Marc Blanchard Virus Docteur

Ce PhenoType est interessant dans la mesure ou peu de technologies sont embarquees mais montrent bien que les perturbations du systeme...

Voici la description du phéntotype Sohanad.dr :

Ty-7;Trojan Downloader

Ty-10;Storm Worm

Pg-61;HTTP

Pg-78;Automatic download

Pg-88;Injection HTTP

Pg-90;Download via other malware

Cm-264;Complexite Niveau 2 (Moyen)

Pi-267;Perception Infection Niveau 2 (Peu percevable pour l'utilisateur)

Ne-270;Niveau d'Emergence Niveau 2 (Moyen)

OS-130;Windows ALL

Pg-88;Injection HTTP

Pg-90;Download via autre Malware

C:\Windows\dc.exe

C:\Windows\SVIQ.EXE

C:\Windows\system\Fun.exe

Ex-182;HTTP

Ex-199;Automatic download

Ex-209;Injection HTTP

Rm-211;Requette malformee HTTP

Rm-216;Requette HTTP normalisee

Te-246;File creation

Te-247;BHO

Te-252;PE

Te-261;Residant en memoire

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dc = "C:\Windows\dc.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dc2k5 = "C:\Windows\SVIQ.EXE"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Fun = "C:\Windows\System\Fun.exe"

Voici ci-dessous le phénotype du malware Renos.aco qui est un storm worm utilisant plusieurs techniques.

Il se telecharge automatiquement via des sites webs publiques contamines par des ajouts de IFRAME, pour enfin pointer sur des serveurs hebergeurs du code malicieux Renos.

Description du PhénoType :

Ty-5;Trojan

Ty-7;Trojan Downloader

Ty-10;Storm Worm

Ty-36;Disable System Restore

Ty-3;Worm

Commande Non Documentee dans Base de connaissances Cariotypes de Blanchard (marc.blanchard@viruslab.ath.cx)

Ty-4;Virus

OS-130;Windows ALL

Pg-61;HTTP

Pg-78;Automatic download

Pg-84;AUTORUN

Pg-90;Download via other malware

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\phc3pgj0e3ct.bmp

Ex-182;HTTP

Ex-199;Automatic download

Ex-205;AUTORUN

Rm-216;Requette HTTP normalisee

%System%\lphc3pgj0e3ct.exe

%System%\blphc3pgj0e3ct.scr

%System%\phc3pgj0e3ct.bmp

Te-246;File creation

Te-249;Autorun

Te-251;desktop wallpaper change

Te-252;PE

Te-258;scr

Te-261;Residant en memoire

Te-262;Residant en memoire en mode sans echec

HKLM\SYSTEM\CurrentControlSet\Services\sr\Parameters\FirstRun = "0"HKLM\SYSTEM\CurrentControlSet\Services\sr\Start = "0"

HKLM\SYSTEM\CurrentControlSet\Services\sr\ImagePath = "\System32\DRIVERS\sr.sys"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR = "0"

HKLM\SOFTWARE\Microsoft\Software Notifier

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc3pgj0e3ct

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage = "1"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage = "1"

HKCU\Software\Sysinternals\Bluescreen Screen Saver

HKCU\Control Panel\Colors\Background = "0 0 255"

HKCU\Control Panel\Desktop\ConvertedWallpaper = "%System%\phc3pgj0e3ct.bmp"

HKCU\Control Panel\Desktop\ScreenSaveActive = "1"

HKCU\Control Panel\Desktop\SCRNSAVE.EXE = "%System%\blphc3pgj0e3ct.scr"

HKCU\Control Panel\Desktop\TileWallpaper = "0"

HKCU\Control Panel\Desktop\Wallpaper = "%System%\phc3pgj0e3ct.bmp"

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\GeneralFlags = "0"

Etudes phénotypiques :

Le phénotype est l'ensemble des traits observables (propagation, méthodes d'infection, de réplication, action visibles et invisibles, dégâts, etc.) caractérisant un code malicieux donné (ex: virus, rootkit, backdoor, worm, storm,...).

Le phénotype est dépendant de l'identité des techniques utilisées par chaque egène (code malicieux) sur un ou plusieurs systèmes d'exploitations, mais l'influence du milieu se combine fortement à celui-ci pour déterminer le phénotype.

Le bénéfices de cette pratique sont les suivants :

Grande connaissance des environnements infectés ou potentiellement infectables ou sensibles à une infection

Rapprochement des phenotypes par famille afin de comparer les cyber-cariotypes qu'ils embarquent dans leur(s) code(s) malicieux.

J'ai imaginé un procédé pouvant reconnaitre aisément pendant mes recherches les rapprochements de familles de malwares. Regulièrement, ces phenotypes seront publies dans ce blog et dans cette section avec bien evidemment mes reactions par rapport a differents codes qui, pour certains pourront etre juxtaposes pour en verifier les points communs.

Je vous en dirais plus dans les posts suivants.

Les technologies et des process de fonctionnement évoluent de jour en jour.

Voici une technique qui, certes, est un peu compliquee à comprendre, mais qui

est cependant de plus en plus utilisée par les pirates cyberdélinquants

aujourd'hui.

Je vous renvoie sur ce post afin que vous puissiez mieux appréhender la

technologie Storm Worm et Storm Botnet.

Post Marc Blanchard : StormWorm et Storm Botnet

Comme je l'avais déjà expliqué dans ce post, les pirates vont utilisées des

méthodes de defacing de serveurs web afin de pousser leurs storm worms sur des

sites web commerciaux, informationnels, de paris en ligne, de casino, ou même de

jeux.

Afin de renforcer la longévité de leurs réseaux zombies, ils ont imaginé deux

techniques via des tentatives de pénétrations de serveurs web via du PHP

Injection ou du SQL Injection, attaques devenues aujourd'hui très courrantes.

Voici, après analyses de codes malicieux trouvés sur des serveurs Web, le

principe de fonctionnement.

Méthodologie 1 : Les serveurs WEB zombies autonomes

Le Principe est le suivant :

a. Le pirate exploite manuellement un certain nombre de serveurs internet

b. Sur ces serveurs, un botnet est installé par le délinquant.

c. Ce botnet a pour mission d'aller sur différents moteurs de recherches

(google, yahoo search, msn, altavista, etc) et font faire ressortir une liste de

serveurs web par thèmatique (sport, politique, jeux, etc)

d. les serveurs web contaminés vont alors tenter d'infecter ces nouveaux

serveurs trouvés par les moteurs de recherches. Les nouveaux serveurs web seront

alors exploités via des exploits PHP et/ou SQL afin de pouvoir pousser un botnet

sur ces serveurs

e. Une fois infecté, ces nouveaux serveurs web sont insérés dans une liste de

serveurs infectés et prêt alors d'utiliser, à leurs tours, les moteurs de

recherches..... La boucle est bouclée !

L'internaute, quand à lui, lorsqu'il arrivera sur ces serveurs web zombies,

verra son navigateur exploité par un storm worm hébergé par ces serveurs web

zombies afin que la machine victime fasse partie intégrante du réseau parallèle

zombies.

Méthodologie 2 : Les machines zombies des internautes qui enrichissent les serveurs WEB zombies

Le Principe est le suivant :

a. L'internaute infecté (utilisant sa machine zombiefiée ultérieurement) utilise

son navigateur pour aller sur un site.

b. Le storm worm présent sur la machine de l'internaute télécharge un à deux

exploits

c. Le site web que l'internaute demande se verra alors exploité par un des

serveurs web zombies par l'intermédiaire du navigateur de l'internaute.

d. Une fois ce nouveau serveur web défacé et infecté, un botnet a pour mission

d'aller sur différents moteurs de recherches (google, yahoo search, msn,

altavista, etc) et font faire ressortir une liste de serveurs web par thèmatique

(sport, politique, jeux, etc)

Les serveurs web contaminés vont alors tenter d'infecter ces nouveaux serveurs

trouvés par les moteurs de recherches. Les nouveaux serveurs web seront alors

exploités via des exploits PHP et/ou SQL afin de pouvoir pousser un botnet sur

ces serveurs

e. Une fois infecté, ces nouveaux serveurs web sont insérés dans une liste de

serveurs infectés et prêt alors d'utiliser, à leurs tours, les moteurs de

recherches..... La boucle est bouclée !

L'internaute, quand à lui, lorsqu'il arrivera sur ces serveurs web zombies,

verra son navigateur exploité par un storm worm hébergé par ces serveurs web

zombies afin que la machine victime fasse partie intégrante du réseau parallèle

zombies.

CONCLUSION

Il faut impérativement viellé à ce que l'antivirus soit bien à jour aux niveaux

des bases de signatures, et l'analyse heuristique doit être OBLIGATOIRE.

Voici deux courtes interventions radiophoniques concernant la problèmatique de l'évolution des StormWorms sur Activ Radio à Saint Etienne.

Intervention du 27 mars 2008 au journal du 12-13 heures

Intervention du 27 mars 2008 au journal de 14h00 et celui de 15h00

Bonne écoute !

Un site d'un editeur de sécurité a été victime d'une attaque HTTP d'un storm worm sous forme de IFRAME, comme je l'ai expliqué dans le post http://marc-blanchard.com/blog/index.php/2007/12/21/41--dfinitionexplications-les-storm-worm-et-storm-botnet

Il s'agit d'une attaque IFRAME.

Une IFRAME est un redireteur d'une page web ou d'un téléchargement d'un fichier ou d'une image présent sur un autre serveur web.

En général, si il s'agit d'un storm worm, cette iframe est transparente à l'affichage et le téléchargement peut-être transparent sans popup selon le navigateur utilisé.

Les attaques storm worm en web/HTTP sont de plus en plus fréquentes....attention lorsque vous recherchez une information sur les moteurs de recherches...

