas exception, avec une soirée à l'aquarium de Montpellier, Mare Nostrum. Notre participation au podcast NoLimitSecu, présent à l'événement, est un gage de cette ambiance.

This is #botconf : food and eventually security presentations. https://t.co/NeEcV8cL3O

— Heat Miser ♻︎ (@H_Miser) 6 décembre 2017

Dans les prochaines semaines, nous aurons l'occasion de revenir en détail sur certaines de ces présentations et entretiens menés lors de l'événement. La sixième édition se déroulera du 6 au 8 décembre à Toulouse, les inscriptions ouvriront en septembre.