ETUDE ET DEPLOIEMENT DES ATTAQUES PAR DES MALWARES SUR LES ORDINATEURS

Généralité sur les malwares 

Notion de malwares Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Grosso modo, le mot Malware est le mot qui désigne à lui seul tous les types de logiciels malveillants. Il permet donc de désigner des logiciels tels que des Virus, des Vers, trojans, des backdoors, des Rootkits… Le premier Malware a fait son apparition dès le début de l’informatique, dans les années 1970. Intitulé Creeper, il était capable d’accéder à des systèmes distants par le 11 biais d’un modem et affichait le message « I’M THE CREEPER : CATCH ME IF YOU CAN » à l’utilisateur. Depuis, les malwares n’ont cessés d’évoluer et de se complexifier pour devenir aujourd’hui la première menace mondiale. Ils peuvent maintenant opérer sur des systèmes à haute criticité comme ce fut le cas avec le malware stuxnet en 2010 qui était capable de modifier la vitesse de rotation des centrifugeuses des centrales nucléaires. Aujourd’hui, il existe de nombreuses variations de malwares. Il est important en tant qu’analyste, d’avoir une vision précise des principales familles de malwares existantes. Chaque famille de malwares à des fonctionnalités et des objectifs spécifiques. Etre capable de classifier la famille d’appartenance d’un malware permet d’identifier rapidement son impact et son but.

Les différents types de malwares 

 Les Virus 

Un virus est un programme qui contient des instructions écrites dans un langage de programmation et codées par le programmeur, Il est capable d’infecter d’autres programmes (en les modifiant afin d’y intégrer une copie de lui-même). Il se reproduit à l’intérieur du système infecté. Il doit s’exécuter tout seul et se reproduire. Il est obligé d’infecter un programme pour se reproduire ce qui rend sa vitesse de diffusion relativement lente. L’exécution du code est souvent soumise à plusieurs conditions. (Ex : être associé au vendredi 13) alors il s’exécute et effectue certaines actions nuisibles en général et se reproduit en se greffant sur d’autres programmes.  Les dégâts En plus du fait qu’il se reproduit, il contient une « charge » qui peut causer des dégâts insignifiants ou redoutables. Cela peut aller du simple affichage d’images ou de messages à l’effacement complet du disque dur ou même du BIOS. (Basic Input Output System : partie du système d’exploitation possédant sa propre mémoire et qui permet le démarrage tout en analysant le Hardware.)  Les différents virus On distingue plusieurs types de virus : 

Les virus système ou virus de boot

 Ils infectent la zone d’amorçage d’un disque dur, d’un CD Rom ou d’une disquette, c’est à dire la première partie lue par l’ordinateur. Le virus remplace le contenu de cette zone par son propre code et est exécuté en premier, il déplace donc le contenu du boot vers une autre partie du disque. Il est chargé dans la mémoire vive à la mise sous tension de la machine et y reste jusqu’à l’arrêt de celle-ci. 

 Les virus de fichiers ou parasites 

Ils infectent les programmes, parasitent les exécutables et les fichiers systèmes, ils modifient l’ordre des opérations afin d’être exécutés en premier. Dès que le fichier infecté est lancé le virus s’active, on ne se rend compte de rien, le programme fonctionne normalement. Certains peuvent s’installer dans la mémoire vive, d’autres non (résidents ou nonrésidents). Ils portent l’extension : .exe ou .com et infectent les fichiers système .sys. Ce type de virus est très largement diffusé par certains jeux ou utilitaires téléchargés sur internet. Il infecte surtout les fichiers PE (portable exécutable) propres aux OS Microsoft et les VxD ou LE (linearexecutable). Il en existe aussi pour Mac et pour Linux, mais moins. 

 Les virus polymorphes 

Ils peuvent modifier leur code en se reproduisant, chaque copie est alors différente, ce qui les rendent difficile à détecter par les anti-virus. Certains sont même cryptés. 

 Les virus furtifs 

Ils tentent de se faire passer pour des fichiers sains afin d’être invisibles par l’utilisateur et par l’antivirus. En fait, ils surveillent les appels aux fonctions de lecture des fichiers ou des clusters du disque et modifient les données renvoyées par ces fonctions. C’est-à-dire qu’ils résidents en mémoire centrale et détournent les interruptions ou IRQ.(Internet Relay Chat). 

