Dans la lutte contre la cybercriminalité, il est logique que les entreprises se familiarisent avec les escroqueries utilisées par les cybercriminels, telles que les botnets. Cela inclut, entre autres, de savoir ce qu'est un botnet - et Guardicore aimerait y parvenir avec une encyclopédie de botnet. Les informations contenues dans cette base de connaissances doivent être mises à jour en permanence afin que les campagnes de botnet actuelles et passées soient bien documentées.
Botnet - infecté, détourné et abusé
Botnet et botnet sont deux termes utilisés comme synonymes pour le même processus : Un botnet consiste en un réseau d'ordinateurs piratés. Les propriétaires de ces ordinateurs piratés n'en ont généralement aucune idée. Tout d'abord, l'ordinateur cible qui doit être intégré au botnet est infecté par un logiciel malveillant. Grâce à ce malware, l'attaquant peut prendre le contrôle du système - l'ordinateur réagit à la manière d'un robot, d'où le "bot".
Les ordinateurs piratés peuvent être contrôlés via des serveurs dits de commande et de contrôle (serveurs C&C). Les attaquants eux-mêmes qui exercent un contrôle sur les botnets sont appelés bot herders ou masters. En effet, la prise de contrôle d'une machine dans le cadre du botnet est le résultat d'une machine mal sécurisée : l'attaquant peut alors endosser le rôle d'administrateur. Les données peuvent alors être consultées, utilisées à mauvais escient et manipulées, et l'ordinateur avec toutes ses fonctions et services peut également être utilisé à des fins criminelles.
Les appareils mobiles tels que les smartphones ou les tablettes sont également à risque
Ainsi, les utilisateurs d'ordinateurs piratés font involontairement partie de ces activités criminelles. Les ordinateurs télécommandés sont utilisés pour diverses activités : spamming, stockage de fichiers illégaux, diffusion de malwares ou encore attaques DDoS.
Incidemment, non seulement les ordinateurs risquent de faire partie des botnets, mais tous les appareils en réseau ayant accès à Internet. Ici, nous nous référons en particulier aux appareils IoT, qui sont généralement très éloignés du niveau de protection des ordinateurs courants. Mais les appareils mobiles tels que les smartphones ou les tablettes peuvent également être piratés et des botnets ajoutés.
Botnets : conseils et mesures de protection
En raison de la propagation immense et sans cesse croissante des appareils en réseau, il est fort probable que le risque de propagation des botnets augmente également. Comme vous l'avez lu, les appareils tels que les ordinateurs ou les smartphones peuvent être pris en charge par des failles de sécurité dans les logiciels ou par des utilisateurs inattentifs ou ignorants. En conclusion, cela signifie qu'une combinaison de sensibilisation et de mesures techniques réduit la probabilité de faire partie d'un botnet involontairement. Sur le plan technique, il y a ces mesures :
- Mises à jour : exécutez toujours les mises à jour sur tous vos appareils en temps opportun ; Idéalement, vous automatisez l'exécution des mises à jour afin qu'il y ait le moins de failles de sécurité possible dans le logiciel.
- Pare-feu : Le pare-feu protège un réseau contre les accès indésirables provenant de l'extérieur. Le pare-feu est généralement intégré au routeur et offre une protection à l'échelle du réseau.
Logiciel antivirus : utilisez un logiciel antivirus toujours à jour. Choisissez une solution anti-malware professionnelle avec une détection de malware basée sur les signatures et le comportement. - Surveillance : vérifiez les systèmes et le trafic réseau à intervalles réguliers pour découvrir toute infection le plus rapidement possible. Des activités suspectes telles que les suivantes peuvent indiquer que l'appareil appartient à un botnet :
- Charges Internet et réseau inhabituellement élevées
- Volume extrêmement élevé d'e-mails sortants
- Envoi d'e-mails considérablement retardé, puissance de calcul considérablement retardée
- Balayage massif d'un ou plusieurs ports depuis l'extérieur
- Plaintes de tiers concernant des spams censés provenir de leur propre serveur de messagerie
Il est logique que les entreprises soient fondamentalement protégées contre les attaques DDoS et le spam. Il est également avantageux - tant pour les particuliers que pour les entreprises - d'examiner de près les appareils IoT utilisés. Les solutions anti-malware stockées localement sur l'appareil IoT respectif existent à peine. Il faut donc une solution capable de détecter les logiciels malveillants avant qu'ils n'atteignent l'appareil et qui protège également les vulnérabilités de l'extérieur. Ici, par exemple, un correctif virtuel serait une bonne idée : un pare-feu d'application Web (WAF) peut être utilisé pour réguler qui peut accéder à l'application concernée et comment ; les applications à protéger sont ainsi protégées contre les accès indésirables et/ou malveillants. Fondamentalement, cependant, le correctif - c'est-à-dire le correctif des vulnérabilités - est meilleur que le correctif virtuel - verrouillant les tiers non autorisés au lieu de corriger une vulnérabilité.
Encyclopédie des botnets par Guardicore
Guardicore est une société israélienne de centres de données et de sécurité cloud. L'encyclopédie interne Botnet Encyclopedia est destinée à résumer les menaces pour les entreprises dans un endroit central et librement accessible. Cette encyclopédie de botnet est basée sur le réseau mondial de capteurs Guardicore ; un réseau de capteurs de détection déployés dans des centres de données et des environnements cloud dans le monde entier.
Ces capteurs peuvent non seulement enregistrer entièrement les flux d'attaques, mais aussi les évaluer. Toutes ces connaissances alimentent l'encyclopédie des botnets, qui peut être utilisée par les services informatiques, les équipes de sécurité, les chercheurs ou la communauté de la cybersécurité pour mieux comprendre et se protéger contre les menaces. Les parties intéressées peuvent trouver des botnets via une recherche en texte libre ou parcourir les entrées via des indicateurs de compromission (IoC) ; par exemple par adresse IP, nom de fichier ou nom de service.
Plus d'informations à ce sujet sur le blog PSW-Group.de