Voici le post de JD-NET : Vendredi 14 mars 2008, 11h40 :

Alors que l'éditeur de sécurité mettait justement en garde les internautes contre la diffusion de programmes malveillants via l'intégration dans des pages Web légitimes d'iframe, il a lui même été pris pour cible.

Plusieurs pages Trend Micro comportaient ainsi un JavaScript redirigeant de façon invisible le navigateur vers un serveur hébergé en Chine installant un code malveillant destiné à dérober des identifiants d'accès.

Le 13 mars, McAfee comptabilisait 20 000 pages Web ainsi infectées. Les experts cherchent encore à identifier le mode d'attaque employé par les pirates pour infecter massivement des pages. Une faille dans la technologie Active Server Page (ASP) de Microsoft pourrait avoir été exploitée.

Une technologie grand public est en train d'emmergée en France : Les NFC (Near Field Communications).

Ce nom barbare implique tout simplement le M-Commerce (Mobile Commerce)

Cette technologie nous arrivera avec les nouveaux téléphones portables, PDA, etc afin de remplacer MONEO pour du paiement rapide via nos GSMs.

Ce qu'il faut savoir est que dores et deja, nos téléphones portables sont équipés de puces électroniques pour le WIFI et le Bluetooth.

La fréquence des NFC est 13.56 MHZ....alors que les fréquences BlueTooth / Wifi sont à 2,45 Ghz et le wifi 802.11a est sur 5Ghz. Ces différences n'ont alors pas gèner les contructeurs de puces électroniques car selon eux, les NFC pourraient se trouver sur la même puce que celle qui gère le WIFI et le Bluetooth.

Les NFC seraient alors gérées par micro-logiciels intégrès dans les nouveaux modèles de téléphones portables, ou bien même en option, selon les contrats passés avec votre banque.

Cette étude traite donc de la taxinomie sur les NFC.

Définitions:

Taxinomie ou Taxonomie :

L’étude de rapprochement de classifications par famille, par utilité, par technologie, par sécurité, par contre-mesure, etc...

NFC : Near Field Communication :

La NFC est une technologie radio, mise en ouvre notamment par les industriels Philips (technologie MIFARE) et Sony (technologie FeliCa).

Elle permet d'établir des communications entre un terminal mobile et une borne préalablement équipée d'une micro-antenne.

La spécificité de la NFC est que la communication s'établit à une distance de l'ordre de 2-3 centimètres, voire au contact des deux objets...Mais des tests se sont avérés efficaces à quelques mètres ... avec du motériel spécifique, et notamment avec une excellente antenne !

Exemples d'utilisations :

La NFC est actuellement utilisée pour:

- les payements par téléphone portable, montre, etc

- du ticketing (transports)

- contrôle d’accès dans les entreprises

- déportation d’informations sur le téléphone (ex:plan de métro)

TAXINOMIE : Devices

On peut penser que les NFC ne seront utilisées qu’avec des téléphones portables, mais voici quelques exemples types de portabilité de cette technologie :

- Montres

- PDA

- Lecteurs MP3

- Péages d’autoroutes

- Nano computers, etc.

Tout équipement hébergeant dores et déjà la technologie bluetooth car le chipset est ou sera compatible avec l’utilisation des NFC

Fonctionnement d'un achat via NFC

Le téléphone NFC embarque un logiciel bancaire qui fait appel à la puce électronique du téléphone gérant la communication NFC.

Le client fait le choix de son achat, puis vient à la caisse ou se trouve un terminal NFC.

Ce terminal fera un pairing entre le téléphone du client et lui-même.

Une fois authentifié, le client doit composer son numéro confidentiel pour confirmer son achat

La transaction se fait dans ce cas entre la borne du marchand et sa banque...en général par le net via le réseau bancaire existant utilisé pour les cartes bancaires classiques. Et cette communication se fait via une connexion X25, IP (avec ou sans fil : GPRS) en utilisant le protocole CB2A (merci Scorpion).

TAXINOMIE NFC : Achats de demain

On peut imaginer que des entités marketing et commerciales peuvent, dores et déjà, proposer via les providers téléphoniques des options de convergences supplémentaires pour inciter l’utilisateur à consommer plus!

Dans ce cas, l’infrastructure change et se complique, mais pour l’utilisateur tout est transparent et aussi facile qu’un simple achat NFC !

TAXINOMIE NFC : Qui pour quelle fonction?

Fournisseurs téléphoniques :

- Payement directement sur les factures téléphoniques

- Nouveaux revenus / plus value des services

- Fidélisations de la clientèle

Banques:

- Relationnels clients NFC

- Nouvelles offres de services de crédits simplifiés aux utilisateurs

- Offres de transactions sécurisées auprès des boutiques

- Paiements pour tout produit/service

Client NFC :

Achats :

- rapides

- faciles

- sécurisés

- personnalisés

Avantages :

- Informations sur ses comptes en temps réel

- Meilleures gestions de consomation courante

TAXINOMIE NFC : Statistiques

Les estimations, de TelecomTrends.net représentant le nombre de transactions effectuées pour 2008, s’élèveraient à 554 B$ dans le monde....Transactions qui seraient effectuées via un téléphone portable en NFC.

Voici l’évolution du e-commerce vers le m-commerce :

Coté Sécurité

Les transferts de données :

Il existe deux types de transactions de pairing entre le device et la borne en NFC :

Le mode Actif :

1. Le pairing initialise la communication avec la borne et en assume les authentifications, les taux de transferts (même concepts que les modems RTC, fax, etc).

2. La transaction peut être effectuée.

Dans ce concept, il n'y a pas de sécurité et une attaque Man-in-the-Middle-Attack (MMA) peut se glisser en effectuant un deni de service sur le téléphone via des ondes juste après la phase 1, et effectuer la transaction à la place du propriétaire du téléphone.

Ce qui donne schématiquement :

Le mode Passif :

Le principe du mode passif est simple, l'authentification et la transaction se fait en une seule phase et il n'y a aucune coupure de communication, comme nous avons lors du transfert actif.

De plus, ce mode est le plus sécurisé car c’est un point à point direct.

Les projets en cours sont en discussion pour une transaction sécurisée.

Alors, quels sont les risques?

Les risques sont encore, et seront toujours sur les devices des téléphones portables, exactement au même titre que des attaques sur les ordinateurs des utilisateurs...par le biais d'attaques de virus, vers, chevaux de troie, etc

Schématiquement, cela donne :

Comme on peut le constater, les codes malicieux mobiles peuvent accèder à l'OS du téléphone, à partir de là, on pourra constater l'arrivée de Keyloggers afin d'enregistrer les codes confidentiels pour les transactions, des envois par SMS, MMS, e-mail, HTTP des codes confidentiels, bref, le code malicieux sur le téléphone a tous les droits

TAXINOMIE NFC : Sécurité du Téléphone

Les codes malicieux mobiles existent et fonctionnent

Les hackers possèdent déjà la technologie :

- Envoi de SMS (technologie malicieuse : RedBrowzer)

- Copie de fichiers sur d’autres tel (technologie malicieuse : CxOver)

- Propagations bluetooth et MMS (technologie malicieuse : StealWar)

- Propagation par mail (technologie malicieuse : Letum)

- Remplacement et hook d’applications système (technologie malicieuse : Mobler)

- Remplacement des fichiers de boot (technologie malicieuse : FlerProx)

- Concaténation de fichiers applicatifs (technologie malicieuse : HideMenu)

- La technologie malicieuse : Wesber : technologie de vol d’argent s’appuyant sur espionnage des données et transactions financières

- Etc..

Quelles sont les protections NFC/Téléphones

Coté NFC, ce système peut être fragilisé par :

- Le manque de cryptage de transfert entre les bornes et le device NFC

- Les transferts en mode PASSIF doivent être indispensable

Coté téléphone ou device NFC++

Ils peuvent être fragilisés par des noyaux systèmes intelligents tels que :

- Symbian

- WinCE

- Linux

MAIS, l’utilisation d’un antivirus équipé de parefeux réduit de façon significative les tentives de fuites et contaminations des données et applicatifs

CONLUSION : Vers quelles directions les hackers vont ?

Les hackers aujourd’hui n’étudient que des nouveaux systèmes pouvant générer du business.

Ils s’attaquent au e-commerce

Ils s’attaqueront demain au m-commerce

Toutes les technologies malicieuses existent aujourd’hui

Ce n’est, pour eux, qu’une question de temps...le temps que les NFC soient utilisées par nous tous...

...et les possibilités d'attaques sont les suivantes :

..A cours terme, la nécessité des antivirus, anti-threft, parefeux sur téléphones portables deviendront OBLIGATOIRE pour les systèmes M-Commerce

Voici une conférence un peu particulière qui traite des attaques des postes de travail afin qu'ils deviennent des machines zombie.

Particulière, oui, car cette conférence est un duo juridique avec Maitre Garance Mathias (Avocat à la Cour), spécialisée dans les nouvelles technologies, et épidémiologique avec moi-même (Virus Docteur).

Garance et moi avons décidé de commenter à la fois juridiquement et épidémiologiquement chaque étape d'une infection visant à transformer un poste d'un utilisateur en poste zombie, car le public (particulier ou utilisateurs d'entreprise) doit connaitre les étapes et les solutions pour contrer des attaques de ce type qu'elles soient techniques mais également juridique.

Attention : La durée de cette vidéo est de 1h15 .... A voir le soir, quand rien n'est interessant à la télé

Je vous suggère de faire un click de droit sur le lien, et d'enregistrer la video sur votre PC afin de la voir hors des heures de bureaux

VideoCast - Garance-Mathias-Marc-Blanchard-Etudes Juridico-Epidemiologique-Les zombies

Si vous rencontrez un problème de visualisation, vous pouvez utiliser l'outils VLC, téléchargeable sur http://www.videolan.org

Merci de poster vos commentaires (qui sont modérés -raison: lutte contre le spamblog), afin de pouvoir connaître vos réactions.

