Sommaire

Techniques de communication avec le C&C

1. Introduction

Les canaux de communication entre le malware et son C&C (Command and Control) sont souvent un point faible de l’infection. Afin de pérenniser leur travail, les développeurs de malwares renforcent ces canaux de communication afin de les rendre toujours plus discrets, plus difficiles à couper. La plupart des malwares interrogent les C&C via un nom de domaine, ce nom pointant vers une adresse IP. Il existe plusieurs solutions permettant de couper les canaux de communication : rendre indisponible l’adresse IP ou faire pointer le nom de domaine dans le vide. De telles mesures peuvent stopper l’activité du malware.

Cette partie va traiter des techniques de protection utilisées par les malwares pour rendre leurs canaux de communication plus résistants à de telles contre-mesures. Dans certains cas, beaucoup plus rares, le malware ne contacte pas directement un C&C ; il reste passif et attend les ordres. Ce type d’approche est très discret et donc difficile à identifier. Il est cependant plus complexe à mettre en place et à maintenir.

2. Mise à jour de la liste des noms de domaine

Cette technique consiste à mettre à jour la liste d’adresses des C&C. Une telle commande est d’ailleurs souvent opérée à distance par le C&C lui-même ou via un C&C de secours. Les malwares ont généralement plusieurs adresses où ils peuvent ...