Sécurité et Services RéseauxPartie: Sécurité

(1)

Sécurité et Services Réseaux Partie: Sécurité

Pr. Ghizlane ORHANOU

Master spécialisé : Informatique Appliquée Offshoring

Année universitaire 2018-2019

Chapitre 2:

Environnement de sécurité informatique

G. Orhanou Master IAO

Cybercrime is Rising While

Readiness Declines.*

* 2014 U.S. State of Cybercrime Survey co-sponsored by PwC, CSO magazine, the CERT® Division of the Software Engineering Institute at Carnegie Mellon University, and the United States Secret Service.

La cybercriminalité est en nette évolution alors que

les mesures de cyberdéfence restent loin derrière!!

Master IAO G. Orhanou

Plan

 Différents profiles des « hackers »

 Attaques informatiques

 Virologie informatique

(2)

Plan

 Différents profiles des « hackers »

 Attaques informatiques

 Virologie informatique

Qui sont les « pirates »?



Peut être n’importe qui, avec l’évolution et la vulgarisation des connaissances.



Beaucoup d’outils sont disponibles sur Internet.



Le terme hacker est utilisé généralement pour décrire ou désigner un attaquant. Cependant, pas tous les hackers ont de mauvaises

intentions.



Il existe plusieurs types de hackers ou de

« pirates ».

Les différents types de « pirates »



Les « white hat hackers »: hackers au sens noble du terme, dont le but est d'aider à l'amélioration des systèmes et technologies informatiques.



Les « black hat hackers »: plus couramment appelés pirates, c-à-d des personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;

Les « script kiddies » (traduisez gamins du script, parfois également surnommés crashers, lamers ou encore packet monkeys) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser.

Les « phreakers » sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de téléphoner gratuitement grâce à des circuits électroniques connectés à la ligne

téléphonique dans le but d'en falsifier le fonctionnement.

Les différents types de « pirates »



Les « black hat hackers » (suite):

Les « carders » s'attaquent principalement aux systèmes de cartes à puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles.

Les « crackers » sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants. Un « crack » est ainsi un programme créé exécutable chargé de modifier (patcher) le logiciel original afin d'en supprimer les protections.



Les « hacktivistes » (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique.

(3)

Plan

 Différents profiles des « hackers »

 Attaques informatiques

 Virologie informatique

Attaques informatiques

Les systèmes informatiques mettent en œuvre différentes composantes, allant de l'électricité pour alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau.

Une « attaque » est l'exploitation d'une faille ou vulnérabilité d'un système informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins généralement préjudiciables.

Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une vulnérabilité exploitable.

Attaque et intrusion

Une Attaque:

n’importe quelle action qui compromet la sécurité des informations.

une faute d’interaction délibérée.

Une Intrusion:

faute opérationnelle, externe, intentionnellement nuisible,

résultant de l’exploitation d’une vulnérabilité dans le système

faute interne résultant d’une attaque.

Attaques informatiques



Motivations d’une attaque:



Vol d’informations



Cupidité



Modifications d’informations



Vengeance / rancune



Politique / religion



Défis intellectuels

(4)

Attaques informatiques

Failles de sécurité - Applicatives



Les failles applicatives: liées aux programmes et aux applications utilisées comme;

Les installations par défaut : plusieurs services peuvent être installés par défaut (serveur Web, messagerie, FTP…etc.).

Les mauvaises configurations : une application mal paramétrée, peut laisser l'accès libre à certaines bases de données sensibles (fichiers de mots de passe, d'utilisateurs).

Les bugs : une mauvaise programmation de scripts ou l'utilisation de fonctions boguées.

Anciennes versions de logiciels : l’administrateur du système doit veiller à la mise à jour des logiciels installés.



Les failles système :

Ports ouverts : chaque application, service installé ouvre un certain nombre de ports pour fonctionner.

Les backdoors (porte dérobée) présentes dans les logiciels : ce sont des accès cachés sur un système ou sur une application.

Les Rootkits : « outils de dissimulation d'activité » permettent d'automatiser la dissimulation en ayant comme objectif : modifier les commandes d'administration du système, cacher les ports ouverts.

Les Mots de passe : la mise en place de mots de passe à bas niveau de complexité voire leur absence.

