Lumières sur la sécurité

vendredi 16 juin 2017

En comparaison avec les menaces ciblant Windows, les programmes malveillants ciblant Linux (et UNIX en général) sont plutôt rares. C’est en grande partie dû au fait que l'OS est moins populaire : les malfaiteurs préfèrent attaquer des OS ayant beaucoup plus d’utilisateurs. Mais ce n’est pas la seule raison, car attaquer des systèmes moins répandus peut également être rentable. Personne ne s’y attend, et l’effet de surprise peut jouer.

Le problème principal pour les pirates est la diversité des systèmes d'exploitation et des configurations. Il existe un grand nombre de distributions Linux qui permettent de reconstruire littéralement tout, y compris le noyau de l’OS. Ils permettent également d'installer un grand nombre de patchs pouvant modifier considérablement les fonctionnalités du système.

Par conséquent, il est possible de créer un fichier exécutable (dans Linux, les extensions n'ont pas d'importance et les fichiers sont lancés en fonction du contenu, mais il s'agit d'un équivalent d'un fichier .exe sous Windows), mais il n'est pas du tout évident qu'un tel fichier soit opérationnel. Le problème est que lors de la composition standard (dynamique) des fichiers exécutables, des bibliothèques sont requises pour leur fonctionnement.

Note. Il est également possible de créer un fichier sans dépendances mais c'est un build dit statique. Or, selon les règles adoptées pour Linux, le code doit être publié conformément aux termes de la licence GNU. Il est peu probable que les criminels le fassent. :-)

Plus sérieusement, un fichier sans dépendances est plus volumineux que d'autres fichiers, ce qui rend sa diffusion problématique.

Comment font les cybercriminels pour trouver une solution ? Ils utilisent les scripts. Les scripts sont des fichiers texte qui contiennent un jeu de commandes (par exemple pour lancer des utilitaires système), de variables et diverses instructions. Le script ne s'exécute pas tout seul, en fait, le script est un jeu d'instructions qui doit être traité par un interpréteur. Au démarrage d'un script, c'est l'interpréteur qui se lance et exécute les commandes contenues dans le script, car elles doivent fonctionner dans un système particulier.

Linux est l'univers des utilitaires et des scripts qui les lancent. Ainsi, les cybercriminels ont maîtrisé les scripts pour les utiliser à leurs fins, ce qui a compliqué la vie des antivirus.

Les mêmes scripts fonctionnent sur un routeur et sur un PC ordinaire.

Quel est le problème qui se pose pour les antivirus avec les scripts ?

Le script est un ensemble d’utilitaires externes qui existent déjà dans le système. Ainsi, si un programme malveillant crée un canal de communication avec son serveur C&C et qu'il chiffre des fichiers, ceci n'est pas fait par ce programme mais par les utilitaires standard. Bien évidemment, il est possible de déterminer le vrai coupable. Surtout si on détecte le malware lorsqu'il est déjà en cours d’exécution, d’après l'analyse de son comportement. Mais cette méthode reste problématique pour les utilisateurs car une partie de leurs fichiers aura sans doute déjà été chiffrée pendant le laps de temps pris par l'analyse. L'utilisation des signatures pour détecter les scripts n'a pas de sens : le script est un fichier texte qui peut être facilement modifié. Dans ce cas, la signature correspondante devient rapidement inutile.

C'est pourquoi, pour détecter les scripts malveillants, on utilise l'analyse de scripts. Il s'agit de mettre en marche un interpréteur et d'exécuter le script pour observer des particularités pouvant ressembler au comportement de malwares. On peut établir une analogie avec l'analyse du courrier à la recherche de spam. Certaines caractéristiques forment une image complète qui peut permettre de classer un script comme malveillant et un message comme spam. Sauf que laisser passer des scripts malveillants peut s’avérer plus problématique que laisser passer des spams.