Infection, Fonctionnement, Contrôle et Détection de Malware

[InstinctHack]

Bonjour,

Ce thread est très borderline et as fait l'objet d'une concertation du staff avant sa publication.
Mais l'avis de la communauté est également pris en compte, si vous juger que ce thread ne respecte pas l'éthique du forum,
il y as un bouton "Alerter" en bas de ce message, cliquer dessus et envoyer votre impression.
Une fois le rapport reçu, vous serais avertis par mp de façon manuel de la prise en compte de votre avis.
Si trop de rapports sont reçus, ce thread seras déplacé, et referas l'objet d'une discussion interne avec le staff.

Il en ai resorti que les hackers se doivent afin de mieux comprendre les systèmes, de réfléchir sur les moyens de les percer. Cependant, du fait de sa nature, il est soumis à des règles qui viennent par-dessus celles déjà établies sur le forum:
-Aucun code n'est autorisé dans les messages
-Aucun lien non plus (ou devras préalablement était accepté par un membre du staff puis intégrer dans mon présent message)
-Aucun "noob", "rtfm" && co
Tout manquement à ces règles entrainera la suppression du message et d'un possible ban temporaire qui seras par la suite rediscuté en interne par le staff.
En cliquant sur ce bouton, vous accepter de vous conformez à ces règles.
Mais n'ayez pas peur de poster hein
[spoiler]
Les premières choses à définir sont l'intérêt et les sujets évoquer dans ce thread.
-L'infection, comment les malware se propagent-t-ils, quelles nouvelles techniques peuvent être mises en place, et comment les anti-virus luttent-t-ils contre ça ?
-Le fonctionnement, quelles sont les méthodes utilisées pour altérer le fonctionnement des machines, que peut-t-on imaginer d'autre ?
-Le contrôle, bien souvent, il peut être utile d'échanger des données avec les machines infectées, comment faire? comment en contraire bloquer les communications ?
-La detection, comment les detecter et comment faire pour ne pas l'etre ?

Ensuite, c'est du Brainstorming mélanger avec de l'apprentisage,
personnelement, j'y connait rien en malware, mais ça ne m'empêche pas d'avoir des idées et des avis dessus.

Allez, je me lance :
niveau infection, j'y connait rien.....
fonctionnement, on peux imaginer un malware couteau suisse, qui fasse dans le chiffrement asymétrique des données, du serveur web de contenu "étrange", un serveur mail pour du spam, du ddos, récupération de données, enregistrement des touches, webcam, infection des périphériques
controle, sujet intéressant je trouve, car il n'est pas agréable de les faire communiquer avec son propre pc, l'idée pourrais etre d'utiliser un serveur irc, ou autre (en gros, un serveur qui n'as pas le notre) de faire de la stéganographie texte avec du chiffrement (mais, mais, j'en avais pas déjà parler ? )
detection, j'y connait rien là non plus, mais on peux imaginer un malware qui se cache dans les répertoires systèmes ou dans les précieux répertoires multimédias de la victime

Bref, c'est des idées comme ça, c'est pour lancer le débat
[/spoiler]

AMEN à tous ceux qui se sont niquer les yeux en lisant le spoiler \o/

[sakiir]

un moment ca m'interessais vachement de creer un malware en C , mais je prefere me baser sur un malware pour faire un anti malware
je t'encourage a faire des test et a poster des eventuel code

[Shirobi]

La détection vient de la signature numérique si je ne me trompe pas ?

Ensuite, quand un malware est détecté sur un site comme virustotal, les rapports sont envoyés à AVAST, Kaspery, AVG etc... il y'a sûrement beaucoup de détections dû à ça. (sachant qu'un bon antivirus se doit d'être mis à jour régulièrement, et j'entends par là, AVAST => "la base virale a été mise à jour" )

Pour ce qui est de la "non-détéction" il me semble que sur métasploit un module est disponible pour encoder le payload, ça modifie justement, la signature numérique à fin qu'il ne soit pas détecté comme une menace.

Pour ce qui est de la possibilité d'un malware je dirais presque tout

[Kiwazaru]

Shirobi: Il me semble qu'en parti pour la détection la signature est l'élément moteur, mais je crois que si aucune détection il y a, il peut être envoyé en analyse statique c'est à dire disass etc, j'avais vu ça dans un documentaire sur un mec qui travail chez Kaspersky, il disass les malz etc..

[Creepy_p0ney]

Ça doit être rigolo de faire un malware et son nemesis (anti-malware)

[supersnail]

Concernant la détection des malwares, c'est surtout de la détection de signatures ainsi que d'heuristique à 2 octets (cf les taux de détection d'un packer/crypter fraîchement codé) que font les antivirus, et uep VirusTotal distribue les samples aux éditeurs d'AV (et apparament on peut dl les samples si on a un compte premium ou un truc du genre).