Failles de sécurité – Système

Différentes familles d’attaques

Attaques - réseau Attaques - système Attaques - applications

 Collecte d’information

 Ecoute sur le réseau (Sniffing & eavesdropping)

 Usurpation d’identité (Spoofing)

 L’attaque de l’homme au milieu (MiTM – Man in The Middle)

 Vol de session (Session hijacking)

 Empoisonnement ARP ou DNS (ARP ou DNS Poisoning)

 Attaque de Déni de service (DoS, DdoS, DRDoS)

 Attaque de pare-feu et d’IDS

 Attaque de codes malveillants

 Prise d’empreinte (Fingerprint)

 Attaque sur les mots de passe

 Attaque de Déni de service (DoS, DdoS, DRDoS)

 Injection de commandes (OS command Injection)

 Accès non autorisé

 Élévation de privilèges

 Portes dérobées (Backdoor)

 Accès physique non autorisé

 Mauvaise ou absence de validation des données d’entrée

 Attaques visant l’authentification et l’autorisation

 Mauvaise configuration des paramètres de sécurité

 Divulgation d’information (Information disclosure)

 Attaques de dépassement de tampon (Buffer overflow)

 Attaques cryptographiques

 Injection SQL

 XSS (Cross-Site-Scripting)

(5)

Exemples d’attaques informatiques classiques



Attaques visant la collecte d’information (Balayage de port, OS fingerprinting)



Attaque DoS



Attaque MITM

Attaques visant la collecte d’information



Attaques par balayage de ports



Balayage TCP (SYN, ACK, FIN, Xmas, Null)



Balayage UDP



Attaques permettant de prendre l’empreinte réseau du système (OS Fingerprinting)



Empreinte TCP



Empreinte ICMP

Attaques par balayage de ports



L'objectif du balayage est de savoir si un logiciel est en écoute sur un numéro de port donné. Si un logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il est fermé.



Le balayage d'un port se passe en deux étapes :

l'envoi d'un paquet sur le port testé ;

l'analyse de la réponse.



NMAP: Logiciel de balayage (ou de scan) de ports, très répondu, connu pour son efficacité

Nmap a une granularité bien plus fine. Il divise les ports selon six états: ouvert (open), fermé (closed), filtré (filtered), non-filtré (unfiltered), ouvert|filtré (open|filtered), et fermé|filtré (closed|

filtered).

G. Orhanou

Master IAO Master IAO G. Orhanou

Attaques par balayage de ports

(6)

Les techniques de scan de Nmap

Attaques par balayage TCP



Il existe de nombreuses variantes pour le paquet émis. Il y a le paquet valide selon la norme TCP comme TCP SYN, et les paquets invalides. L'utilisation des paquets invalides vise à tromper les systèmes de détection d'intrusion. Voici certaines variantes :

ACK ;

Maimon (FIN/ACK) ;

Xmas (tous) ;



Le serveur peut répondre de différentes manières :

ouverture de connexion acceptée : envoi d'un paquet TCP SYN/ACK ;

fermeture de la connexion : envoi d'un paquet TCP RST ;

absence de réponse.

FIN ;

NULL (aucun) ;

Window (ACK).

Exemple d’Attaque par balayage SYN

TCP SYN Scan

Si le port est fermé, il répond par un RST

Si le port est ouvert, il répond par un SYN/ACK

Master IAO G. Orhanou Master IAO G. Orhanou

(7)

Output de nmap

TCP SYN Scan



Avantage du TCP SYN Scan

Le balayage TCP SYN ne crée jamais de session TCP. De ce fait, il n’est pas journalisé par les applications de l’ordinateur de

destination.

Ce balayage est plus discret que le balayage TCP connect().

Puisqu’aucune session d’application n’a été ouverte, le balayage SYN scan n’a aucun impact réel sur les performances de

l’application.



Inconvénient du TCP SYN Scan

Le balayage TCP SYN nécessite un accès privilégié au système (accès avec compte administrateur). Sans un accès privilégié, nmap ne peut pas créer des packets raw nécessaires pour

accomplir des balayages se basant sur un processus de connexion semi-ouverte (half-open connection process).

