Comment définir un botnet ? | Détection et atténuation des attaques de botnet

Comment définir un botnet ?

Un botnet se compose de multiples appareils connectés à Internet, comme les smartphones ou les appareils IoT, dont chacun exécute un ou plusieurs bots. Les propriétaires de botnets les contrôlent à l'aide de logiciels de C&C (commande et contrôle) afin d'exécuter diverses activités (le plus souvent malveillantes) qui requièrent une automatisation à grande échelle. Ces activités incluent :

  • les attaques par déni de service distribué (DDoS) qui provoquent des interruptions d'applications imprévues ;
  • la validation de listes d'informations de connexion dérobées (attaques de type « credential stuffing ») conduisant à la prise de contrôle des comptes ;
  • les attaques d'applications Web dans le but de voler des données ;
  • la mise à la disposition des pirates de l'accès à un appareil et à sa connexion à un réseau.
Les botnets sont de plus en plus souvent loués par les cybercriminels dans le cadre de nombreuses activités et constituent une menace pour n'importe quelle entreprise présente sur Internet. Cela signifie que les pirates n'ont plus besoin de l'expertise nécessaire pour constituer leurs propres botnets : il peuvent utiliser des botnets déjà créés par de tierces personnes.

Combien de bots un botnet comporte-t-il ?

Le nombre de bots varie d'un botnet à l'autre et dépend de la capacité du propriétaire du botnet à infecter des appareils non protégés. Quelques exemples :

Le botnet Mirai

Lorsque le botnet Mirai a été découvert en septembre 2016, Akamai était l'une de ses premières cibles. Par la suite, notre plateforme a continué à recevoir des attaques provenant du botnet Mirai et à s’en prémunir avec succès. Les recherches d’Akamai montrent clairement que Mirai, comme de nombreux autres botnets, contribue désormais à la démocratisation des DDoS. En effet, nous avons constaté que de nombreux nœuds C&C du botnet menaient des « attaques dédiées » contre des adresses IP sélectionnées, mais qu’un nombre encore plus important de nœuds participaient quant à eux à ce que l'on pourrait considérer comme des attaques de type « pay-for-play ». Dans ces situations, les nœuds C&C de Mirai attaquaient des adresses IP pendant un court instant avant de se désactiver pour mieux réapparaître ensuite afin d'attaquer des cibles différentes. En savoir plus sur le botnet Mirai.

Le logiciel malveillant PBot

Le logiciel malveillant PBot, responsable d'attaques DDoS, sévit de nouveau et est à l'origine des attaques DDoS les plus puissantes constatées par Akamai au cours du deuxième trimestre 2017. Dans le cas de PBot, des malfaiteurs ont utilisé un code PHP qui date de plusieurs décennies pour générer une attaque DDoS de grande ampleur. Les pirates ont réussi à créer un mini-botnet DDoS capable de lancer une attaque DDoS de 75 Gbit/s. Curieusement, le botnet PBot ne comprenait que 400 nœuds, mais ce nombre relativement faible fut suffisant pour générer un trafic d'attaque élevé. En savoir plus sur le logiciel malveillant PBot.

Se protéger contre les botnets

Il est important de comprendre qu'un botnet est simplement un ensemble d'appareils connectés à Internet sous les commandes et le contrôle d'un propriétaire de botnet. En tant que tel, un botnet peut être utilisé pour lancer différents types d'attaques, chacune pouvant nécessiter un type de protection différent. Akamai fournit plusieurs solutions de sécurité dans le cloud pour la détection des botnets et la protection contre leurs attaques :