Lukas Stefanko : Comment nous avons lutté contre une attaque DDoS d'un botnet mobile

Au cours de la lutte contre une attaque DDoS sur l'infrastructure de l'ESET, les chercheurs de l'ESET ont découvert une application mobile malveillante utilisée pour effectuer le flot de demandes sur son site web.  Lukas Stefanko, chercheur sur les logiciels malveillants d'ESET, a récemment analysé l'application et publié ses conclusions. Nous avons échangé avec lui afin d’en apprendre davantage.

L'attaque a été menée à l'aide d'une application mobile - est-ce un vecteur commun pour les attaques DDoS?

D'une part, les attaques DDoS basées sur les téléphones portables sont assez rares. Les attaques DDoS sont encore généralement lancées via des ordinateurs personnels ou des serveurs. Cependant, les temps changent. Les appareils mobiles deviennent plus puissants, leur connectivité s'accroît plus rapidement... Si leur part dans le trafic internet global, je veux dire dans l'espace consommateur, est appelée à dépasser celle des ordinateurs, on ne peut pas s'attendre à ce que les criminels hésitent à les utiliser pour leurs attaques.

Soit dit en passant, la capacité d'effectuer une attaque DDoS est absente de la base de connaissances MITRE ATT&CK sur les techniques mobiles malveillantes. Nous l'avons présentée comme une nouvelle technique car nous pensons que cette menace va continuer à grandir et que les défenseurs doivent en être conscients.

L'attaque de notre infrastructure en est une bonne illustration : les criminels ont réussi à atteindre plus de cinquante mille installations avec leur application, ce qui n'est pas peu dire. Cependant, dans le passé, il y a eu de nombreux cas de logiciels publicitaires mobiles atteignant des millions d'installations avant d'être détectés. Cela montre qu'il est possible de construire rapidement un botnet relativement puissant.

Les criminels ont tendance à poursuivre certains objectifs par leur action. Avez-vous une idée de l'objectif qu'ils poursuivaient avec cette attaque DDoS?

En bref - non, nous ne pouvons que spéculer. Cependant, le seul effet net de l'attaque a été d'exposer leur botnet, nous avons signalé l'application qu'ils ont utilisée et elle a été retirée de la boutique Play et effacée des appareils des utilisateurs - ceux dont la fonction Google Protect était activée. En pratique, cet outil DDoS n'existe plus.

Alors, la partie est terminée?

Je dirais oui, mais avec certaines réserves.

L'application peut avoir été téléchargée également à partir de magasins d'applications non officiels et il n'existe aucun moyen de supprimer ces installations des appareils infectés. Il se peut aussi que l'application soit encore cachée à certains endroits en dehors du magasin Play. Cependant, nous n'avons pas vu de mécanisme de distribution de ce type, donc, à mon avis, ce n'est pas une menace réelle.

En outre, le site web qui fait office de serveur C&C est toujours fonctionnel. Cependant, sans un nombre important de dispositifs infectés, le site web est inutile.

Comment se fait-il qu'aucun mécanisme de sécurité n'ait détecté l'application avant qu'elle ne soit répertoriée sur la boutique officielle d'Android?

La diversité des applications dépasse l'imagination. Le nombre de fonctionnalités est élevé, et leurs combinaisons sont infinies. Malgré cela, les applications qui sont carrément malveillantes se font prendre, à de rares exceptions près. Dans ce cas particulier, l'application qui a finalement été utilisée pour l'attaque n'est pas malveillante en soi. Elle est capable de contacter un site web défini et de charger un script à partir de celui-ci - une fonctionnalité qui est tout à fait standard dans de nombreuses applications. C'est le script qui rend l'application malveillante.

Donc, on peut probablement considérer que toutes les applications qui ont la fonctionnalité de télécharger quoi que ce soit devraient être examinées en tenant compte du contenu téléchargé...

Malheureusement, ce n'est pas si simple. Gardez à l'esprit que ce que les téléchargements faits par l'application peuvent être modifiés à tout moment...

Cela signifie-t-il qu'il n'existe aucun moyen viable d'empêcher ce type d'application malveillante de se faufiler dans la boutique officielle d’applications?

Bien que je ne divulguerai aucun détail, nous avons amélioré nos systèmes de détection. Ainsi, sur la base de cette expérience, il y a de fortes chances que nous puissions signaler des chevaux de Troie similaires à Google.

Étant donné que la protection d'un magasin d'applications ne peut jamais être à toute épreuve, il semble qu'il y ait un besoin de protections supplémentaires au niveau des terminaux...

Cela n'a rien de nouveau et ne se limite pas à une plate-forme particulière. Avec la variabilité et la sophistication toujours croissantes des attaques, vous ne pouvez jamais compter sur une seule couche de protection. Idéalement, vous devriez vous défendre à chaque point de la chaîne d'attaque - en commençant par la sécurisation de la source, jusqu'aux étapes de post-exécution, si le malware les atteint.

J'aimerais souligner que, sur la base de ce que nous avons appris en analysant cette attaque, nous avons amélioré nos mécanismes de détection, y compris nos détections basées sur l'apprentissage machine.

Il faudrait donc empêcher des applications malveillantes similaires de se faufiler sur des appareils protégés en utilisant la solution de sécurité mobile d’ESET?

En principe, oui. Nos utilisateurs devraient être à l'abri de cette menace. Cependant, les améliorations que j'ai mentionnées concernent principalement les technologies de protection post-traitement - ce qui signifie que la menace pourrait s'infiltrer dans l'appareil.

Une fois que le logiciel malveillant est traité par notre système de gestion et que les nouvelles détections sont transmises aux appareils protégés, l'application malveillante est détectée et signalée à l'utilisateur.