Attaque par balayage SYN

TCP SYN Scan (nmap –sS @IP)

Attaque par balayage TCP connect()

TCP connect() Scan (nmap –sT @IP)

Si le port est fermé, il répond par un RST

Si le port est ouvert, le scan TCP connect(), complète le TCP three-way handshake, puis envoie un RST pour fermer la connexion.

Attaque par balayage ACK

ACK Scan (-sA)

Ce type de scan est différent des autres car il ne peut pas déterminer si un port est ouvert(ni même ouvert|filtré).

Il est utilisé pour découvrir les règles des pare-feux,

déterminant s'ils sont avec ou sans états (statefull/stateless) et quels ports sont filtrés.

Le scan ACK n'active, en général, que le drapeau ACK des paquets.

Les systèmes non-filtrés réagissent en retournant un paquet RST.

Nmap considère alors le port comme non-filtré, signifiant qu'il est accessible avec un paquet ACK, mais sans savoir s'il est

réellement ouvert ou fermé.

Les ports qui ne répondent pas ou renvoient certains messages d'erreur ICMP (type 3, code 1, 2, 3, 9, 10, ou 13), sont considérés comme filtrés.

(8)

Attaque par balayage ACK

Si le port est filtré,

il n’y a pas de réponse ou réception d’un message ICMP destination unreachable

Si le port est unfiltred, il répond par un RST

Attaque par balayage ACK

Prise d’empreinte d’un OS OS Fingerprinting



Définition: L'OS Fingerprinting est l'art d'identifier le type et la version du système d'exploitation de l‘hôte distant.



Il constitue une étape cruciale dans un test d'intrusion.



On distingue deux catégories de techniques de l'OS Fingerprinting :

Techniques actives : consiste en l'envoi de paquets sur le réseau et l'attente de réponses. Les paquets envoyés sont parfois malformées car les différentes implémentations des piles TCP/IP répondent différemment face à de telles erreurs.

Techniques passives : ces méthodes se caractérisent par le fait qu‘elles se base sur l’écoute du trafic réseau sans avoir à envoyer aucun paquet.

Techniques d’OS Fingerprinting

(9)

TCP/IP Stack Fingerprinting



TCP/IP Stack Fingerprinting est une technique permettant de déterminer l'identité du système d'exploitation utilisé sur une machine distante en analysant les paquets provenant de cet hôte.



Cette méthode se base sur le fait que les différents systèmes n'implémentent pas de la même manière les protocoles réseaux TCP et IP.



La plupart des systèmes d'exploitation répondent différemment si des paquets anormaux ou bizarres leur sont envoyés.

Exemple de test de prise d’empreinte



DoS ou « attaque par déni de service ou par saturation» (en anglais « Denial of Service ») est une attaque visant à rendre indisponible, pendant un temps indéterminé, les services ou les ressources d'une organisation.



Il existe diverses raisons pour une attaque DoS:

Raisons politiques ou économiques;

Pour gagner accès à un système donné;

Pour pouvoir réaliser d’autres types d’attaques (comme

«Man in the middle » dans le cas de DNS Spoofing par exemple);

Par vengeance;

Etc.

Attaque DoS

(10)

Principe du DoS

Le principe des attaques par déni de service consiste à envoyer des paquets IP de taille ou de constitution inhabituelle ou bien en grand nombre, afin de provoquer :



une saturation ou



un état instable des machines victimes

et de les empêcher ainsi d'assurer les services réseau qu'elles proposent.

Attaques classiques en DoS et DDoS



Attaques sur la bande passante (objectif: Saturation)



UDP flooding



ICMP flooding



TCP flooding



Attaques sur les failles logicielles

(objectif: Exploitation des vulnérabilités)



TCP/RST



Paquets malformés

Exemple: SYN Flooding Attack

Serveur

SYN_C1 En écoute…

Pour chaque demande de connexion, il y a réservation de ressources.

SYN_C2 SYN_C3 SYN_C4 SYN_C5

…

Principe du DDoS



Une attaque DDoS prend place lorsque plusieurs machines compromises, infectées par un code malicieux, et sont coordonnées et sous le contrôle d’un même attaquant dans le but de pénétrer dans le système de la victime, épuiser ses ressources et le forcer à arrêter le service fournis à ses clients.



