• STATISTIQUES
  • Il y a eu un total de 2 membres et 14372 visiteurs sur le site dans les dernières 24h pour un total de 14 374 personnes!


    Membres: 2 433
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] CS Tutoring Center
    Site de challenge spécialisé dans les challenges de programmation C++ et java cependant, d'autres langages pe...
    Challenges
    [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [FR] Zmaster
    Articles sur l'informatique, le hacking, le P2P, les divx, les astuces windows XP, les GSM, Emule, la cryptograph...
    Hacking
    [FR] Infomirmo
    Challenge présenté sous la forme de 6 niveaux de difficultés diverses et variées avec chacun plusieurs chall...
    Challenges
    [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges
    [FR] Developpez.net
    Un forum communautaire qui se veut pour les développeurs en générale. Avec presque 500 000 membr...
    Programmation
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Infection, Fonctionnement, Contrôle et Détection de Malware
19-04-2013, 23h22 (Modification du message : 19-04-2013, 23h31 par InstinctHack.)
Message : #1
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
Infection, Fonctionnement, Contrôle et Détection de Malware
Bonjour,

Ce thread est très borderline et as fait l'objet d'une concertation du staff avant sa publication.
Mais l'avis de la communauté est également pris en compte, si vous juger que ce thread ne respecte pas l'éthique du forum,
il y as un bouton "Alerter" en bas de ce message, cliquer dessus et envoyer votre impression.
Une fois le rapport reçu, vous serais avertis par mp de façon manuel de la prise en compte de votre avis.
Si trop de rapports sont reçus, ce thread seras déplacé, et referas l'objet d'une discussion interne avec le staff.

Il en ai resorti que les hackers se doivent afin de mieux comprendre les systèmes, de réfléchir sur les moyens de les percer. Cependant, du fait de sa nature, il est soumis à des règles qui viennent par-dessus celles déjà établies sur le forum:
-Aucun code n'est autorisé dans les messages
-Aucun lien non plus (ou devras préalablement était accepté par un membre du staff puis intégrer dans mon présent message)
-Aucun "noob", "rtfm" && co
Tout manquement à ces règles entrainera la suppression du message et d'un possible ban temporaire qui seras par la suite rediscuté en interne par le staff.
En cliquant sur ce bouton, vous accepter de vous conformez à ces règles.
Mais n'ayez pas peur de poster hein Big Grin
[spoiler]
Les premières choses à définir sont l'intérêt et les sujets évoquer dans ce thread.
-L'infection, comment les malware se propagent-t-ils, quelles nouvelles techniques peuvent être mises en place, et comment les anti-virus luttent-t-ils contre ça ?
-Le fonctionnement, quelles sont les méthodes utilisées pour altérer le fonctionnement des machines, que peut-t-on imaginer d'autre ?
-Le contrôle, bien souvent, il peut être utile d'échanger des données avec les machines infectées, comment faire? comment en contraire bloquer les communications ?
-La detection, comment les detecter et comment faire pour ne pas l'etre ?

Ensuite, c'est du Brainstorming mélanger avec de l'apprentisage,
personnelement, j'y connait rien en malware, mais ça ne m'empêche pas d'avoir des idées et des avis dessus.

Allez, je me lance :
niveau infection, j'y connait rien.....
fonctionnement, on peux imaginer un malware couteau suisse, qui fasse dans le chiffrement asymétrique des données, du serveur web de contenu "étrange", un serveur mail pour du spam, du ddos, récupération de données, enregistrement des touches, webcam, infection des périphériques
controle, sujet intéressant je trouve, car il n'est pas agréable de les faire communiquer avec son propre pc, l'idée pourrais etre d'utiliser un serveur irc, ou autre (en gros, un serveur qui n'as pas le notre) de faire de la stéganographie texte avec du chiffrement (mais, mais, j'en avais pas déjà parler ? Wink )
detection, j'y connait rien là non plus, mais on peux imaginer un malware qui se cache dans les répertoires systèmes ou dans les précieux répertoires multimédias de la victime

Bref, c'est des idées comme ça, c'est pour lancer le débat Smile
[/spoiler]

AMEN à tous ceux qui se sont niquer les yeux en lisant le spoiler \o/
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
22-04-2013, 11h25
Message : #2
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
un moment ca m'interessais vachement de creer un malware en C , mais je prefere me baser sur un malware pour faire un anti malware Smile
je t'encourage a faire des test et a poster des eventuel code
+1 (0) -1 (0) Répondre
22-04-2013, 13h05 (Modification du message : 22-04-2013, 13h07 par Shirobi.)
Message : #3
Shirobi Hors ligne
Bannis



Messages : 207
Sujets : 19
Points: 17
Inscription : Oct 2012
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
La détection vient de la signature numérique si je ne me trompe pas ?