Après concernant le fonctionnement de malwares, ben ça dépend du malware (enfin on part du principe qu'on parle d'un "botnet", bref un truc qui communique avec un C&C contrôlé par le botmaster).

Donc le malware possède déjà une couche réseau avec un "protocole" de communication. Par exemple, andromeda balance des requêtes HTTP POST pour récupérer sa liste de malwares à télécharger/exécuter (et les bankers tels que Zeus/Citadel/SpyEye renvoient les données volées via HTTP aussi), tandis que d'autres botnet comme ZeroAccess ou spambots se basent sur un protocole P2P ce qui complique la destruction du botnet par le fait.

Ensuite en fonction des ordres que reçoit le bot, il va effectuer certaines actions comme envoyer du spam, s'injecter dans le navigateur (avec les nombreuses APIs de debug de win32, etc..) ou télécharger d'autres malwares/lancer des attaques DDoS et j'en passe.

[0pc0deFR]

Les techniques pour répandre un malware ne sont pas limitées. En gros tout ce qui permet de communiquer avec l'extérieur pour potentiellement amener du malware. Une clé USB, un client mail, un navigateur, ...

Concernant les navigateurs/clients mail, généralement ce sont des exploits qui sont utilisés. Les antivirus intègrent de la détection de signature dans les exploits.

Un malware, dans la plupart des cas va vouloir rester le plus longtemps possible sur la machine. L'idée est donc de rester caché. Des techniques assez simples existent pour ça comme un hook du gestionnaire des tâches pour ne pas apparaître dans la liste des process, une injection dans un processus comme explorer.exe, etc, ce sont des techniques de rootkit.

En général un malware a un but précis. Par exemple, les crimewares comme Zeus/SpyEye/... on pour but le vol de données bancaires, ils intègrent donc des fonction pour permettre ceci. Par exemple, aucune fonctions de DDOS puisque ce n'est pas son but. WarBot par exemple, lui est spécialisé dans le DDOS donc il n'intègre pas de Keylogger ou autres. Certains sont plus ou moins couteau suisse, ce sont les Rat's (Remote Administration Tools) type DarkComet ou BlackShades. Ils intègrent des fonctions de keylogging, de DDOS, de prise de main à distance (type VNC), ...

Je pense que le C&C est adapté à l'utilité du botnet. Cependant, il existe deux ou trois protocoles différents. Le plus souvent on trouve du HTTP, de temps à autre du IRC, j'ai aussi entendu parler du P2P (mais je n'ai pas eu la chance d'avoir un sample entre les mains). Il y a aussi ceux qui ont un protocole indépendant. C'est le cas des Rat's. Le plus souvent, ils ont une application appelée Client qui est lancée et les serveurs ce connectent à celui-ci.

La détection ce fait de plusieurs manières. Dans le cadre d'un crypter/packer fait maison, une détection d'un certain nombre d'octets au niveau de l'EP peut suffir. D'autres malwares utilisent des User-Agent qui leur sont propres, il suffit donc de chercher ce User-Agent pour le détecter. Pour l'exemple, 1337 Stealer a des chaînes de caractères facilement repérables: "[S-P-L-I-T]" ou "[H-E-R-E]". J'ai donc basé ma détection Yara là dessus. Les antivirus commencent à intégrer petit à petit la détection heuristique. C'est une détection par comportement.

Pour la détection par signature, ce n'est pas très compliqué à passer. Un encodage du binaire, un chiffrement, un packer, etc suffit.
Pour la détection par heuristique, c'est un peu plus complexe mais ça reste assez simple. Comme vous les savez, en programmation, il ni a jamais qu'une seule façon de faire les choses. Il suffirait donc de jouer avec les techniques pour contourner l'heuristique.

[gruik]

trève de blabla, faites peter votre aw3s0mz sk1llz et filez-nous des snip de code (commenté, pas du code de windozeux ), allez

[e2del]

On peut découper un code malveillant en différentes parties :
- la charge : partie qui va attaquer le système
- le camoufleur : partie qui va cacher la charge si elle doit rester active
- le chargeur : partie qui permet de déprotéger le code malveillant (déchiffrement, décodage ...)
- l'exploit : partie qui va pénétrer le système
- le diffuseur : code qui permet au code malveillant de se propager s'il est de type vers.

Les noms des parties je viens de les inventer c'est pas une science exacte.
En fonction du type de code malveillant, certaines parties sont optionnelles.

Pour apprendre un peu à cacher son code malveillant, il y a pas mal de doc sur les rootkit aussi bien sous Linux et Windows. C'est sympa à développer et c'est un bon apprentissage sur une partie des systèmes d'exploitation.

[Ekroz]

-L'infection, comment les malware se propagent-t-ils, quelles nouvelles techniques peuvent être mises en place, et comment les anti-virus luttent-t-ils contre ça ?