Les virus macro 

Ecrits dans le langage de programmation d’office (VBA) ils infectent les fichiers Word, Excel, Access, Powerpoint. 

 Les virus scripts

 Ils utilisent différents langages de scripts (java, VBScript…). Dérivé du VBA, ce dernier peut être utilisé dans les navigateurs tels qu’internet Explorer, les formulaires mails d’Outlook ou dans les serveurs http de Microsoft. Ils se propagent très vite grâce à internet et se multiplient par les messageries électroniques ou par les scripts intégrés dans les pages html. On peut alors les assimiler à des vers.

 Les Vers 

A la différence d’un virus, le ver est un programme qui se réplique sans avoir besoin d’un fichier hôte, il ne parasite donc pas de fichier de programme ou de support physique et reste autonome. Il est incapable de se reproduire sur le système infecté. On n’a donc qu’une copie du ver. Il peut agir seul et se sert des connections réseaux intranet ou internet pour se propager. La plupart du temps, ils sont entiers dans la machine, mais parfois, en segments répartis sur plusieurs machines et ils communiquent entre eux via les réseaux. Les vers se servent des connections IRC (Internet Relay Chat) ou des messageries électroniques. Souvent, ils récupèrent l’ensemble des adresses courriers dans le carnet d’adresses et dans les TEMPORARY FILES afin de s’auto distribuer aux correspondants ce qui assure une diffusion massive. Ce mode de propagation des vers est utilisé par les auteurs de virus pour diffuser rapidement leur création à travers le monde, c’est pourquoi le ver est considéré comme un sous ensemble de la famille des virus. On en trouve dans toutes les familles de virus sauf dans les virus système. Certains vers n’utilisent pas les ordinateurs de particuliers mais se reproduisent par l’intermédiaire des serveurs web.  Les Dégâts Dans la plupart des cas, il faut s’attendre à un ralentissement des performances et donc perte de productivité, voire immobilisation pour les entreprises touchées. Il peut créer une paralysie des serveurs de messagerie. Les dégâts peuvent être très sérieux. Les dommages causés par Slammer ont été estimés à 1 milliard de dollars, alors qu’il n’a fait que bloquer les machines sans s’attaquer aux données.  Exemples de vers célèbres. • En 2000, un célèbre virus de script de type ver : « I love You » a fait de nombreuses victimes.Il s’agissait d’un script VBS attaché en pièce jointe à un courrier électronique. • Le plus célèbre virus macro de type ver : « Melissa » envoyait un message signalé comme important aux 50 premières adresses des répertoires présent dans Outlook avec une pièce jointe contenant le fichier infecté. Une fois le doc ouvert, le virus va infecter tous les fichiers Word de l’ordinateur et en 2 jours, il a fait le tour du monde. • « Slammer » a été identifié le 25 janvier 2003 à 5 h 30 du matin. Dix minutes après, 90 % des serveurs vulnérables étaient infectées dans le monde (75 000 machines).A la fin de l’attaque on a chiffré 200 000 cas d’infections. • La faille d’un service de Microsoft SQL Server était connue depuis 6 mois par Microsoft qui avait publié un patch pour la corriger, mais peu d’administrateurs s’en étaient souciés. • En janvier 2004 le vers « Mydoom » fait des ravages, Microsoft offre 250 000$ pour toute information au sujet de son concepteur mais il court toujours. • CodeRed : Le 18 juillet 2001, le ver CodeRed prend les administrateurs système par surprise. En exploitant une faille bien connue des serveurs Web IIS, le ver infecte près de 250 000 serveurs en 9 heures. CodeRed parcourt les adresses IP de façon aléatoire pour se reproduire, et tente de mener des attaques par « déni de service », sur le site Internet de la maison blanche, aux Etats-Unis 