Ensuite, quand un malware est détecté sur un site comme virustotal, les rapports sont envoyés à AVAST, Kaspery, AVG etc... il y'a sûrement beaucoup de détections dû à ça. (sachant qu'un bon antivirus se doit d'être mis à jour régulièrement, et j'entends par là, AVAST => "la base virale a été mise à jour" )

Pour ce qui est de la "non-détéction" il me semble que sur métasploit un module est disponible pour encoder le payload, ça modifie justement, la signature numérique à fin qu'il ne soit pas détecté comme une menace.

Pour ce qui est de la possibilité d'un malware je dirais presque tout Smile
+1 (0) -1 (0) Répondre
22-04-2013, 13h33 (Modification du message : 02-06-2013, 12h52 par Kiwazaru.)
Message : #4
Kiwazaru Hors ligne
Padawan d'un super escargot
*



Messages : 284
Sujets : 26
Points: 139
Inscription : Mar 2012
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Shirobi: Il me semble qu'en parti pour la détection la signature est l'élément moteur, mais je crois que si aucune détection il y a, il peut être envoyé en analyse statique c'est à dire disass etc, j'avais vu ça dans un documentaire sur un mec qui travail chez Kaspersky, il disass les malz etc..
Toucher au Kernel, c'est un peut comme se shooter au LSD, on pense pouvoir tout faire mais ça finit souvent mal.
+1 (0) -1 (0) Répondre
22-04-2013, 13h40
Message : #5
Creepy_p0ney Hors ligne
chef des poneys voodoo
*



Messages : 146
Sujets : 9
Points: 24
Inscription : Dec 2011
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Ça doit être rigolo de faire un malware et son nemesis (anti-malware)
Penser que coder est coder explique-t-il la recursion ?
http://p0neyland.wordpress.com/
+1 (1) -1 (0) Répondre
22-04-2013, 18h50
Message : #6
supersnail En ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Concernant la détection des malwares, c'est surtout de la détection de signatures ainsi que d'heuristique à 2 octets (cf les taux de détection d'un packer/crypter fraîchement codé) que font les antivirus, et uep VirusTotal distribue les samples aux éditeurs d'AV (et apparament on peut dl les samples si on a un compte premium ou un truc du genre).

Après concernant le fonctionnement de malwares, ben ça dépend du malware (enfin on part du principe qu'on parle d'un "botnet", bref un truc qui communique avec un C&C contrôlé par le botmaster).

Donc le malware possède déjà une couche réseau avec un "protocole" de communication. Par exemple, andromeda balance des requêtes HTTP POST pour récupérer sa liste de malwares à télécharger/exécuter (et les bankers tels que Zeus/Citadel/SpyEye renvoient les données volées via HTTP aussi), tandis que d'autres botnet comme ZeroAccess ou spambots se basent sur un protocole P2P ce qui complique la destruction du botnet par le fait.

Ensuite en fonction des ordres que reçoit le bot, il va effectuer certaines actions comme envoyer du spam, s'injecter dans le navigateur (avec les nombreuses APIs de debug de win32, etc..) ou télécharger d'autres malwares/lancer des attaques DDoS et j'en passe.
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
01-06-2013, 09h24
Message : #7
0pc0deFR
Non-enregistré



 
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Les techniques pour répandre un malware ne sont pas limitées. En gros tout ce qui permet de communiquer avec l'extérieur pour potentiellement amener du malware. Une clé USB, un client mail, un navigateur, ...

Concernant les navigateurs/clients mail, généralement ce sont des exploits qui sont utilisés. Les antivirus intègrent de la détection de signature dans les exploits.

Un malware, dans la plupart des cas va vouloir rester le plus longtemps possible sur la machine. L'idée est donc de rester caché. Des techniques assez simples existent pour ça comme un hook du gestionnaire des tâches pour ne pas apparaître dans la liste des process, une injection dans un processus comme explorer.exe, etc, ce sont des techniques de rootkit.

En général un malware a un but précis. Par exemple, les crimewares comme Zeus/SpyEye/... on pour but le vol de données bancaires, ils intègrent donc des fonction pour permettre ceci. Par exemple, aucune fonctions de DDOS puisque ce n'est pas son but. WarBot par exemple, lui est spécialisé dans le DDOS donc il n'intègre pas de Keylogger ou autres. Certains sont plus ou moins couteau suisse, ce sont les Rat's (Remote Administration Tools) type DarkComet ou BlackShades. Ils intègrent des fonctions de keylogging, de DDOS, de prise de main à distance (type VNC), ...