Les attaques par déni de service distribué les plus connues sont Tribal Flood Network (notée TFN) et Trinoo.



Il existe deux types d’attaques DDoS :

Les attaques DDoS typiques

distributed reflector DoS (DRDoS) attacks.

(11)

Principe de DDoS

Attacker

Masters

Slaves

Victim

Attaques DRDoS (Distributed Reflector DoS)



Dans les attaques DRDOS, l'armée de l'attaquant se compose de zombies maîtres, de zombies esclaves, et des réflecteurs.



Les zombies maîtres ordonnent aux zombies esclaves d'envoyer un flux de paquets avec l'adresse IP usurpée de la victime comme adresse IP source à d'autres machines non infectées (connu sous les réflecteurs), incitant ces machines de se connecter avec la victime.



Par conséquent, dans des attaques DRDOS, l'attaque est montée par des machines non compromises, qui lancent de l'attaque sans être conscientes de l'action.

Attaques DRDoS (Distributed Reflector DoS)

Attacker

Masters

Slaves

Victim

Reflectors



Attaque Man In The Midle (l’homme au milieu ou MITM)



C’est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties.



La plupart des attaques de type MITM consistent à écouter le réseau à l'aide sniffer.

Attaque MITM

(12)

Attaque MITM

Attaque MITM - Types



Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en utilisant, par exemple :



ARP Spoofing: c'est probablement le cas le plus

fréquent. Possible si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local.



DNS Poisoning: L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu’ils s'en aperçoivent.



l'analyse de trafic: le but est de visualiser d'éventuelles transmissions non chiffrées .



Etc.

MITM: écoute du réseau



Écoute du réseau: Capturer le contenu des paquets qui ne nous sont pas destinés.



Tcpdump - Wireshark

MITM: ARP Spoofing



Rappel du fonctionnement du protocole ARP (Address Resolution Protocol)



ARP interroge en diffusion (broadcast) le réseau local et attend qu'un ordinateur réponde en fournissant

l'adresse physique requise



L'absence de réponse établit clairement que cette adresse logique ne correspond à aucune machine en fonctionnement sur le réseau local



La réponse ARP est envoyée dans un message unicast vers la source de la requête.

(13)

MITM: ARP Spoofing

Cette attaque est de type man in the middle. elle consiste à exploiter une faiblesse du protocole ARP.

L'objectif de l'attaque consiste à :

1.s'interposer entre deux machines du réseau

2.et de transmettre à chacune un paquet ARP falsifié précisant que l'adresse MAC de l'autre machine a changé, l'adresse MAC fournie étant celle de l'attaquant.

Ainsi, les deux machines cibles vont mettre à jour leur table dynamique appelée Cache ARP. À chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice.

L’attaquant

MITM: ARP Spoofing

Table de l’ARP sur PC Linux 1

Table de l’ARP sur PC Linux 2

MITM: ARP Spoofing

déroulement de l’attaque

(14)

Plan

 Différents profiles des « hackers »

 Attaques informatiques

 Virologie informatique

Buts d’une infection virale

Destruction ou Corruption de fichiers.

Destruction matérielle : (ex. exécuter une boucle sans fin mettant en œuvre certaines instructions de certains coprocesseurs et ayant la particularité de les faire chauffer jusqu'à destruction du composant).

Instabilité du système : (ex. engendrer un comportement conduisant au blocage total, mais sans être destructeurs).

Dégradation des ressources du système : Quelques virus exécutent des boucles sans fin destinées à occuper une part de la puissance de calcul de l'ordinateur, où se répliquent sur le disque dur ou en

mémoire, conduisant à une saturation et au plantage, ou au ralentissement du chargement des fichiers et des programmes.

Compromission des paramètres de sécurité : Recherche de failles, création de failles etc. (ex. un cheval de Troie qui sert à installer un Keylogger ou un Backdoor etc. ...)

Percement des paramètres de sécurité : Le malware s'attaque aux antivirus et aux pare-feux pour les inhiber, les désactiver etc. ...

Buts d’une infection virale

Divulgation des paramètres de sécurité : Divulgation des mots de passe, des paramètres de sécurité etc. ... par exemple par analyse des versions de correctifs installés etc. (le malware a un comportement de spyware).