Dans cette section tout public, il m'a semblé interessant de faire un point sur les activites virales d'aujourd'hui et de demain.

En effet, nous nous appercevons qu'il n'y a plus de réelles communications en presse ou même chez les éditeurs d'antivirus concernant de grandes épidémies, telles que nous les avions eu avec les ILOVEYOU, Sasser, Blaster, NetSky/Baggle, etc...

Cela ne signifie pas que les codes malicieux de tout genre, virus, trojans, vers, etc tentent a disparaitre...

non, au contraire...

La différence est que leurs propagations sont complètement transparentes, furtives et nous, utilisateurs, sommes les acteurs d'une scène de constitutions de réseaux parallèles, dont on n'imagine pas même la puissance de calculs dont les pirates actuels disposent en exploitant nos machines, dites MACHINES ZOMBIES.

Rappel Général

Un virus est un programme qui, pour fonctionner, a besoin d'un fichier hôte pour fonctionner.

Un ver, ou worm, est un programme qui a besoin d'une machine hôte pour fonctionner.

La principale différence entre un vers et un virus, est que le virus peut être détruit facilement par un antivirus, car il est localisé sur une petite entité : les fichiers du PC.

Le ver, ou worm, quant à lui, existera tant qu'une machine sur internet le fait fonctionner. On appelle cette technique : une infection par le cable.

Voici une petite statistique qui vous permettra de comprendre la problématique du worm.

Dans l'image ci-dessous :

On constate bien que SLAMMER et MSBLASTER sont bels et bien encore actifs sur une machine connectée sur le net, sur laquelle on analyse les tentatives de pénétrations (appelé VirusPot).

Ces deux vers ont été lancés sur le net aux environs des années 2002 et 2003...wow ! elles représentent encore un taux élevé de tentives d'infections alors que TOUS les antivirus...même les gratuits les détectent!

Etrange, vous ne trouvez pas...

L'explication est très simple, ces codes sont des vers ou worms. Alors qu'un virus est présent à part entière sur la machine de l'utilisateur, l'antivirus, lui, fait son travail de détection et d'eradication localement.

Alors que le ver ou worm, lui, tant qu'une machine sur internet est vulnérable, le ver existera et se propagera sur la toile... d'ou la constitution et les convergences de développement très fortes de la part des pirates vers les technologies des vers ou worms.

Qu'est-ce qu'une machine zombie (rappel)

Une machine utilisateur devient zombie en subissant des techniques de pénétration dites 'différées'.

Le principe est le suivant :

1. La machine est sur le net, et subit, de la part des worms, des tentives de pénétration par exploits de vulnérabilités que ce soit sur l'operating system, ou bien applicatifs comme des clients de messageries courrier ou instantannés, navigateurs, visualisateurs de films ou de mp3, de logiciels peer to peer, etc...

2. Un processus va alors s'installer sur la machine, et va ouvrir une porte dérobée (appelé backdoor) en modifiant les règles des parefeux logiciels.

3. Une fois la backdoor établie, un BOTNET (robot internet) va être lancé sur la machine permettant ainsi d'envoyer l'adresse IP et le numéro de la porte dérobée de la machine victime au pirate.

4. Le pirate recevant cette information, pourra référencé la machine victime dans une console d'administration, et ... plus tard, prendre la main à distance pour téléguider cette machine pour effectuer une ou plusieurs attaques, ou permettre à cette machine de devenir un serveur web pédophile, d'achat en ligne, de promouvoir des attaques de phishing, ou même d'être un faux serveur de blog.... bref tout peut être imaginé!

5. Pour ce faire, de nouveaux procédés sont mis en place sur les machines victimes en installant un DNS Dynamique....

Cette technique devient de plus en plus fréquente pour le phishing (faux serveur de logging bancaire) ou pour des faux serveurs de casinos.... oui, les machines des utilisateurs zombies sont de plus en plus référencées dans les moteurs de recherches type google et yahoo search.

En faisant des recherches en fonction de l'actualité, qui peut être sportive, politique ou ... autre... l'internaute se retrouve très facilement sur un faux serveur de blog ou faux serveur web comme le montre la photo ci-dessous :

Ce Faux blogs avec le téléchargement sur youtube d’une vidéo n’est qu'en fait qu’un fichier exécutable qui contient le storm worm...

En juin 2007, le FBI lancait une annonce presse indiquant 1 million de machines zombie.

Après de nombreux calculs mathématiques au centre de recherche scientifique, on estime que le nombre de machine zombie n'est pas de 1 million comme l'indique le FBI, mais plutot estimé entre 30 et 50 millions.

Nous allons voir ensemble pourquoi.

Que se passe-t-il aujourd'hui ?

L’utilisation à distance d’une machine zombie est très pratique, certes, mais les ressources CPU doivent répondre au lancement de l’attaque ou au téléchargement du nouveau code.

Cette sur-activité CPU est normale, car des opérations mathématiques particulières doivent être lancées. Ces opérations font appels aux FLOPs (opérations à virgules flottantes).

Mais la perception au niveau de l'utilisateur est importante. En effet, avec une utilisation du processeur de 100%, l'utilisateur peut tout juste faire bouger sa souris. C'est la raison pour laquelle, de nombreux pirates voient leurs codes rapidement détectés par les Antivirus, car les utilisateurs suspectent fortement leur machine.

Si leur code est détecté, pour le pirate essayant de mettre en place un réseau parallele de machines zombies, il y a de fortes chances que l'existance et la persistance de ce réseau soit très fortement fragiligisé, et surtout que ce réseaux ait une faible durée de vie.

C'est pourquoi, depuis quelques semaines, nous assistons à une emergence de nouvelle génération de vers appelés STROM WORM.

Voici le principe :

Les délinquants ont décider de prendre des mesures technologiques afin d’éviter que les machines zombies soient affaiblies par l’activité.

Ils utilisent la techniques des ressources CPU partagées.

Lorsque le stormworm arrive sur la machine, il va faire une analyse du CPU afin de déterminer le nombre de MEGA FLOP maximum pouvant supporter le CPU, le storm worm va ainsi n'utiliser que 2/3 de la puissance de la machine victime.

La résultante est efficace :

En effet, à 47% d'utilisation du CPU, l'utilisateur n'a aucune perception de contamination, d'utilisation à distance de sa machine, y compris si la machine est un serveur web référencée sur google!

Mais comment ces codes arrivent sur ma machine ?

Les délinquants d'aujourd'hui n'utilisent plus vraiment le courrier électronique pour déployer leurs attaques....Il y a trop de procédés antispam, antivirus, blocages de certains fichiers par extensions, etc...

Ils utilisent aujourd'hui le WEB, le surfe, le HTTP !

La technique ne date pas d'hier ! C'est la technique du defacing/défaçage.

En fait, certains serveurs web sont vulnérables par le biais des applications fonctionnant sur le serveur : php, sql, etc...

Ces failles, si ces applications ne sont pas mises à jour, permettent un accès quasi total sur les répertoires du serveur web où sont localisées les pages d'index et autres pages, type contact, forum, etc...

Les anciennes générations de pirates, dit 'joueurs', ne faisaient que insérer une image comme celle ci-dessous sur la page d'index du serveur web piraté !

Maintenant, les cyber-délinquants recherchent la transparence.

Ils utilisent les mêmes méthodes pour propager leurs codes, mais insèrent tout simplement dans le code de la page du serveur du code comme ci-dessous :

Pour les pirates les plus vicieux, ils inséreront une IFRAME transparente, comme l'exemple ci-dessous :

La technique de la IFRAME transparente est simple.

Le pirate va faire héberger un code VBS ou JS sur une de ses machines zombies, et lorsque le navigant viendra sur le serveur du site défacé, le navigateur de l'internaute, ira téléchargé de facon transparente ce code en infectant ainsi, non pas le serveur web, mais l'internaute lui-même.

Epidémiologie de ces techniques

Il ne faut pas cacher que ces technologies sont extrèmement bien maitrisées, et leurs propagations sont classées parmi les plus hautement emmergents.

Une évolution de +300% sur tout ce qui est StormWorm et StormBotnet depuis juin 2007, et une evolution parallèle équivalente pour tout ce qui est JavaScript, VBScript, Iframe, PHP et HTML dans les bases antivirales de Kaspersky... SUR LA MEME PERIODE...

Associé à ces technologies, viennent s'ajouter l'utilisation des codes modulaires.

Le principe du code modulaire est la possibilité de pousser dans une enveloppe programme chargé en mémoire, un certain nombre de codes sous-programmes en temps réel afin que cette enveloppe lance en temps reel une attaque.

Cela permet aux attaquants de changer le contenu de leurs malwares en moins de 1 heure sur les machines zombie .. et de n'être quasiement jamais détecté par les antivirus !

Les attaquants possèdent une base de données qui permet, à tout moment, de connaître le nombre exact de machines zombie en ligne, prêtes à recevoir une attaque ou à la lancer

Cette base de données peut avoir des options de réplications avec une ou plusieurs bases de d’autres cyber-délinquants....en d'autres termes les consoles des pirates sont standardisées afin de recevoir les bases de données de d'autres pirates!

Voici une console d'administration de machines zombies 'dites ancienne génération' dont le(s) pirates disposent :

Initialement la technique du botnet qui est installé sur les machines zombies des internautes envoie les adresses IP des machines zombies à une console d’administration sur la machine du pirate.

Le pirate pousse le code de son attaque sur sa console-serveur.

La console-serveur télécharge le nouveau code de l'attaque sur les machines zombies dans les codes modulaires.