Je pense que le C&C est adapté à l'utilité du botnet. Cependant, il existe deux ou trois protocoles différents. Le plus souvent on trouve du HTTP, de temps à autre du IRC, j'ai aussi entendu parler du P2P (mais je n'ai pas eu la chance d'avoir un sample entre les mains). Il y a aussi ceux qui ont un protocole indépendant. C'est le cas des Rat's. Le plus souvent, ils ont une application appelée Client qui est lancée et les serveurs ce connectent à celui-ci.

La détection ce fait de plusieurs manières. Dans le cadre d'un crypter/packer fait maison, une détection d'un certain nombre d'octets au niveau de l'EP peut suffir. D'autres malwares utilisent des User-Agent qui leur sont propres, il suffit donc de chercher ce User-Agent pour le détecter. Pour l'exemple, 1337 Stealer a des chaînes de caractères facilement repérables: "[S-P-L-I-T]" ou "[H-E-R-E]". J'ai donc basé ma détection Yara là dessus. Les antivirus commencent à intégrer petit à petit la détection heuristique. C'est une détection par comportement.

Pour la détection par signature, ce n'est pas très compliqué à passer. Un encodage du binaire, un chiffrement, un packer, etc suffit.
Pour la détection par heuristique, c'est un peu plus complexe mais ça reste assez simple. Comme vous les savez, en programmation, il ni a jamais qu'une seule façon de faire les choses. Il suffirait donc de jouer avec les techniques pour contourner l'heuristique.
positive (0) negative (0) Répondre
01-06-2013, 09h43
Message : #8
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
trève de blabla, faites peter votre aw3s0mz sk1llz et filez-nous des snip de code (commenté, pas du code de windozeux Big Grin), allez
+1 (0) -1 (0) Répondre
03-06-2013, 13h33
Message : #9
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
On peut découper un code malveillant en différentes parties :
- la charge : partie qui va attaquer le système
- le camoufleur : partie qui va cacher la charge si elle doit rester active
- le chargeur : partie qui permet de déprotéger le code malveillant (déchiffrement, décodage ...)
- l'exploit : partie qui va pénétrer le système
- le diffuseur : code qui permet au code malveillant de se propager s'il est de type vers.

Les noms des parties je viens de les inventer c'est pas une science exacte.
En fonction du type de code malveillant, certaines parties sont optionnelles.

Pour apprendre un peu à cacher son code malveillant, il y a pas mal de doc sur les rootkit aussi bien sous Linux et Windows. C'est sympa à développer et c'est un bon apprentissage sur une partie des systèmes d'exploitation.
+1 (0) -1 (0) Répondre
03-06-2013, 14h08
Message : #10
Ekroz Hors ligne
Membre actif
*



Messages : 77
Sujets : 13
Points: 43
Inscription : May 2013
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Citation :-L'infection, comment les malware se propagent-t-ils, quelles nouvelles techniques peuvent être mises en place, et comment les anti-virus luttent-t-ils contre ça ?

Une grande majorité des malwares ne se propagent plus eux-même du fait qu'il devient très difficile d'exploiter des vulnérabilités à distance depuis la démocratisation des Machinbox.
La propagation par clé USB devient elle aussi en voie d'extinction depuis les MAJ de Windows 7 SP1 qui désactivent l'exécution du fichier autorun.inf.
La plupart des pirates maintenant préfèrent publier des exécutables vérolés sur des sites de warez ou des trackers pour atteindre leur quota de 500 victimes en évitant de le dépasser pour rester discret tant bien au niveau de la détection du malware que l'enquête qu'il pourrait susciter auprès des autorités.
Le travail des anti-virus là-dessus est d'accentuer la détection des Binders (souvent par injection PE) et des Droppers.
Il serait aussi utile de faire des blacklists des sites à haut risque, et de proposer une sorte de "centre de téléchargement" sécurisé avec des alternatives aux programmes payants afin que les utilisateurs n'aillent pas chercher des logiciels n'importent où mais surtout faire de la prévention.

Citation :-Le fonctionnement, quelles sont les méthodes utilisées pour altérer le fonctionnement des machines, que peut-t-on imaginer d'autre ?

Les pirates ne cherchent plus vraiment à altérer le fonctionnement des machines, ils essaient de maintenir un accès discret et minimal le plus longtemps possible pour voler un maximum de comptes et/ou de coordonnées bancaires à revendre sur le marché noir mais également pour effectuer des attaques DDoS entre communautés rivales.

Citation :-Le contrôle, bien souvent, il peut être utile d'échanger des données avec les machines infectées, comment faire? comment en contraire bloquer les communications ?

