Un pirate qui effectue une attaque met souvent en place des méthodes de protection pour éviter qu’on puisse remonter jusqu’à lui. L’arrestation de ces criminels n’en est que plus complexe surtout lorsqu’ils pratiquent leurs activités depuis des pays laxistes dans le domaine.
Dans l’article »http://www.nbs-system.com/blog/verizon-data-breach-report » publié sur ce même blog, il est fait allusion aux statistiques de Verizon qui nous montrent que dans la plupart des cas il reste possible de trouver des traces du pirate dans les logs des machines compromises. Toutefois, il convient de lever une question d’importance : dans combien de cas cette trace qu’il a été possible de trouver sur le poste de la victime permettait réellement de retrouver le pirate ?
Gageons que cette statistique soit nettement moins favorable aux professionnels de la sécurité. En effet, de nombreuses méthodes de dissimulation peuvent être employées par un pirate. Cet article a pour objectif de mettre en avant l’une de ces méthodes : le fast flux. Rien de nouveau sous le soleil me direz vous. Oui bien sur, toutefois il s’agit d’une technique puissante utilisée quotidiennement par les pirates. Il nous a donc semblé important de l’aborder.
Le principe de base est simple, lorsqu’une attaque a été détectée, l’IP qui s’affiche ne doit pas permettre de remonter jusqu’à la source de l’attaque. D’une manière ou d’une autre le pirate va donc créer des chaines de machines pour rendre de plus en plus complexe la remontée. Le fast flux est une méthode de création de chaine de machine et est d’ailleurs couramment utilisé dans les attaques par Phishing.
Je vous donne un exemple. Vous recevez dans votre boite mail un spam vous proposant d’acheter une nouvelle médecine de manière illégale. Pour ce faire vous devez cliquer sur un lien. Comme d’habitude le protocole DNS vous permet de transformer l’adresse DNS du site sous sa forme décimale pointée (en une IP). L’idée du fast flux est que cette IP sera ici chaque fois différente (grâce à différents mécanismes du protocoles DNS).
Ces IPs n’hébergeront d’ailleurs pas le site mais redirigeront simplement votre requête vers le vrai site web de fishing qui du coup demeure caché beaucoup plus longtemps. Le pirate peut se permettre d’utiliser cette technique car il possède un grand nombre de machine (donc d’IPs) sous son contrôle sur lequel il installe des reverse proxy qui du coup pointeront vers le véritable site de phishing. Voilà, le fast flux c’est ça. On utilise à un moment un nommage qui se retrouve en fait à pointer sur un ou plusieurs éléments qui du coup restent masqués.
Donc là, on vous a présenté un fast flux qui faisait pointer un DNS vers plusieurs IPs faisant du reverse proxy mais l’attaque peut s’effectuer à d’autres niveaux simultanément. Cela peut par exemple s’effectuer en même temps au niveau du serveur DNS comme vous pouvez le voir sur cette image tirée du blog Orange Business Services :
On peut même imaginer que cela se passe au niveau du reverse proxy. Ainsi, nous aurions le reverse proxy (sur une des machines piratées) qui pointerait non pas sur 1 seul serveur de phishing réel mais alternativement sur plusieurs serveurs rendant encore plus complexe la désactivation du mécanisme de phishing. Rien n’oblige d’ailleurs, dans ce scénario, que tous les serveurs Reverse Proxy possèdent les IPs de tous les serveurs réels de phishing. Le pirate peut également décider que les DNS utilisés au départs soient aussi multiples (tout en continuant d’utiliser les autres couches de fast flux).
Si le sujet vous intéresse, je vous propose d’aller visiter le site de l’APWG (Anti Phishing Working Group) à l’adresse http://www.antiphishing.org/ ou ce PDF du site de l’ICANN (http://www.icann.org/en/committees/security/sac025.pdf) qui détaille bien de manière plus détaillée que le présent article le mécanisme de fast flux.
Anglais 
Espagnol 
Français