La limitation de ce système est que le serveur qui déploie les attaques peut être localisé facilement. En effet, chaque machine zombie renvoie sur la même adresse IP ou nom DNS (console du pirate) ses propres informations. Lors de la découverte de ces informations, nous faisons fermer cette ip ou ce nom dns.

Résultat : le réseau zombie tombe, donc le pirate ne dispose plus de puissance de machines téléguidées.

C'est pourquoi, ils ont imaginé un nouveau concept : Les StormWorms et StormBotnet

Les StormWorms et StormBotnet

Cette console rapatrie les hosts (serveurs) décrivant des détails ultra-précis sur leurs taux d’efficacité et par pays permettant une attaque ciblée ou globale.

Comme on peut le constater, dans cette console nouvelle génération, il n'y a plus de notion du nombre d'adresses IP, mais on établi des calculs par rapport à des TAUX D'EFFICACITE!

Oui, si on revient sur mes explications concernant les FLOPs, les STORM BOTNET gèrent des puissances de calculs, qui sont géolocalisées.

Par conséquent, dans cette image on peut constater que le taux d'efficacité pour les USA est faible. La raison pour laquelle cette valeur est faible est que bon nombre d'américains éteignent leurs machines la nuit puisque la copie écran a été faite ... de la france aux heures ouvrées

Mais si on pousse la réflexion, certains gouvernements européens ont subis des attaques de Chine, il y a quelques semaines.

Oui, les attaques venaient de Chine, si on géolocalise les provenances des attaques....MAIS qui est le commenditaire ??? Et oui, puisque la console ci-dessus est une console WEB accessible depuis n'importe quel PC ayant une connectivité internet.... à méditer...

Bref, revenons sur la constitution des nouveaux réseaux paralléles STORM BOTNET :

Le Storm Botnet est programmé pour avoir une grande force de calcul (Flop) et obtenir une géolocalisation précises des zombies

Le principe de ce Botnet s’appuie sur la technologie du p2p.

Le storm botnet met en place des machines zombie qui agissent en tant que serveur (hosts) ou male. Chaque serveur (host) a un nombre limité de machines zombie attaquantes, mais qui dépendent d’au moins 3 serveurs (hosts) à 5...voir plus...

Par effet de maillage, on multiple en masse rapide le nombre de machines zombies tout en limitant les trafics réseaux disponibles pour des attaques diverses

Cet effet de maillage permet également d’auto-contrôler les puissances des microprocesseurs de chacune des victimes

Il permet également une grande longévité de vie d’un réseau zombie

Dans cette photo, les carrés représentent les machines hosts dites machine male.

Lorsqu'un internaute se fait contaminé par un storm worm, alors sa machine fera des tentatives d'infections sur 1000 ou 2000 machines du net... on ne peut donc pas prétendre à une épidémie. Mais chacune de ces machines vont à leurs tours essayer de contaminer 1000 à 2000 machines, et ainsi de suite.

Par contre sur les 2000 machines, certaines deviendront des machines hosts (machines males) et les autres femelles.

Chacune des machines femelles communiqueront avec les machines hosts (males) afin de télécharger de nouvelles attaques, soit des attaques nominatives, soit multiples.

Les gros interêts de cette technique sont que d'une part, si une machine host est détectée par un antivirus, les machines femelles continueront de communiquer avec les autres hosts (machines males).

C'est un peu le principe de KAZAA : Il y aura toujours l'existance de ce réseau, car il y aura toujours une machine cliente et une machine serveur, juste le minimum pour la survie de ce réseau parallele !

Quel est le principe de fonctionnement des males et femelles ?

L’enveloppe vide poussée après infection est inoffensive car elle ne possède pas encore de codes.

Elle attend que l’attaque soit envoiée sur son IP.

Le block sera rempli ultérieurement par l’intermédiaire d’un storm botnet en ‘push’ ou en ‘pull’ et être cacher avec un rookit.

Comme on peut le constater sur cette image, le Géniteur est le code qui sera poussé sur les machines males.

Ce code a un double header :

- Marker : code modulaire destiné pour les machines males ou host

- Block Information : code modulaire destiné pour les machines femelles.

Comme on peut le voir, les block modulaires peuvent être logés dans les micro-sections dans n'importe quelle zone de l'enveloppe, permettant ainsi de multiples attaques comme par ex : un faux server web/blog ET un serveur de mail pour propager du SPAM, etc...

Ce qui complique la détection des antivirus, puisque ces micros-sections ne sont réellement pas fixées à un endroit précis.

CONCLUSION

He oui! les codes modulaires sont un problème pour les antivirus.

Il est fortement recommandé d'utiliser les dernieres versions des suites des éditeurs antivirus, de choisir un antivirus très réactif au niveau de ces mises à jour de bases MAIS SURTOUT, surtout, utiliser une protection très poussée pour tout ce qui est surfe du traffic internet, en activant les détections heuristiques au maximum, l'utilisation d'une Proactive Defense poussée à son maximum.

Pour une entreprise, je ne saurai que recommander une protection antivirale renforcée au niveau des proxys HTTP.

Pourquoi ces précautions ?

Tout le monde a déjà vu, en surfant sur certains sites, des bannières publicitaires.

A chaque visite, ou pendant la visite, on peut voir défiler des bannières différentes.

Pour la propagation http des storm worms, le cyber-délinquants utilisent la même technique, sauf qu'au lieu de faire afficher des images publicitaires, ils font exécuter du code qui peut etre VBS, JS ou même des exécutables.

Pour ce faire, ils utilisent des moteurs de bannières aléatoires de ce type :

Dans cet exemple, j'ai pris NOTEPADxxx.EXE

En fait, le délinquant n'a qu'a déposer dans les faux serveurs web une url de redistribution pointant sur un ou plusieurs serveurs zombies.

Le résultat est interessant, car l'internaute (future victime) va télécharger aloéatoirement des codes différents...

Dans cet exemple, on va pouvoir accèder à ce type de téléchargement suivant, à chaque visite de la page :

- 1 ere visite :

- 2eme visite :

- 3eme visite :

Comprendre cette procédure

En fait, dans ce concept, il est facile pour le cyber-délinquant, de passer à l'antivirus, la totalité de ces codes mis à disposition des futures victimes zombie.

Dès qu'un de ces codes (ceux que l'on visualise dans le redirecteur ci-dessus) est détecté, il est simple et sans coupure de téléchargement, pour le pirate, de modifier un de ces codes afin de ne plus être détecté... et ainsi repousser sur ce serveur un nouveau StormWorm...

Un peu d'histoire

- En 1999, il fallait 10 à 15 jours pour les créateurs de virus pour exploiter des failles publiées sur les sites de sécurité!

- En 2003, 15 min suffisaient à développer un code malicieux exploitant une faille venant d'être référencée

- En 2007, moins de 4 min suffisent à développer un code malicieux exploitant une faille venant d'être référencée

On peut donc conclure que il faut impérativement pousser les analyses heuristiques et proactive défense à leurs maximum pour limiter les attaques ZERO DAY.

Voici une interview de Jérome Colombain et de Vincent Saurel sur le site de Cisco qui traite de l'état de l'activité virale 2007 et à quoi faut-il s'attendre pour 2008...

Cette interview a été donnée le : 19 Décembre 2007

- Podcast Marc Blanchard - 19Dec2007-InterviewCisco-Dialog

Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur le mot TROJAN (Cheval de Troie).

La nomination du mot TROJAN est utilisée pour tout ce qui a une relation avec une attaque d'un ordinateur, serveur, perturbation informatique. Cette utilisation est incorrecte, mais elle est comprise par tous et toutes. C'est pourquoi, je vais vous expliquer le terme générique TROJAN qui est aujourd'hui utilisé dans notre métier.

Définition :

Les premiers trojans ont été developpés par le mathématicien Alan Turing en 1936, qui avait comme mission d'appliquer le même programme sur différents calculateurs.

Un Trojan est un code malicieux dont la totalité de son code programme EST le code malicieux.

Contrairement aux techniques utilisées par les virus (concaténation du code malicieux dans le code programme original d'un fichier existant (fichier hôte)), les trojans sont complétement indépendant au niveau de leurs codes.

Les trojans sont généralement des programmes en tant que tel, comme des outils freeware ou shareware, téléchargés par un utilisateur ou arrivant via une technologie de Worm ou StormWorm par le biais du mail, web, MSN, IRC, etc ou sous forme de lien HTML.

Technologies embarquées :

Les Trojans peuvent embarqués de nombreuses technologies pour effectuer leurs process malicieux :

- Technologies de rootkit

- Technologies de Backdoors (portes dérobées) : ouverture d'un port TCP permettant au pirate d'entrer sur la machine victime pour lui faire faire des actions malicieuses

- Technologies de BotNet (robot internet) : permet d'envoyer l'adresse IP en temps réel de la victime au pirate, lui permettant ainsi d'avoir les coordonnées de ses victimes pour entrer via la backdoor

- Technologies de programmations telles que MUTEX

- Technologies de Compétences transversales pour une attaque sans incident !

- Technologies d'hébergement de WORMS (vers) permettant ainsi une durée de vie de ce code malicieux la plus longue possible

Perception de la contamination

En général, l'utilisateur ne s'appercoit de rien, car un trojan est si petit, si furtif, qu'il travaille en arriere plan à l'insu de l'utilisateur.

Ensuite, la perception de la contamination dépendra des actions pré-programmées du trojan.

Méthodes de détection

Les trojans sont détectés et eradiqués par des logiciels antivirus.

Méthode d'erradication

Il est possible de rencontrer des problèmes d'erradication des Trojans, car ils utilisent très fréquemment la technique MUTEX.

On essaiera, dans ce cas, de rebooter en mode sans echec, et de scanner tous les fichiers de la machine avec un antivirus à jour.

Pour certains egenes trojans, il est parfois nécessaire de procèder à un nettoyage manuel ou par le biais d'un cleaner.