. Cheval de Troie ou Trojan et Backdoor

 Le cheval de Troie, aussi connu sous le nom anglais de Trojan Horse ou simplement Trojan, est une des méthodes les plus courantes d’intrusion dans un système. Un cheval de Troie est un programme d’apparence saine ouvrant une brèche de sécurité à des fins malicieuses. L’appellation fait référence aux habitants de l’antique ville de Troie qui, selon la légende, virent leurs assiégeants abandonner le champ de bataille en y laissant un grand cheval de bois. D’apparence inoffensive, ce trophée fut imprudemment introduit derrière les murs de la ville, ce qui allait causer leur perte. Des soldats ennemis s’étaient en effet cachés à l’intérieur du cheval. Ils attendirent la nuit pour sortir et ouvrir les portes de la cité à leurs compatriotes qui mirent la ville à feu et à sang. La méthode d’action du cheval de Troie moderne n’a pas beaucoup changé. Il se présente caché dans un autre programme sous de fausses représentations. Il peut se dissimuler dans de petits programmes d’animation graphique, simplement amusants ou plus souvent pornographiques. Il est accepté sciemment et souvent envoyé de bonne foi par les internautes ignorant les dangers qu’il contient. C’est là surtout qu’il diffère du virus, dont la capacité à se reproduire par lui-même, lui permet de se transmettre sans aucune intervention humaine directe. Les dommages causés par un cheval de Troie peuvent avoir des conséquences très sérieuses. Il peut donner l’entier contrôle de votre système à de parfaits inconnus agissant sous le couvert de l’anonymat. Par exemple, le contenu de votre système pourrait être totalement supprimé. De façon plus insidieuse, vos données personnelles ou d’affaires et certains mots de passe mémorisés sur votre ordinateur pourraient être découverts et dans certains cas modifiés. Sans que vous ne vous doutiez de rien, un cheval de Troie peut permettre à un pirate informatique d’utiliser votre connexion Internet sous votre identité pour commettre des délits criminels dont l’enquête remontera jusqu’à vous. Back Orifice est sans doute le cheval de Troie qui a fait le plus parler de lui. Présenté comme une application client/serveur pour l’administration à distance par un groupe se donnant le nom de Cult of the Dead Cow, il s’agit en fait d’un programme très dangereux. Il permet aux pirates qui l’exploitent de faire à distance, et dans l’anonymat, tout ce que vous pouvez faire vous-même au clavier de votre ordinateur. Back Orifice ouvre des ports de communication qui peuvent être connus de la plupart des pirates, permettant ainsi à quiconque sachant comment s’y prendre d’entrer dans 15 votre système. Il est également possible de spécifier les ports de communication et d’en protéger l’accès par un nom d’utilisateur et un mot de passe. Le pirate se réserve ainsi l’exploitation illicite de votre système sans que vous ne soyez même conscient de sa présence. Si les exemples les plus fréquemment rencontrés concernent les systèmes Microsoft Windows, d’autres systèmes d’exploitation tels qu’Unix ou Macintosh ne sont pas à l’abri de ce type de menace. Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacun leur mode de fonctionnement :

Les Backdoor ou Portes dérobées 

Ce sont les plus dangereux et les plus répandus des chevaux de Troie. Il s’agit d’un utilitaire d’administration à distance permettant à l’attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d’administration à distance légitimes à la différence que le Backdoor est installé et exécuté sans le consentement de l’utilisateur. Une fois exécuté, il surveille le système local de l’ordinateur et n’apparait que rarement dans le journal des applications actives. Il peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l’ordinateur dans des réseaux de botnets, etc. Les Backdoors combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, mais uniquement lorsqu’elles en reçoivent la commande de l’attaquant.

 Les Bombes logiques

 A la différence du cheval de Troie qui est immédiatement opérationnel au lancement du logiciel hôte, la bombe logique attend le moment opportun pour se déclencher. Cet évènement, déterminé par le programmeur malveillant, peut être une date particulière, une combinaison de touches, une action spécifique ou un ensemble de conditions précises. Ainsi, un employé mal intentionné peut implanter une bombe logique chargée de vérifier si son nom disparaît sur les listes, la bombe logique se déclenche et détruit les données de la société. 3. Les Keyloggers Un Keyloggers est un logiciel espion dont l’activité première est d’enregistrer les touches que vous frappez au clavier, puis de les restituer à l’auteur du logiciel lorsque vous vous connectez à Internet. Mais certains Keyloggers vont bien plus loin, en enregistrant les adresses Internet visitées, le contenu des fichiers que vous ouvrez et même en prenant des impressions écran de tout ce que vous faites. On peut distinguer deux types de Keyloggers : Les Keyloggers logiciel : ils sont sous forme logiciel et sont installés dans le système. Par exemple : Back Orifice, DreamscapeKeylogger, NetSpy, Sim Keylogger, etc.