Les services DNS, talon d'Achille des cyber-criminels

Les services "Domain Name System" (ou DNS) sont sans doute parmi les moins connus mais les plus utilisés par les internautes. Ils s'avèrent également très pratiques dans les actions cyber-criminelles.

Permettant d'établir la correspondance entre une adresse IP et un nom de serveur, ces services sont à la base de pratiquement tout envoi de courrier électronique ou toute consultation de sites web.

approche technique

Les différentes techniques liées à l'utilisation des services DNS par les organisations cyber-criminelles vous ont été souvent présentées sur ce blog, notamment dans l'article "Fast-Flux et double Fast-Flux: Techniques de résilience de sites 'douteux'". Qu'il s'agisse des communications entre les Malwares et les serveurs "Command & Control" des Botnets, ou bien encore des artifices utilisés lors d'opérations de Phishing, le protocole DNS est souvent la clé de la réussite pour les attaquants.

En 1995, Florian Weimer présente dans un document intitulé "Passive DNS Replication" les principes d'une méthodologie de collecte et d'analyse des requêtes DNS. Son outil, dnslogger, se positionne comme une sonde passive sur un réseau opérant des serveurs cache DNS.


Passive-DNS-dnslogger.jpgComme le souligne le document, il est nécessaire de positionner la sonde près de cache DNS aux trafics importants ou sur les liens primaires de réseaux hébergeant de nombreux serveurs cache.

approche étendue

Au cours de la conférence DEFCON 18 de l'été 2010, Robert Edmons Edmonds de l'Internet Systems Consortium a présenté une approche plus étendue des travaux précédents : Passive DNS Hardening.

L'analyse n'est plus à présent limitée aux communications entre clients et serveurs cache DNS mais étendue aux communications entres les serveurs cache et les serveurs autoritaires. Les données collectées sont alors analysées et corrélées par le système "Security Information Exchange" puis stockées dans une base de données globale appelée "DNSDB".


Passive-DNS-ISC.pngIllustration Internet Systems Consortium (http://www.isc.org/)

 

approche globale

Début décembre 2010, l'Internet Systems Consortium (consortium public à but non lucratif) a choisi de communiquer sur la mise en œuvre plus globale de ces technologies, au sein d'un projet intitulé "The Global Passive DNS Network".

L'ISC a pour ambition de séduire les organisations possédant des serveurs cache DNS afin d'augmenter la granularité d'analyse de son système. Des paquets logiciels pour plates-formes Linux RedHat et Debian sont mis à disposition et les estimations les plus pessimistes de collecte font état de 1 à 5 Mo de données par minute pour les serveurs les plus chargés.

Une fois interprétées par le système "Security Information Exchange", les données sont stockées au cœur d'un cluster "Passive DNS Database", tel que l'avait présenté Robert Edmonds au DEFCON.

approche collaborative

Un nouveau composant est néanmoins ajouté : une interface web de recherche dans la base DNSDB, dont l'accès est gracieusement offert aux opérateurs participant au projet et hébergeant sur leurs infrastructures des sondes Passive DNS.

Il est ainsi possible à un opérateur d'identifier rapidement les enregistrements DNS suspects, par exemple les enregistrements de type A de domaines différents pointant tous sur une même adresse IP.

conclusion

Opérée par une structure indépendante dont l'engagement auprès de la communauté des développeurs est important, cette initiative mérite d'être soutenue et encouragée.

La restitution des informations auprès des opérateurs souffre encore de quelques lacunes fonctionnelles mais espérons que dans les prochains mois voient le jour des outils plus opérationnels et intégrables à des solutions de filtrage des flux illicites.
 

Vincent Maurin

Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.