Social engineering : convaincre de révéler par vous même vos codes et mots de passe, volontairement et même spontanément

Relais d'attaque : Ces malwares ne font rien sur votre machine, mais ils ont un mécanisme de réplication et une charge active. Ils sont

uniquement préoccupés par leur réplication la plus grande possible. Puis, à une date et heure donnée, à partir de toutes les machines infectées, une attaque est lancée contre une cible, par exemple afin de la saturer.

Actions ennuyeuses : (ex. Affichage répétitif d'un message ou d'une image, impossibilité de cliquer sur une icône car elle disparaît à chaque fois que le pointeur de la souris s'approche, affichage des caractères à l'envers, écriture du français de droite à gauche etc. )

Principaux aspects

des codes ou logiciels malveillants

Définition:

Les codes ou logiciels malveillants (malware) se définissent comme tout programme conçu dans le but d’infiltrer le système informatique d’un utilisateur dans l’intention spécifique d’effectuer un acte malveillant.

Cette expression « malware » est utilisée pour désigner les virus, les vers et les chevaux de Troie mais aussi les

logiciels espions, les bombes logiques et d’autres formes de logiciels indésirables.

(15)

Principaux aspects

des codes ou logiciels malveillants

Définition:

Les codes ou logiciels malveillants (malware) se définissent comme tout programme conçu dans le but d’infiltrer le système informatique d’un utilisateur dans l’intention spécifique d’effectuer un acte malveillant.

Cette expression « malware » est utilisée pour désigner les virus, les vers et les chevaux de Troie mais aussi les

logiciels espions, les bombes logiques et d’autres formes de logiciels indésirables.

Quels sont les types de Malwares que vous connaissez ?

Qu'est-ce qui différencie

un Virus, un Vers, un Parasite ?



Virus, vers et parasites ont, tous, une charge active (Payload).



Ce qui les différencie est:

leurs capacités à se répliquer dans un même ordinateur (infester la machine)

et à sauter d'un ordinateur à un autre (se propager).



Les virus:

Les virus se répliquent et infectent complètement un ordinateur (ils se collent à un fichier exécutable).

Ils ne se propagent pas d'eux-mêmes



Les vers:

Les vers se répliquent dans un ordinateur et l'infectent complètement

Ont un mode de propagation autonome.

Typologie des réplications



Il existe plusieurs types de réplications (Réplication à l'intérieur):



Par secteur de boot infecté



Par injection et par cavité:

 le virus s’injecte dans un fichier exécutable et à chaque fois que le programme infesté est ouvert, le virus est exécuté puis

"rend la main" à l'exécution normale du programme hôte qu'il infeste.



Par Recouvrement

 les virus à réplication par recouvrement sont destructeurs car les exécutables sont ainsi "recouverts" par un nouvel exécutable, le virus.



Par Compagnon

Typologie des propagations



Il existe plusieurs méthodes de propagation des infections vers l'extérieur:

Par Hôte infecté

Par e-Mail et spam viral

Par Auto-propagation : vers

Par Messagerie Instantanée et par Canaux IRC (Internet Relay Chat)

Par Réseaux de P2P

Par Réseaux locaux

Par Internet

(16)

Propagation par e-mail et spam viral

Propagation par spam viral avec son propre outil : les vers

comportent leur propre serveur de messagerie (serveur SMTP - (Simple Mail Transfer Protocol)) pour s'envoyer

s'attaquent à toutes les adresses trouvées sur la machine infectée (ex. le carnet d'adresses). Les méthodes sont les mêmes que celles du spam: On parle de spam viral.

Propagation par spam viral assisté : les virus appuyés par un BotNet

Collusion entre spammeurs, éditeurs de virus et propriétaires de BotNets. Le résultat et l'architecture de la propagation sont les mêmes que le 1^er type sauf que le malware n’utilise pas son propre serveur SMTP pour se propager par e-mail mais plutôt la technique de pénétration du propriétaire du BotNet (un RAT (Remote Administration Tool) installé). La propagation est plus rapide (fulgurante).

Un virus



Un virus est un programme qui cherche à se

propager via d’autres programmes en les modifiant ou en s’accrochant à ceux-ci.