Ce podcast est une interview sur France Info par Jérome Colombain pour en savoir plus sur l'évolution et le fonctionnement des réseaux Zombies.

Cette interview a été donnée le 21 Novembre 2007

- Podcast Marc-Blanchard-FranceInfo-Jerome Colombain - 21 novembre 2007

De nombreux codes malicieux, ajourd'hui, utilisent une technologie un peu particulière qui se nomme MUTEX.

Définition :

C'est une technique permettant d’allouer physiquement un emplacement mémoire particulier et de le réserver.

Toute application utilisant la technique Mutex ne peut PAS être déchargée, arrêtée ou détruite sans en avoir détruit son parent.

La notions de gestion des processus parents/enfants est alors utilisée.

On dira dans ce cas un « programme persistant ».

Pour exemple plus concret, il est quasiement impossible d'arreter un serveur de mail de type Exchange....

Il en est de même avec le process SVCHOST !

Pour stopper un programme persistant, il suffit de stopper tous les processus enfants pour finir par arrêter le programme parent.

Définition de cette technique par les codes malicieux :

Technologie MUTEX : « Le chat qui se mord la queue! »

On sait, de par cette technique, que les process enfants doivent être stoppés afin que le dernier enfant puisse faire un 'kill' du parent

Les développeurs de virus ont légèrement modifié le processus mutex.

Comme on peut le constater sur cette image, le parent GetMutex A pour être stoppé attend la fin du process D, qui lui même attend la fin du process C, qui lui-même attend la fin du process B, qui lui même attend la fin du process A....MAIS comme le process A attend la terminaison du process D, on dit que le chat se mord la queue !!!

CONCLUSION :

Des fonctionnements cycliques sont difficiles à décharger de la mémoire dues à leurs dépendances inter-liées

Une application telle qu’un Antivirus peut rencontrer des problèmes pour décharger un process utilisant Mutex (un cleaner spécifique, dans ce cas, est obligatoire).

Cela permet aux codes malicieux de devenir de VRAIs programmes résidant et persistant en mémoire.

Les Téléphones d'aujourd'hui appelès PDA ou Smartphones ou le tout intégré utilisent des systèmes d'exploitations qui se rapprochent de nos ordinateurs. Certains smartphones embarqueront Symbian (en perte de vitesse) d'autres embarqueront Windows Mobile.

Ce compte-rendu s'appuie Windows Mobile, car aujourd'hui et demain Windows CE est et sera la base des tout nouveau device embarquant de l'informatique (avions, voitures, téléphones, télévisions, réfrigérateurs, lecteurs video à la demande, consoles de jeux, etc....)...tout ou presque est orienté maintenant Win CE avec XP(le petit frère) puis maintenant Vista...petit à petit MS fait son nid....On voit deja que Palm remplace son PalmOS par WinCE, que BlackBerry est en chute libre avec son push de mail, car Microsoft, de par les nouvelles versions de Exchange, rend le même service !!!

On sent que Microsoft rentre dans ce marché, car le business est très important !

Par conséquent, nous étudierons les téléphones d'aujourd"hui fonctionnant sous Windows Mobile qui ont une double gestion des devices embarqués (Bluetooth, Wifi, Téléphone, gestion GSM, Infrarouge, RAM, ROM, StorageCard).

En effet, afin de limiter les consommations batteries, une gestion intelligente des alimentations des devices a été étudiée, ce qui signifie qu’une zone de la mémoire est allouée aux applications chargées en veille tout en gardant au maximum leurs fonctionnalités.

C’est pourquoi, une gestion des applications est un peu différente des applications sur PC.

Gestion de la mémoire :

Voici un exemple concret qui permet à l’utilisateur de tuner sa mémoire en Windows Mobile 2003SE, qui est maintenant géré automatiquement par le système Windows 2005 Mobile :

En Windows 2005, la gestion de la mémoire est automatique. En effet, la gestion des applicatifs peut être mise en suspend, en arrêt total ou bien en lancement exclusif.

La gestion des mémoires sur le Smartphone Windows Mobile 2005 est divisée en 3 parties : La flash ROM, la flash persistante et la RAM.

La Flash ROM est l’emplacement mémoire ou les applications seront stockées mais pourront être réutilisées après un arrêt complet du Smartphone.

Par conséquent les données pourront être splittées entre la ROM et la flash.

Par contre, les données stockées dans la ROM seront dédoublées puisqu’il faut qu’ils soient exécutées à partir de la RAM flash et non la ROM qui est leurs stockages persistants. Sous Win2003SE, les données pouvaient être compressées, ce qui n’est plus possible avec 2005.

En Windows2005, la structure des répertoires et des fichiers sont fondues dans un et un seul format de catalogue, permettant à un utilisateur de ne plus confondre la ROM et la Flash persistante ou pas.

La RAM est alors utilisée a 100% pour les lancements des applications. Si une application est trop gourmande, l’OS fermera automatiquement alors une application suspendue, pour laisser maître l’application principale.

Mais cette gestion permet également de protéger le système de toute application dangereuse pour le Smartphone.

Par contre, la gestion intelligente des pages mémoires effectuée par Windows, permet une gestion optimale du mode multi-applications qu’offrent les nano-computers, se rapprochant ainsi du fonctionnement d’un ordinateur de bureau avec ROM/RAM/HD.

La limitation des programmes est limitée à 32 Mb.

En ce qui concerne le file system, la structure a été simplifiée mais ressemble à celle des répertoires et fichiers de Windows

On notera la présence dans le file system de Storage Card, qui est la Mémoire additionnelle.

Accés aux registres de Windows 2005 Mobile :

Il y a deux méthodes d’accès aux registres de Windows Mobile. Il est à noter que ces outils ne sont pas installés d’origine dans le système.

Les meilleurs (ceux qu’ils ne font pas trop de dégâts substantiels dans l’OS) sont ceux distribués par les hackers dans les sites undergrounds.

Attention, certains sites de freeware Pocket ne sont pas forcement des sites de référence, et il peut s’avérer dangereux pour le smartphone ou l’utilisateur non initié d’installer des outils très proche du système.

Il y a deux méthodes d’accès aux bases de registres du nano-computer :

a. Directement sur le SmartPhone avec un outil à installer soit même :

b. Avec ActiveSync connecté au PC :

Comme on peut le constater, on peut créer, effacer, visualiser, modifier les clefs a souhait. Il n’y a pas de notion de sécurité comme nous pouvons l’avoir sur XP.

STACK TCPIP :

Les configurations réseaux TCPIP de tous les supports sont stockées dans les Registres.

On retrouvera ainsi toutes les configurations de base des antériorités de connexions mais également celles qui sont actives.

Il est à noter que ces informations sont conservées même après un reboot du smartphone. Elles seront perdues lors d’un reset général du nano-computer.

La stack TCPIP de Windows 2005 mobile a été simplifiée.

Les vulnérabilités connues a ce jour ne sont pas exploitable sur la stack de Windows 2005 Mobile.

Ci-après un compte-rendu de NESSUS :

En conclusion, les vers actuels, hormis les modifications des heures et dates de réponse des requêtes IP avec l’ouverture des ICMP de la stack, ne peuvent pas spoofer la stack.

Contamination avec fichier EXE ou CAB contenant un virus développé spécifiquement pour Windows Mobile :

Comme toute application, il est demandé une confirmation pour son installation.

Une fois l’opération effectuée le fichier disparait en Windows Mobile 2005, mais s’exécute correctement en Windows Mobile 2003 :

Conclusion :

Contamination avec un virus inséré dans une page WEB HTML (les malwares et spywares download, dialers, keyloggers, adware fonctionnent sur ce principe) :

Sur http://tav.kaspersky.fr, il y a un certain nombre de tests a effectué.

Il s’avère que sur le lien ‘Le test EICAR’ la signature de EICAR est écrite au format HTML :

Conclusion :

Les trafics en temps réel sur les pages web sont traités en HTML et en FTP et interprètés par le navigateur

Les contaminations sous Office Mobile :

Afin de contrôler les possibilités éventuelles sur les codes malicieux sous office, il m'a été intéressant de vérifier les comportements d'Office Mobile en cas de contamination.

La procédure d'infection s'est faite de la façon suivante :

a. Vérification que le document office contient bel et bien le code du virus Melissa

b. Copie manuelle via activesync d'un document Word contenant le virus Melissa

c. Execution du document word afin de lancer le virus

++Conclusion: ++

On constate que MSOffice Mobile ne peut pas executer le code du virus Melissa

Regardons apres une sauvegarde de ce document sous MSOffice Mobile si le virus est transporté par MSOffice Mobile ou pas

Dump du fichier :

On s'appercoit que le virus ne suit pas l'activité du fichier contaminé.

Par conséquent, le document est vide de ses macros suite à des modifications par MSOffice Mobile. Donc, pas de création de fichier d'environnement Normal.dot et pas d'utilisation des APIs Outlook Mobile.

Même constats avec les dossiers Excel Mobiles :

a. Vérification que le virus Yohimbe est bien dans notre fichier hôte Excel contaminé :

b. Copie manuelle du hôte contaminé via activsync :

c. Lancement du fichier Excel avec MSOffice Mobile :

++Conclusion: ++

On constate que MSOffice Mobile Excel ne peut pas executer le code du virus Yohimbe

Regardons apres une sauvegarde de ce document sous MSOffice Mobile si le virus est transporté par MSOffice Mobile ou pas

Dump du fichier :

On s'appercoit que le virus ne suit pas l'activité du fichier contaminé.