Une grande majorité des malwares ne se propagent plus eux-même du fait qu'il devient très difficile d'exploiter des vulnérabilités à distance depuis la démocratisation des Machinbox.
La propagation par clé USB devient elle aussi en voie d'extinction depuis les MAJ de Windows 7 SP1 qui désactivent l'exécution du fichier autorun.inf.
La plupart des pirates maintenant préfèrent publier des exécutables vérolés sur des sites de warez ou des trackers pour atteindre leur quota de 500 victimes en évitant de le dépasser pour rester discret tant bien au niveau de la détection du malware que l'enquête qu'il pourrait susciter auprès des autorités.
Le travail des anti-virus là-dessus est d'accentuer la détection des Binders (souvent par injection PE) et des Droppers.
Il serait aussi utile de faire des blacklists des sites à haut risque, et de proposer une sorte de "centre de téléchargement" sécurisé avec des alternatives aux programmes payants afin que les utilisateurs n'aillent pas chercher des logiciels n'importent où mais surtout faire de la prévention.

-Le fonctionnement, quelles sont les méthodes utilisées pour altérer le fonctionnement des machines, que peut-t-on imaginer d'autre ?

Les pirates ne cherchent plus vraiment à altérer le fonctionnement des machines, ils essaient de maintenir un accès discret et minimal le plus longtemps possible pour voler un maximum de comptes et/ou de coordonnées bancaires à revendre sur le marché noir mais également pour effectuer des attaques DDoS entre communautés rivales.

-Le contrôle, bien souvent, il peut être utile d'échanger des données avec les machines infectées, comment faire? comment en contraire bloquer les communications ?

Le grand classique pour les lamers c'est d'héberger un serveur TCP chez soit pour communiquer avec les victimes par une reverse connection.
Cependant, comme ce n'est absolument pas discret et souvent bloqué dans les PME et au-delà (grands groupes), il est de plus en plus fait l'usage d'un serveur HTTP qui récolte les informations et sur lequel le pirate se connecte par le biais d'un VPN/Proxy ou Tor.
Il faudrait que les AV analysent un peu plus le trafic sur le port 80 et surtout celui des applications non-graphiques/qui envoient des données toutes les X secondes.

-La detection, comment les detecter et comment faire pour ne pas l'etre ?

Comment un malware pourrait faire pour ne plus être détecté : simuler le plus possible une application non dangereuse (ex: créer une GUI mais ne pas l'afficher, simuler le clic sur les boutons invisibles etc...), utiliser des librairies et/ou des langages pour créer une surcouche difficile à détecter, utiliser un système en poupée russe afin que chaque fonctionnalité soit un exécutable ou une DLL indépendante ce qui réduit le risque de détection etc...

[supersnail]

@Ekroz: t'oublie aussi le facteur "Exploit kits", qui sont des scripts PHP vendus au marché noir qui essaient d'exploiter différentes 0days qu'on peut trouver sur différents plugins du navigateur (Flash, java ou encore Adobe Reader) pour balancer un malware à l'utilisateur, le tout sans action de sa part, à part visiter un site infecté par l'exploit kit (souvent un site vulnérable à une faille web) ce qui peut être n'importe quoi, généralement inclus via une iframe cachée.

Bref, les malwares dans les cracks/warez c'est un moyen de spread du malware, mais les exploit kit c'est plus sournois et plus efficace pour les pirates.

[e2del]

Il n'y pas que les Botnets.
Mais aussi des codes malveillants ciblées qui ont des buts différents :
- vol d'informations (pour une entreprise, ca peut permettre de remporter un marché; contre un gouvernement volé de l'information géo stratégique)
http://www.zdnet.fr/actualites/attaque-i...758813.htm
- l'attaque d'un système, on essaie de détruire ou modifier un système mais maintenant ce n'est plus un pc isolé qui est attaqué, mais un centre de contrôle d'automates, par exemple.
https://www.google.fr/search?hl=fr&q=attaque%20scada

Pour le mode de propagation, la clé usb ca fonctionne toujours très bien. Windows 7 sp1 n'est pas déployé sur beaucoup de poste de productions, pour le moment.

[Emmanuelo]

Il n'y pas que les Botnets.
Mais aussi des codes malveillants ciblées qui ont des buts différents :
- vol d'informations (pour une entreprise, ca peut permettre de remporter un marché; contre un gouvernement volé de l'information géo stratégique)
http://www.zdnet.fr/actualites/attaque-i...758813.htm
- l'attaque d'un système, on essaie de détruire ou modifier un système mais maintenant ce n'est plus un pc isolé qui est attaqué, mais un centre de contrôle d'automates, par exemple.
https://www.google.fr/search?hl=fr&q=attaque%20scada

Pour le mode de propagation, la clé usb ca fonctionne toujours très bien. Windows 7 sp1 n'est pas déployé sur beaucoup de poste de productions, pour le moment.

Merci mais ces liens ne marchent plus !

[Di0Sasm]

Les liens fonctionnent Emmanuelo, et pourtant le post date de 2013