Chaque programme infecté contribue à la

propagation, l’infection est souvent rapide. Pour s’introduire dans les ordinateurs, un virus utilise les supports de données amovibles (comme les clés USB), les réseaux (poste à poste inclus), les messages électroniques ou Internet.

G. Orhanou

Typologie des virus



Virus du secteur d'amorçage ou virus de secteur de boot



Virus de fichiers



Virus multipartites:

Ce groupe de virus combine les techniques d’infection du secteur d'amorçage (ou des tables de partitions) à celles utilisées sur les fichiers exécutables.



Virus compagnons



Macrovirus:

Les macrovirus s'accrochent aux fichiers. Ils ne sont pas

exécutables et pour être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux intégrés à Word, Excel, Access et PowerPoint.

Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des virus compagnons.

Typologie des virus



Virus furtifs et Rootkits:

Les virus furtifs et les rootkits sont dotés de mécanismes de protection spéciaux leur permettant d'échapper à leur détection par les programmes antivirus. Le but de ce type de virus est de rester indétectable afin de pouvoir utiliser les ressources de l’ordinateur infecté à l’insu de son utilisateur.



Virus polymorphes:

Les virus polymorphes contiennent des mécanismes leur permettant de modifier leur aspect après chaque infection.

Une partie du virus est ainsi chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une nouvelle clé, voire parfois de nouvelles routines.

Pour détecter et éliminer les virus chiffrés et polymorphes, les signatures de virus classiques ne sont souvent pas suffisantes. Le plus souvent, il faut écrire des programmes spécifiques.

(17)

Vers (worm)

Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables. Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre ordinateurs.

Il existe différents types de ver :

 Ver de réseau: les vers exploitent des failles pour se propager.

 Ex. Lovsan/Blaser et CodeRed

 Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs connectés à Internet.

Ver de messagerie

 Ex. Beagle et Sober

Ver peer to peer

Ver de messagerie instantanée

Cheval de Troie (trojan horses)

Un cheval de troie est un programme nuisible qui se cache dans une application apparemment saine afin de pénétrer dans l’ordinateur. Une fois dans le système, le Cheval de Troie ou trojan, en ouvre les portes et télécharge d’autres programmes nuisibles sur l’ordinateur contaminé.

Il contient des segments cachés qui lui permettent de s’introduire dans les ordinateurs offrant au pirate un accès presque total au système.

Un trojan ne dispose pas de routine de propagation autonome. Il se diffuse donc par téléchargement (de crack ou serialkey par exemple), sous la forme d'économiseurs d'écran ou de jeux ou par courrier électronique. Une exécution du programme apparemment sain suffit pour contaminer le système.

La classification du trojan dépend de sa fonction nuisible:

Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté. L'ordinateur est alors commandé à distance par le pirate.

Adwares, ou logiciels publicitaires, enregistrent les activités et les processus d'un ordinateur (habitudes de navigation, par exemple).

Lorsque l'occasion s'y prête, des messages publicitaires sont alors affichés à l’utilisateur.

Spywares ou logiciels espions, permettent de voler des données utilisateur : mots de passe, documents, clés d'enregistrement de logiciels, adresses électroniques, etc.

Outils de téléchargement et injecteurs (Downloader et

Dropper): ont pour mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour ce faire, ils essaient souvent modifier ou de compromettre les paramètres de sécurité du système.

Cheval de Troie (trojan horses)



Botnet (bot=robot, net=reseau) :

ensemble de logiciels-robots qui fonctionnent de manière autonome et automatique, installés sur de nombreuses machines zombies, détournés à l´insu de leurs propriétaires, exécutant un programme malveillant

ayant un centre de contrôle et de commande commun.



Leurs buts est de paralyser le trafic ou servir de moteur à la diffusion de spam.



Ils sont aussi utilisés pour le vol de données bancaires ou de comptes clients, ou d’autres attaques réalisées à grande échelle.