Par conséquent, le document est vide de ses macros suite à des modifications par MSOffice Mobile. Donc, pas de création de fichier d'environnement personal.xla

On constate que les attaques sur les smartphones / PDA utilisent des supports différents :

- SMS

- MMS

- WIFI

- Bluetooth

Pour ce dernier, de nombreux scanners sont en libre sur le net, qui permettent, à partir d'un ordinateur portable ou d'un autre smartphone, de scanner les entités autour de le victime.

De nombreux services sont ainsi potentiellement exploitables pour utiliser les téléphones d'aujourd'hui

De nombreux codes malicieux arrivent sur nos smartphones par le biais du Bluetooth, mais également via SMS ou MMS....demain avec la VoIP sur Wifi, les attaques utiliseront ce canal de communication.

a. Demande de pairing avec le smartphone infecté

b. Réception du code malicieux via Bluetooth

c. Validation de l'intallation d'un jeux ou sonnerie, et le smartphone est infecté

Conclusion :

Ne sous-estimez pas la puissance des codes malicieux sur téléphones mobiles, ne pensez pas que cela n'arrive qu'aux autres, car c'est faux.

Voici une petite extraction des familles de codes malicieux s'attaquant aux smartphones et téléphones portables des bases de Kaspersky

Pour la petite annecdote, régulièrement, dans la salle d'attente de mon kiné, des attaques me parviennent sur mon smartphone... Eh oui, mon portable est en invisible sur bluetooth, mais j'ai besoin de mon oreillette bluetooth...c'est par là qu'arrivent les attaques

Le mot de passe des oreillettes est 0000 !!! Facile pour le code malicieux

JDN Solutions - Interview

Marc Blanchard (Kaspersky) : "On peut décompter 20 à 30 millions de bots dans le monde" Le chercheur de Kaspersky revient sur l'évolution des modes de propagation multiplateforme des réseaux zombies. Technologie P2P et consoles d'administration complexifient la lutte antivirale.

JDN Solutions : Pourquoi cette enquête sur les réseaux de PC zombies ?

Ce qui m'y a poussé, c'est la déclaration du 13 juin dernier faite par le FBI et qui faisait état d'un million de victimes potentielles. De source non-officielle, je pense qu'en 2007, on peut en décompter entre 20 et 30 millions. Bien que ce désordre numérique ne soit pas une épidémie - cela fait désormais quelques temps que ce ne l'est plus -, il m'inquiète.

Le spam envoyé depuis des ordinateurs infectés existait déjà, mais en 2007 nous avons remarqué la multiplication des faux serveurs Web et des blogs fictifs, référencés dans les moteurs de recherche. Or, tous ces services sont hébergés sur des machines contrôlées par un bot, c'est-à-dire un robot.

En ce qui concerne le mode de fonctionnement, on reste sur des techniques connues, avec notamment des backdoors et des rootkits. Mais ce que les pirates recherchent, c'est uniquement la multiplication du nombre de machine zombies. En 2003, le temps moyen d'un développement suite à l'apparition un nouvel exploit était de 15 minutes avec propagation sur le net. En 2007, ce temps est seulement de 4 minutes.

JDN Solutions : Quelles évolutions avez-vous notées en ce qui concerne les bots ?

On s'aperçoit que le taux d'utilisation d'une machine contaminée par un bot ou un ver - non Storm - est de l'ordre de 100% du CPU. L'utilisateur va donc vraisemblablement s'apercevoir de la contamination, ne serait-ce que parce que son ordinateur souffre d'importants ralentissements.

J'ai ainsi remarqué que les pirates analysaient désormais le nombre de mégaflops de la machine et divisaient par 2 ou 3 le taux d'utilisation du CPU. Lors de mes tests, j'ai ainsi exécuté Storm Worm sur un ordinateur disposant de 337 mégaflops. Avec ce bot, c'était non plus 100% du CPU qui étaient exploités, mais 47%.

"Il suffit désormais de se rendre sur un site Web pour être contaminé"

Cette prise de contrôle d'ordinateurs vulnérables permet aux pirates de bénéficier d'une puissance de calcul extraordinaire. A titre de comparaison, le supercalculateur du centre de météorologie français, le Cray, dispose d'une puissance de 101 téraflops. Si on ne retient que la moitié du nombre de victimes comptabilisées par le FBI, soit 500 000, et que l'on attribue à chacun une puissance de 210 mégaflops, on peut se faire une idée de la puissance représentée par les botnets.

JDN Solutions : Quel est le mode de propagation des bots ?

Aujourd'hui, les méthodologies de propagation et de contrôle à distance des machines sont différentes. Dans un premier temps, on va essayer de vous pousser une enveloppe vide de toute attaque, en fait une backdoor. Cette porte dérobée va permettre d'accéder à un point d'entrée afin de propager une ou plusieurs attaques : serveur de mail, faux blog, faux DNS, etc. Le robot activé - le bot -, enverra de façon automatisée votre adresse IP au pirate à chacun de ses changements.

Les plates-formes de propagation ont elles aussi changé. Avant, le mode de contamination était essentiellement l'e-mail. Désormais, il suffit d'aller sur un site Web. Il faut savoir qu'un script inséré dans le code d'une page Web permet de modifier en temps réel une clef de registre.

Ainsi, les pirates viennent ajouter du code dans les pages d'origine des serveurs, soit un script ou un iframe, qui va pointer vers un autre serveur. Ainsi, un internaute visitant le site et n'ayant pas un système à jour, comme cela est fréquent, téléchargera le code du programme malveillant.

Les attaques de script - VBS, Javascript, PHP, iframe, etc. - vont de pair avec la montée en puissance de Storm Worm. Depuis août, la base de signature des scripts malveillants a ainsi progressé de 300%.

"Les consoles d'administration permettent de géolocaliser les victimes par pays"

JDN Solutions : Quelles sont les particularités de Storm Bot ?

En plus d'une grande force de calcul, il permet aux pirates de géolocaliser l'ensemble des zombies et repose sur une technologie de P2P. Storm Botnet se compose ainsi de machines hôtes mâles qui vont essayer de trouver 1.000 à 2.000 femelles prêtes à accéder au code géniteur du programme. En outre chaque femelle sera reliée à au minimum 3 machines hôtes. Le maillage est très rapide car les femelles vont essayer également de propager des enveloppes vides à 1.000 à 2.000 autres machines.

Les consoles d'administration permettent quant à elles désormais de géolocaliser les victimes par pays. Un pirate peut même établir des rapports statistiques par pays et télédistribuer une attaque à l'échelon national ou international. Ce mode opératoire permet d'ailleurs de remettre en cause l'implication des autorités chinoises dans les attaques contre la France. Les machines zombies peuvent en effet se trouver en Chine, mais le commanditaire, via ces consoles d'administration évoluées, peut être dans un autre pays.

Autrefois, un botnet était facilement géolocalisable car il reposait sur quelques machines poussant l'attaque. Il suffisait alors d'examiner les traces sur un ordinateur zombie pour retrouver l'identité de ces serveurs hôtes. Une fois ces derniers désactivés, le réseau zombie s'écroulait.

JDN Solutions : Un tel maillage signifie-t-il qu'il est désormais impossible de déconnecter un botnet ?

Ce serait comme essayer d'arrêter un réseau P2P type Kazaa. Trop de machines sont à la fois clientes et serveurs pour qu'il soit possible de faire s'écrouler le réseau de partage. Pour venir à bout de Storm Botnet, il faudrait parvenir à nettoyer l'ensemble des ordinateurs contaminés. Or, il y aura toujours des machines vulnérables.

De vieux programmes comme Blaster, Sasser, Mydoom continuent par exemple d'être au Top 5 des attaques sur le câble. Cela signifie qu'il y a toujours des postes vulnérables qui véhiculent le code sur les réseaux. Avec une propagation multiplate-forme, les pirates s'assurent de toujours disposer d'un nombre de bots suffisant. Et ils y ont tout intérêt puisque leurs profits en dépendent directement.

L'intégrale de l'interview sur le Journal du Net

Attendez vous à recevoir une nouvelle technique de SPAM dans vos boites aux lettres.

En effet, depuis ce matin, les boites aux lettres commencent à recevoir un spam qui contient un fichier MP3, qui fait une annonce d'une entrée en bourse d'une entreprise du net appelee EXIT ONLY Inc...

Voici des echantillons mp3 quasiment inaudibles qui arrivent dans vos boites aux lettres :

Echantillon MP3 du fichier qui arrive par mail 118 ko

Autre Echantillon MP3 de 109 ko

Cette technique est une mise à l'épreuve de technique de spams vocaux. Il est à noter que les fichiers qui arrivent dans les boites aux lettres sont de tailles différentes, représentant ainsi des échantillonnages de la voie différents, et des noms des fichiers MP3 différents.

A quoi faut-il s'attendre demain avec cette technique?

Il sera simple de recevoir des spams en MP3, qui inciteront les internautes à aller visiter des sites internet.

Ces sites contiendront des codes malveillants afin de contaminer les internautes, avec des trojans downloaders (malwares qui se téléchargent et s'installent automatiquement à l'insu de l'utilisateur).

Le but, pour les cyber-délinquants, est d'accroître et de maintenir en fonctionnement un parc de machines zombies sur la planete afin de les exploiter au maximum...à des fins cyber-criminelles, tels que le spam, des denis de services, de l'espionage, des chantages et toutes autres attaques numériques.

Afin de mieux comprendre certains concepts technoloqiques de fonctionnement des virus et malwares, je vous propose dans ce post une petite explication sur les codes utilisant des compétences transversales.

La technique de compétences transversales existe depuis 1975 pour l’informatique.

C’est un concept de gestion de changement d’action par rapport à un résultat obtenu.

Cette compétence aura le pouvoir de capitaliser sur un résultat antérieurement obtenu comme une nouvelle entrée de données supplémentaire pour l’obtention d’un résultat différent.

En d’autre terme, l’attaque est capable d’évoluée sans pour autant changer son code original !