Le grand classique pour les lamers c'est d'héberger un serveur TCP chez soit pour communiquer avec les victimes par une reverse connection.
Cependant, comme ce n'est absolument pas discret et souvent bloqué dans les PME et au-delà (grands groupes), il est de plus en plus fait l'usage d'un serveur HTTP qui récolte les informations et sur lequel le pirate se connecte par le biais d'un VPN/Proxy ou Tor.
Il faudrait que les AV analysent un peu plus le trafic sur le port 80 et surtout celui des applications non-graphiques/qui envoient des données toutes les X secondes.

Citation :-La detection, comment les detecter et comment faire pour ne pas l'etre ?

Comment un malware pourrait faire pour ne plus être détecté : simuler le plus possible une application non dangereuse (ex: créer une GUI mais ne pas l'afficher, simuler le clic sur les boutons invisibles etc...), utiliser des librairies et/ou des langages pour créer une surcouche difficile à détecter, utiliser un système en poupée russe afin que chaque fonctionnalité soit un exécutable ou une DLL indépendante ce qui réduit le risque de détection etc...
+1 (0) -1 (0) Répondre
03-06-2013, 14h44
Message : #11
supersnail En ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
@Ekroz: t'oublie aussi le facteur "Exploit kits", qui sont des scripts PHP vendus au marché noir qui essaient d'exploiter différentes 0days qu'on peut trouver sur différents plugins du navigateur (Flash, java ou encore Adobe Reader) pour balancer un malware à l'utilisateur, le tout sans action de sa part, à part visiter un site infecté par l'exploit kit (souvent un site vulnérable à une faille web) ce qui peut être n'importe quoi, généralement inclus via une iframe cachée.

Bref, les malwares dans les cracks/warez c'est un moyen de spread du malware, mais les exploit kit c'est plus sournois et plus efficace pour les pirates.
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
03-06-2013, 15h06
Message : #12
e2del Hors ligne
Membre actif
*



Messages : 67
Sujets : 1
Points: 17
Inscription : May 2013
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Il n'y pas que les Botnets.
Mais aussi des codes malveillants ciblées qui ont des buts différents :
- vol d'informations (pour une entreprise, ca peut permettre de remporter un marché; contre un gouvernement volé de l'information géo stratégique)
http://www.zdnet.fr/actualites/attaque-i...758813.htm
- l'attaque d'un système, on essaie de détruire ou modifier un système mais maintenant ce n'est plus un pc isolé qui est attaqué, mais un centre de contrôle d'automates, par exemple.
https://www.google.fr/search?hl=fr&q=attaque%20scada

Pour le mode de propagation, la clé usb ca fonctionne toujours très bien. Windows 7 sp1 n'est pas déployé sur beaucoup de poste de productions, pour le moment.
+1 (0) -1 (0) Répondre
06-05-2019, 21h22
Message : #13
Emmanuelo Hors ligne
Newbie
*



Messages : 1
Sujets : 0
Points: 0
Inscription : May 2019
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
(03-06-2013, 15h06)e2del a écrit : Il n'y pas que les Botnets.
Mais aussi des codes malveillants ciblées qui ont des buts différents :
- vol d'informations (pour une entreprise, ca peut permettre de remporter un marché; contre un gouvernement volé de l'information géo stratégique)
http://www.zdnet.fr/actualites/attaque-i...758813.htm
- l'attaque d'un système, on essaie de détruire ou modifier un système mais maintenant ce n'est plus un pc isolé qui est attaqué, mais un centre de contrôle d'automates, par exemple.
https://www.google.fr/search?hl=fr&q=attaque%20scada

Pour le mode de propagation, la clé usb ca fonctionne toujours très bien. Windows 7 sp1 n'est pas déployé sur beaucoup de poste de productions, pour le moment.
Merci mais ces liens ne marchent plus !
+1 (0) -1 (0) Répondre
08-05-2019, 22h07
Message : #14
Di0Sasm Hors ligne
Chimiste
*******



Messages : 924
Sujets : 56
Points: 91
Inscription : Aug 2011
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Les liens fonctionnent Emmanuelo, et pourtant le post date de 2013
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Reverse Jar Malware Yttrium 6 2,184 24-02-2016, 10h20
Dernier message: ZeR0-@bSoLu
  [Malz] - Malware dans .doc notfound 0 751 24-03-2015, 11h38
Dernier message: notfound
  Mes Analyses de Malware Yttrium 6 1,770 05-02-2015, 16h15
Dernier message: sakiir
  Malware uKash Swissky 21 5,894 19-11-2012, 12h05
Dernier message: InstinctHack

Atteindre :


Utilisateur(s) parcourant ce sujet : 6 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut