Sebdelkil vous refile ce p'tit récapitulatif sur la méthode employer par les pirates informatique pour contourner les Anti-Virus.Ils optent le plus souvent pour une méthode consistant à crypter leur serveurs client ou fichier malveillant dans le but de le rendre indétectable par la plus par des antivirus.
Le choix entre deux solutions s’offrent aux pirates
1- Compiler du code avec une signature viral encore inconnue des Anti-Virus.
2- Crypter un exécutable sortie d'un assistant à la création de trojan style DarkComet (du célèbre et admirable "Jean-Pierre LESUEUR" alias "DarkCodersc".
Bien entendu, les coûts nécessaires ne sont pas du tout les mêmes et le plus souvent, les mêmes bases publiques ou semi-publiques sont utilisées et revendues massivement. Les sources privées sont réservées à de petits cercles d’élites et coûtent des sommes assez phénoménales…
Bien entendu, les coûts nécessaires ne sont pas du tout les mêmes et le plus souvent, les mêmes bases publiques ou semi-publiques sont utilisées et revendues massivement. Les sources privées sont réservées à de petits cercles d’élites et coûtent des sommes assez phénoménales…
Crypter un exécutable
Le principe du cryptage est le principal utilisé pour rendre un fichier exécutable indétectable. Sur le Net, on peut trouver des milliers de crypters, gratuits ou payant, parfois même open source. Première difficulté, la plupart de ces programmes utilisent les mêmes principes et sont donc sans effet, voir provoquent l’effet inverse, ils rendent détectable des fichiers qui ne l’étaient pas… Une fois qu’un crypter a été utilisé de maintes fois, l’empreinte de celui-ci est repérable par les logiciels antivirus, quelque soit l’exécutable sur lequel il est appliqué.
Un test simple consiste à développer un simple programme C affichant un « Hello World », et donc, tout ce qu’il y a de plus inoffensif. Tentez de le crypter avec un programme public largement connu et utilisé.
Résultat : il y a de grandes chances que votre logiciel de sécurité émette une alerte !
Généralement, un crypter totalement indétectable (FUD, pour « Fully UnDetectable ») ne subsiste que quelques jours voir semaines avant d’être à son tour repéré par les principaux antivirus du marché.
On distingue habituellement deux types de crypters Les crypters ScanTime
Les crypters RunTime
Les crypters de type ScanTime permettent de contourner l’antivirus lorsque celui-ci scanne le fichier malveillant en particulier et les crypters RunTime quand à eux, tentent de contourner la détection antivirale lors de l’exécution du programme.
Mais un crypter est complexe et la plus grande difficulté pour les développeurs de ce genre d’outils reste de ne pas altérer le fonctionnement (ou l’empêcher totalement) du programme à camoufler !
Généralement, un crypter totalement indétectable (FUD, pour « Fully UnDetectable ») ne subsiste que quelques jours voir semaines avant d’être à son tour repéré par les principaux antivirus du marché.
On distingue habituellement deux types de crypters Les crypters ScanTime
Les crypters RunTime
Les crypters de type ScanTime permettent de contourner l’antivirus lorsque celui-ci scanne le fichier malveillant en particulier et les crypters RunTime quand à eux, tentent de contourner la détection antivirale lors de l’exécution du programme.
Mais un crypter est complexe et la plus grande difficulté pour les développeurs de ce genre d’outils reste de ne pas altérer le fonctionnement (ou l’empêcher totalement) du programme à camoufler !
Il n’est pas rare de voir des crypters corrompre totalement le programme à protéger. Par exemple, il est impératif de conserver les en-têtes PE Header valides.
Toujours mieux contourner les antivirus
Les logiciels antivirus et les méthodes de protection évoluant continuellement, les cybercriminels ont du inventer toutes sortes de procédés toujours plus ingénieux afin de biaiser les nouvelles technologies de scan. Les malwares polymorphiques par exemple !
Des types de crypters différents ont vu le jour comme les CodeDom crypters.
Ils permettent de compiler du code source à la volée dans le but de rendre uniques les noms des variables et des fonctions constituant un programme. De plus, l’exécution en mémoire au sein d’une zone « sécurisée » utilisée par un autre processus de confiance est aussi largement utilisé.
C’est la technique de l’injection en mémoire ou RunPEpour Runtime Portable Executable qui permet d’exécuter un fichier sans qu’il soit présent sur le disque et sans qu’il ne paraisse suspect. L’une des principales victimes est par exemple le processus Windows svchost.exe, pour ne citer que lui.
Ce type de service est tellement demandé que des sites spécialisés ont même vu le jour, proposant un service de cryptage d’exécutables en ligne afin de les rendre indétectables. Cependant, il y a certains sites de ce type connus pour être des HoneyPots, dont les fichiers qui y sont uploadés sont envoyés aux firmes antivirus pour analyse. D’où l’extrême méfiance de la part des pirates envers ce genre de services, y compris pour les tests de détection multi-antivirus en ligne, dont certains envoient directement les menaces aux antivirus. Des cloud crypters commencent également à voir le jour, utilisant le réseau pour crypter le fichier dynamiquement.
Les rootkits
Ce type de service est tellement demandé que des sites spécialisés ont même vu le jour, proposant un service de cryptage d’exécutables en ligne afin de les rendre indétectables. Cependant, il y a certains sites de ce type connus pour être des HoneyPots, dont les fichiers qui y sont uploadés sont envoyés aux firmes antivirus pour analyse. D’où l’extrême méfiance de la part des pirates envers ce genre de services, y compris pour les tests de détection multi-antivirus en ligne, dont certains envoient directement les menaces aux antivirus. Des cloud crypters commencent également à voir le jour, utilisant le réseau pour crypter le fichier dynamiquement.
Les rootkits
Les rootkit jouent un rôle important lors de l’infection d’une machine. En effet, ces derniers accompagnent le plus souvent les trojans dans le but de dissimuler leur activité sur le système aux yeux de l’utilisateur et de l’OS. Ces derniers peuvent par exemple faire disparaître des clés de registre ou des processus/services. Très utile pour les pirates en somme.
Les malwares dits « polymorphiques » sont aussi une bonne alternative, étant donné que les données d’identification du programme malveillant changent à chaque infection. Autant dire que ce procédé donne du fil à retordre aux White Hats travaillant pour les firmes antivirus.
Le terme FUD pour Fully UnDetectable est très couramment utilisé sur les sites dédiés au piratage pour indiquer qu’un fichier crypté n’est détecté par aucun antivirus (ou par la grande majorité du moins). C’est le but supposé d’un crypter, mais cependant très difficile à atteindre.
Les cybercriminels ayant des connaissances avancées préféreront partir d’une base vierge, exclusive et totalement fonctionnelle afin de commettre leurs méfaits et infecter le maximum de machines en un minimum de temps.
Les malwares dits « polymorphiques » sont aussi une bonne alternative, étant donné que les données d’identification du programme malveillant changent à chaque infection. Autant dire que ce procédé donne du fil à retordre aux White Hats travaillant pour les firmes antivirus.
Le terme FUD pour Fully UnDetectable est très couramment utilisé sur les sites dédiés au piratage pour indiquer qu’un fichier crypté n’est détecté par aucun antivirus (ou par la grande majorité du moins). C’est le but supposé d’un crypter, mais cependant très difficile à atteindre.
Les cybercriminels ayant des connaissances avancées préféreront partir d’une base vierge, exclusive et totalement fonctionnelle afin de commettre leurs méfaits et infecter le maximum de machines en un minimum de temps.
Articles