Etape 1 :

Un nouveau code malicieux arrive et s’exécute sur un ordinateur.

Comme tout programme, aprés exécution, le(s) fonctions programmées sont lancées et un résultat est obtenu.

Cette technique est la base de n'importe quel programme informatique.

Etape 2 :

Cette étape est programmée dans le cas de compétences transversales VOLONTAIRE de la part du développeur.

Voici le principe :

Le code auto-analyse le résultat obtenu pour prendre une Rétro-Action, dans le cas où sa première action ne peut être effectuée à 100%.

L'unité de programmation est identique à un programme traditionnel, à l'exeption prete que le résultat va être analysé.

Si le résultat n'est pas celui qui est attendu, ALORS, la compétence transversale intervient.

L'unité de programmation est alors pré-programmée pour lancer un autre type de code, permettant ainsi une nouvelle tentative.

Si elle échoue de nouveau, l'unité de programmation lancera autant de micro-codes qu'elle en dispose.

CONCLUSION :

Cette technique est utilisée par de nombreux codes malicieux permettant ainsi de s'adapter aux sécurités appliquées pour ainsi les détournées sur les postes de travail...des futures victimes.

On me pose souvent la question sur la sécurité de la Voix sur IP. Dans ce post, voici une petite explication sur les principes de la VOIP (Voix sur IP) et d'éventuelles attaques pouvant arrivées.

La nomination du mot VoIP est une nomination pour dire la voix sur IP.

Aujourd'hui, avec adsl, on a tous (ou presque), un abonnement internet avec un téléphone IP.

ATTENTION : nous n'avons pas les mêmes niveaux de sécurité sur la VoIP que sur les téléphones classiques dit RTC !

Téléphone IP :

Soit l'utilisateur connecte un téléphone traditionnel sur une sortie spéciale de son routeur, soit connecté à un switch 10/100mb, il connecte un téléphone IP (qui ressemble à un téléphone traditionnel) ou bien il installe sur son ordinateur un Softphone (logiciel de téléphone) comme celui-ci :

Définition de SIP (Session Initiation Protocol)

Une communication VoIP s'appuie sur une normalisation, tout comme le courrier électronique que l'on appelle SMTP, en VoIP ce protocole se nomme SIP (Session Initiation Protocol).

Il faut savoir que d'autres protocoles existent, mais le choix microsoft sur ses versions de Exchange mail server, incluent le protocole SIP, qui se généralise de jour en jours actuellement.

Par conséquent, mon étude s'appuie sur ce protocole.

Pourquoi SIP se généralise ?

SIP (rfc3261,3265,3428) est un protocole flexible (sur les principes du http et smtp) de bout à bout permettant d’établir une session entre 2 équipements utilisant la voix via internet

Les messages SIP peuvent s'appuyer sur :

- UDP

- TCP

- TLS en utilisant le SSL

- Le port utilisé est, en général, le 5060

- Les messages d'initialisations de la communication sont du type ASCII !!! d'où le problème !

L’adressage est du format : sip:marc@kaspersky.com

Structure globale simplifiée d'un appel que l'on fait en VoIP :

Avant d'initier un appel, les 2 correspondants doivent être enregistrés auprés de leurs SIP proxy Server afin de les localiser au niveau IP

Appelant ou appelé doivent effectuer le même schéma :

1. Le softphone ou le téléphone IP doit s'authentifier auprès du Registrar Server

2. Une fois effectué, le registrar server envoie l'information auprès du Location Server qui indique que l'utilisateur possède une adresse IP (voire un numéro de téléphone IP) et qu'il n'est plus nécessaire de le rerouter sur boite vocale.

3. Cette localisation par rapport au numéro IP et nom de l'utilisateur référencé est entré alors dans le serveur DNS.

La communication peut alors être donnée ou reçue

Ordonancement d'un appel :

4. L'appelant (à gauche sur le graphique) va questionner son SIP server dès qu'il rentrera l'identité de son interlocuteur dans son softphone ou téléphone IP

5. Le SIP server va questionner le DNS server

6. Le DNS server donnant les coordonnées IP du SIP proxy serveur

7. Le proxy Serveur SIP va demandé alors au Location Server la localisation de l'appelé

8. Le proxy Serveur SIP viendra lancé la sonnerie de l'appelé

9. La communication se fait en peer to peer en direct.

Mais que proposent les fournisseurs d'accès internet aujourd'hui?

Les ISP proposent aujourd’hui une mise à disposition de proxy SIP de façon quasi systèmatique.

Avec un simple nslookup, on peut déterminer le serveur, son éventuel emplacement et son IP

Les messages d'inititions SIP sont quasiment les mêmes qu'en SMTP

Quels sont les risques potentiels sur la VoIP ?

- Dénis de service des serveurs proxy SIP (protection définies par les logiciels SIP serveur)

Mais sur le net, il existe bon nombre de logiciels gratuits de serveur SIP qui n'ont pas de protection !

Attention avant de les installer, déclarez bien toutes les règles de sécurité préconisées dans la documentation

Exemple de Serveur SIP logiciel freeware

- Pénétration via les ports utilisés pour la VoIP (rôle des parefeux)

Assurez vous de bien filtrer les protocoles SIP par du content filtering SIP.

- Reroutage des appels vers des faux numéros (modifications des correspondances SIP-UA (sip:marc@hack.cx au lieu de sip:marc@kl.com)

Cette modification est effectuée dans les fichiers de configurations des SoftPhones (les téléphones IP de bureau etant moins vulnérables à ce type d'attaques)

- Usurpation de faux serveurs vocaux simulant des banques en ligne et capturant les ID et codes d’accès :

Cette attaque peut se faire via le fichier HOSTS de windows, ou, selon le softphone, un accès à ce fichier peut être effectué avant toute requète DNS

- Un code malicieux sous forme de sniffeur peut être installé sur l'ordinateur utilisant un softphone.

Toutes les communications pourront alors être enregistrées pour ensuite être ré-exploitées par l’attaquant par l’envoi du fichier sur un serveur ftp underground (pirate).

- Ecoutes et enregistrements téléphoniques

Voici un exemple vocal (que j'ai evidemment coupé pour les raisons de confidentialité) d'une écoute sur VoIP.

Comme vous avez pu l'entendre, les fréquences vocales sont audibles. Il reste pour le hacker de recomposer les fréquences vocales via un lecteur MP3 à coté d'un combiné téléphonique !! Pour faire ce qu'il souhaite....notamment demandé à parler à un conseiller de la banque!!

- Reroutage vers des numéros premiums via des dialers

Ici un exemple d'un dialer qui a la possibilité de lancer un appel surtaxé !

- Social engineering :

Des soi-disant agents EDF ou GDF qui vous laissent croire que vos déclaration de votre consomation est mal déclarée auprès de leurs services, et qu'ils vous demandent vos numéros de cartes de crédits pour payer votre note de gaz ou électricité...

Un faux agent de la société VISA CARD, qui vous fait croire à un achat sur internet et qui vous propose de recréditer votre compte en vous demandant vos numéros de cartes de crédits, etc...

Conclusion

Comme vous pouvez le constater, la sécurité sur la VoIP est à ses premiers balbuciements.

Eviter d'interoger des serveurs vocaux bancaires, ou même de donner vos numéros de cartes de crédit au téléphone utilisant la VoIP, même pour des achats auprès de grands commerces, car votre communication peut être écoutée, enregistrée, puis ré-exploitée à votre insu...mais en votre nom!

Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur le mot WORM (vers).

La nomination du mot WORM est utilisé pour tout ce qui a une relation avec une attaque d'un groupe d'ordinateurs, serveur, connectés en réseaux.

Je qualifie cette attaque comme un code malicieux transitant sur le câble...et y restant.

Définition d'un vers

Un vers est :

- Autonome

- Sournois

- Transparent

Il se fixe sur les autostarts (les clefs de registres qui permettent de lancer automatiquement des programmes au démarrage de l'ordinateur)

Le vers effectue des rebonds sur les cartes réseaux pour affecter d’autres ordinateurs

Il ne représente pas un fléau en nombre d’infections, mais représente un nombre très important de propagations et de rebonds, appelé machines affectées.

Sa durée de vie est très longue (plusieurs mois)

Il fait réagir les Antivirus, sans pour autant qu’une action de nettoyage puisse être entreprise due aux rebonds réseaux. En d'autres termes, le worm essaye de pénétrer la machine, mais est stoppé par l'antivirus de cette machine. On parle alors que cette machine utilisateur est affectée.

Si le vers arrive à pénétrer la machine utilisateur sans qu'il soit arrêté, alors cette machine sera infecté, puisque le worm s'y sera installé !

Méthodologie d'un vers

Une machine infectée suffit pour affecter les autres machines du réseau, voire même des réseaux extérieurs car le vers contient généralement un scanner réseau.

De nombreux vers contiennent des backdoors ouvrant des portes extérieures et interagissent avec une technique BotNet pour envoyer les informations de connectivité (adresse IP) de la victime à son créateur, en vue de créer ou de renforcer le réseau des machines des utilisateurs qui ont été ou seront zombifiées.

Fonctionnement d'un worm

Il faut faire la différence en une machine infectée et affectée.

Partant sur le principe qu’un ver fonctionne si et seulement si il est lancé d’une machine infectée, il fera, via son scan réseau, une tentative d’infection puis un rebond IP pour saturer sa victime qui n’est pas forcément celle ou le rebond est effectué. Par conséquent, on appelera une machine qui reçoit le vers comme machine affectée.

Concept de fonctionnement concernant la propagation d'un vers

Le ver possède une notion de parallélisme des attaques ou des rebonds donnant ainsi naissance à du multi-threading réduisant ainsi les timeout pour une affectation et saturation importantes de sa ou ses victimes.