Les Botnets

(18)

1.L'utilisateur reçoit un mail l'invitant à ouvrir la pièce jointe présentée comme une facture impayée ;

2. L’ouverture du document déclenche l'exécution d'une macro VBA contenue dans le document Word ;

3. La macro VBA télécharge un fichier sur pastebin contenant du code VBS et déclenche l'exécution de ce code ;

4. Le code VBS télécharge un exécutable .net depuis le serveur 212.76.130.99, puis lance cet exécutable ;

5. L'exécutable contient du code C# ainsi qu'une ressource anormalement volumineuse.

Le code C# recombine le contenu d'un certain nombre de tableaux de données pour reconstituer un second assembly .net, puis charge et exécute cet assembly ; 6. Le code du second assembly alloue une zone mémoire, y recopie un tableau de

données d'environ 3Ko, puis exécute ces données, lesquelles correspondent à du code machine x86 ;

7. Le dropper lancé, largement obfusqué (aucune chaîne de caractère en clair, aucun appel d'API en clair) vérifie la présence de la charge stockée dans une des ressources de l'exécutable téléchargé en (4), puis déchiffre et décompresse son contenu avant de l'exécuter ;

8. La charge ("botnet 120") n'a plusqu'à assurer sa pérennité sur le système et à mener ses activités malicieuses ;

9.Le botnet 120 contactera ensuite son serveur de commande et contrôle, puis téléchargera la DLL Dridex de charge finale !

Exemple : dropper du malware Dridex

Source : http://christophe.rieunier.name/securite/Dridex/20150608_dropper/Dridex_dropper_analysis_fr.php

Mesures de protection

contre les codes malveillants



Pare-feu (ou Firewall): mettre en place des règles d’accès.

Système de gestion et de contrôle de trafic de données, ce dispositif filtre en permanence toutes les connexions entrantes et sortantes d’un ordinateur ou d’un réseau, son principe de

configuration repose sur le filtrage de trafic entrant et sortant.



L’anti-spam est un système permettant à l’utilisateur final, le destinataire, de se prémunir au maximum contre la réception de ces mails non désirés

Un anti-spam s’appuie sur différentes banques de données, notamment des listes noires constituées d’adresses internet ou de pays connus pour être à l’origine de nombreux spams. Il peut aussi arrêter le courrier indésirable selon son origine, son titre ou bien par son contenu.



Antivirus: Logiciel capable de détecter, arrêter et éventuellement détruire les virus contenus sur une machine infestée.

Il a pour charge de surveiller la présence de virus et éventuellement de nettoyer, supprimer ou mettre en quarantaine le ou les fichiers infectés, il surveille tous les espaces dans lesquels un virus peut se loger, c’est à dire la mémoire et les unités de stockage.

Les antivirus utilisent plusieurs méthodes de détection de codes malveillants.

Mesures de protection

contre les codes malveillants

(19)

Typologie des produits antivirus

La plupart des antivirus ne mettent pas en œuvre une seule méthode de détection, mais combinent plusieurs en même temps.

Ce sont la qualité des méthodes et le dosage de l’une par rapport à l’autre qui font la différence.

Les méthodes de détection:

La recherche par signature: C’est la technique du « scanner » basée sur la recherche d’une chaine de caractères.

Le contrôle d’intégrité des fichiers

La recherche heuristique: Elle cherche à détecter la présence d'un virus en analysant le code d'un programme inconnu.

L’analyse comportementale: Elle repose sur l’analyse dynamique des opérations de lecture et d’écriture en mémoire ou sur support physique.

L’éradication

L’éradication



Pour obtenir l’éradication, l’antivirus doit lancer un processus automatisé inverse. Le succès s’obtiendra après:

1.Étude du code viral

2.Comparaison des fichiers sains et infectés

3.Localisation des données déplacées et sauvegardées

4.Marquage des fichiers nouvellement créés

5.Recherche des modifications annexes induites sur le système (ex.

modification de la base de registres)



Le travail d’éradication se complique lorsque des fichiers sains ont été modifiés pour accueillir le code viral!!.

Références



Linux Magazine HS n°32: « Virus – Unix, GNU/Linux & Mac OS », sep/oct 2007



Le magazine MISC n°47, Dossier «La lute antivirale, une cause perdue? », jan/fév 2010.



Linux magazine HS n°32, « Virus – Unix, GNU/Linux & Mac OS X »



Dossier technique « Virus informatiques », CLUSIF, 2005



http://cwe.mitre.org/top25/archive/2011/2011_cwe_sans_top 25.pdf

http://cwe.mitre.org

http://www.sans.org

http://www.viruslist.com/fr