Un pirate qui effectue une attaque met souvent en place des méthodes de protection pour éviter qu’on puisse remonter jusqu’à lui. L’arrestation de ces criminels n’en est que plus complexe surtout lorsqu’ils pratiquent leurs activités depuis des pays laxistes dans le domaine.

Cette protection (par le pirate, pour le pirate) peut avoir lieu à deux niveaux. Soit il arrive à rendre son attaque furtive de manière à ce que la victime ne sache pas qu’elle a été compromise, soit il se débrouille pour que les logs des machines piratées ne contiennent pas d’information permettant de remonter jusqu’à lui. Dans les faits il a bien entendu intérêt à utiliser conjointement l’usage des deux techniques de protection.Dans l’article « https://www.nbs-system.com/blog/verizon-data-breach-report.html » publié sur ce même blog, il est fait allusion aux statistiques de Verizon qui nous montrent que dans la plupart des cas il reste possible de trouver des traces du pirate dans les logs des machines compromises. Toutefois, il convient de lever une question d’importance : dans combien de cas cette trace qu’il a été possible de trouver sur le poste de la victime permettait réellement de retrouver le pirate ?Gageons que cette statistique soit nettement moins favorable aux professionnels de la sécurité. En effet, de nombreuses méthodes de dissimulation peuvent être employées par un pirate. Cet article a pour objectif de mettre en avant l’une de ces méthodes : le fast flux. Rien de nouveau sous le soleil me direz vous. Oui bien sur, toutefois il s’agit d’une technique puissante utilisée quotidiennement par les pirates. Il nous a donc semblé important de l’aborder.Le principe de base est simple, lorsqu’une attaque a été détectée, l’IP qui s’affiche ne doit pas permettre de remonter jusqu’à la source de l’attaque. D’une manière ou d’une autre le pirate va donc créer des chaines de machines pour rendre de plus en plus complexe la remontée. Le fast flux est une méthode de création de chaine de machine et est d’ailleurs couramment utilisé dans les attaques par Phishing.Je vous donne un exemple. Vous recevez dans votre boite mail un spam vous proposant d’acheter une nouvelle médecine de manière illégale. Pour ce faire vous devez cliquer sur un lien. Comme d’habitude le protocole DNS vous permet de transformer l’adresse DNS du site sous sa forme décimale pointée (en une IP). L’idée du fast flux est que cette IP sera ici chaque fois différente (grâce à différents mécanismes du protocoles DNS).

Le fastflux

Ces IPs n’hébergeront d’ailleurs pas le site mais redirigeront simplement votre requête vers le vrai site web de fishing qui du coup demeure caché beaucoup plus longtemps. Le pirate peut se permettre d’utiliser cette technique car il possède un grand nombre de machine (donc d’IPs) sous son contrôle sur lequel il installe des reverse proxy qui du coup pointeront vers le véritable site de phishing. Voilà, le fast flux c’est ça. On utilise à un moment un nommage qui se retrouve en fait à pointer sur un ou plusieurs éléments qui du coup restent masqués.

Donc là, on vous a présenté un fast flux qui faisait pointer un DNS vers plusieurs IPs faisant du reverse proxy mais l’attaque peut s’effectuer à d’autres niveaux simultanément. Cela peut par exemple s’effectuer en même temps au niveau du serveur DNS comme vous pouvez le voir sur cette image tirée du blog Orange Business Services :

Image Fast Flux Orange Business Services
(source Orange Business services)On peut même imaginer que cela se passe au niveau du reverse proxy. Ainsi, nous aurions le reverse proxy (sur une des machines piratées) qui pointerait non pas sur 1 seul serveur de phishing réel mais alternativement sur plusieurs serveurs rendant encore plus complexe la désactivation du mécanisme de phishing. Rien n’oblige d’ailleurs, dans ce scénario, que tous les serveurs Reverse Proxy possèdent les IPs de tous les serveurs réels de phishing. Le pirate peut également décider que les DNS utilisés au départs soient aussi multiples (tout en continuant d’utiliser les autres couches de fast flux).
Vous pouvez le constater, c’est une chose de trouver des traces d’IPs sur une machine compromise mais s’en est une autre que de pouvoir retrouver le pirate. Rajoutez à ce problème que les machines compromises sur lesquelles le pirate met en place des reverses proxy peuvent se trouver partout sur la planète et vous aurez de nombreuses complications à gérer.Si le sujet vous intéresse, je vous propose d’aller visiter le site de l’APWG (Anti Phishing Working Group) à l’adresse http://www.antiphishing.org/ ou ce PDF du site de l’ICANN (http://www.icann.org/en/committees/security/sac025.pdf) qui détaille bien de manière plus détaillée que le présent article le mécanisme de fast flux.
Philippe Humeau
Philippe Humeau
Philippe a co-fondé NBS System en 1999. Après s’être concentré sur la sécurité, qu’il n’a jamais abandonnée, il se découvre une passion pour le ecommerce à partir de 2008. Tour à tour pentester, CTO, CCO puis CEO, son profil touche-à-tout l’a conduit à devenir directeur marketing et stratégie d’OT Group après notre intégration dans celui-ci.