Le concept se porte sur les faits :

- d’infecter un nombre limité de machines afin de mieux les contrôler et de lancer une attaque en quelques secondes

OU

- de déployer en masse une affectation de rebonds en masse pour déstabiliser les accès TCP des machines vulnérables via un scan réseau, ou bien encore un déni de service contre un serveur d'une entreprise, ou bien même d'entretenir un ensemble de machines victimes pour un réseau zombie.

Simulations de Laboratoire :

On estime que 34000 machines d'utilisateurs affectés toutes les 5 secondes à partir de 17000 machines infectées résulte qu’en 36,506 secondes permettent une affectation en masse avec des Advanced worms utilisant la technique du parallélisme.

Voici une simulation effectuée sur la propagation d'un vers utilisant la technologie séquentielle de propagation. L'affectation pour 170 000 machine s'effectue en 500 minutes.

Voici une simulation effectuée sur la propagation d'un vers utilisant la technologie parallele multithreading de propagation. L'affectation pour 170 000 machine s'effectue en 70 SECONDES.

Comme on peut le constater on ne parle plus en minutes mais en seconde !!!

Voici une simulation à partir de diverses simulations de laboratoire que j'ai pu effectuées

On peut constater les temps de propagations des vers dits WORM.

Conclusion

Attention avec les détections des antivirus !

Ce n'est pas parce que l'antivirus envoie une alerte sur un worm que le poste est infecté!!!

Il faut bien lire les rapports de l'antivirus APRES un scan complet de la machine.

En effet, la machine en question peut être une machine AFFECTEE, qui recoit le vers, sans pour autant être INFECTEE.

Il vous faut impérativement trouver la source de la machine INFECTEE, car c'est elle qui fera réagir les antivirus des postes en cours d'affectation.

Dites vous, que, tant que vous n'avez pas trouver la machine infectée, l'utilisateur aura des réactions de la part des antivirus, sans pour autant être infecté !!!

Une technique des WORMs dérivée nous arrive depuis mars 2007 appelée STORM WORM et STORM BOTNET.

Nous traiterons dans cette section ces nouvelles catégories encore plus emergentes !

Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur le mot VIRUS.

La nomination du mot virus est utilisé pour tout ce qui a une relation avec une attaque d'un ordinateur, serveur, épidémie sur internet ou un infection informatique. Cette utilisation est incorrecte, mais elle est comprise par tous et toutes. C'est pourquoi, je vais vous expliquer les différences entre tous ces codes qui, de par leurs formes, leurs techniques, leurs propagations et infections sont nommés différemment.

Que se passe-t-il lorsqu'un logiciel ou un programme est excécuté ?

a. l'utilisateur clique sur une icone d'un programme, dans notre exemple Notepad :

b. Ce programme va se charger en mémoire RAM de l'ordinateur :

c. Le résultat après exécution apparait sous forme de fenêtre ou dans une barre de tâches

Que se passe-t-il lorsqu'un virus tente d'infecter un fichier ?

Un virus est en fait un micro-programme qui est dépendant d'un fichier utilisateur que nous appelons un fichier hôte. Le virus va effectuer plusieurs tentatives d'infections dans le fichier hôte en fonction de sa technologie. En d'autres termes, le virus s'auto-adapte selon les fichiers présents sur le disque dur de sa victime. Le but est d'infecter un maximum de fichier afin d'allonger sa durée de vie.

On constate sur la gauche, la structure schématique d'un fichier. De gauche à droite, représentent toutes les possibilités technologiques qu'un virus va tenter pour infecter un fichier hôte, afin qu'il puisse continuer de fonctionner nativement, mais également de lancer le virus de facon transparente.

Constatation

On se retrouve alors avec un fichier qui a en fait deux programmes, le micro-programme du virus et le programme original !

Perception de la contamination

En général, l'utilisateur ne s'appercoit de rien, car un virus est si petit, si furtif, qu'il travaille en arriere plan à l'insu de l'utilisateur.

Un virus pénètre dans la machine de sa victime par le biais de téléchargement de programmes ou de logiciels comme des sharewares ou freewares proposés sur des forums, peer to peer, par des pièces jointes attachées aux messages, ou en cliquant sur un lien web contenu dans un courrier électronique, etc...

Méthodes de détection

Les virus, utilisant ces techniques d'infections, sont généralement bien détectés et eradiqués par des logiciels antivirus.

Variantes technologiques

Pour contrer les antivirus, certaines technologies incluent dans toutes les catégories de codes malicieux comme les virus, vers, chevaux de troie, portes dérobées, rootkits, etc, et sont utilisées afin de gagner du temps de durée de vie.

Pour un code malicieux, la durée de vie est capitale, puisque plus la durée de vie est longue, plus il sera virulent, et donc plus propagateur. Par consequent, plus long à être eradiqué.

Dans cette rubrique, nous traiterons plus en détails de ces technologies.

Dans cette section pour tout public, je vais essayer d'aborder de manière la plus compréhensible un certain nombre de termes que nous utilisons dans notre métier, nos laboratoires et que, peut-être, vous rencontrerez dans les différents compte-rendus scientifiques sur ce site.

Dans ce post, voici une petite explication sur certaines variantes de technologique embarquées dans les codes des virus.

Les catégories que nous allons expliquer ci-dessous peuvent être imbriquées dans codes programmes des virus.

Virus multi-partite ou virus bi-valent

C’est un virus qui capable d’infecter 2 ou plusieurs types de fichiers dans le même code.

Exemples :

- Un EXE peut infecter les fichiers EXE et le secteur de boot

- Un EXE peut infecter les fichiers EXE et le normal.dot

Les familles des virus Junky ou Tequila appartiennent au premier exemple.

Virus polymorphes ou polymorphiques

Ce type de virus change son code à chaque infection

Le décodage est géré par le code du virus lui-même !

Il est très difficile de le voir dans un désassembleur parce que la plupart du temps ces virus contiennent une routine anti-debug.

Dans ce cas, il est impossible de voir le code du virus.

On peut juste utiliser un viewer hexadécimal … mais bien souvent le virus est crypté.

La solution la plus facile consiste à travailler avec “baits file” et d’analyser les différences.

Exemple : MTX

Virus furtifs

Cette catégorie de virus peut se supprimer ou se camoufler quand un programme spécifique tourne sur la machine (par exemple un antivirus)

Généralement ils interceptent les interruptions int21h AH=11h,12h,4Eh,4Fh, int25h,int13h

Pour les voir, nous avons besoin de trouver le fichier infecté et de le regarder en hexadécimal depuis une machine saine.

Note: Un virus macro furtif est appelé ainsi si la fonction Outils/Macro disparaît.

Virus furtifs d’encryption/décryption à la volée

Ce type de virus est rare !

Le concept est que le virus chiffre le disque dur et sa position est sur le MBR (MultiBootRecord) qui lui même contient l’algo de cryptage/Décryptage à la volée.

Quand le virus chiffre complètement le disque dur, il n’est plus possible d’accéder aux données.

Exemple : OneHalf

Virus métamorphes

C’est une technologies très complexe qui utilise EPO (EntryPointObscuring).

Le virus insère/modifie lui-même un JMP dans l’EntryPoint sans aucune autre modification dans le header du fichier.

Il est très difficile pour un moteur de scan de voir la différence entre le code du programme et celui du virus. (ex:MTX).

Les virus métamorphes peuvent utiliser les instructions du Co-Processeur & MMX (Multi-Media) (ex:THORIN).

Les virus métamorphes peuvent utiliser le calcul de checksum de fichiers quand les Kernel est infecté, simulant ainsi un update d’OS (ex:KRIZ)

Virus macros

Il lance un contrôle visual basic et lance une session MAPI invisible pour l’utilisateur.

Par exemple, pour Melissa Virus, il utilise le carnet d’adresses d’Outlook pour envoyer les messages et les attachements.

Des variantes macros permettent même au code macro du virus de se cacher via les classes des fichiers word, Excel, Powerpoint.

Ils se glissent dans cette zone, qui, théoriquement, est réservée pour les wiziwig, les imprimantes. Pour cette catégories de virus, les éditeurs d'antivirus ont été obligés de modifier leurs moteurs de scan.

Virus JAVA

Les virus JAVA ont été développés pour tester les fonctionnalités.

Nous appelons cela Proof of the Concept. Ce POC a été modifiée pour créer un ver JavaScript.

Virus de script

Les virus de script sont généralement des codes malicieux compagnons.

Deux types de comportement peuvent être constatés:

- S’inclure dans la signature de mail

- Spam ou utilisation d’IRC, MSN, ICQ, Yahoo messenger pour se propager

Leurs langages peuvent être :

- HTML Script

- VBS Script

- JavaScript

- PHP coté serveur

- Virus de Script

Les scripts malicieux VBS&JS utilisant les technologies d’encryption et de polymorphisme (ex:VBS_KALAMAR).

Ils peuvent être « embedded » (insérés) dans des fichiers html/xml (ex:VBS_KAKWORM)

Les instructions du script peuvent être très dangereuses pour le système d’exploitation, les applications et les données (ex:VBS_LOVELETTER)

Les droits du script sont ceux des droits de l’utilisateur (en local ou en réseau)

Virus plaisantins dits JOKE

Les Jokes sont développés dans le but de perturber les compagnies

Ils n’ont pas d’effet destructeur, mais font perdre du temps aux administrateurs

On a tous bien connu le socle coca-cola qui lorsque l'utilisateur exécutait ce code avec un icone coca-cola, cela ouvrait le CDROM, faisant penser à un porte gobelet !!!

Mais des jokes plus pernitieux se sont vus entrainés de grave conséquences, comme une simulation d'un formatage du disque dur...alors qu'en fait, il suffisait de cliquer sur CANCEL !!!

Leurs arrivées : mail, ftp, http, cdrom, clefs usb, etc…