Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Fausses idées et antivirus

Антивирусная неправда

D'autres publications de cette rubrique (17)
  • Ajouter aux favoris
    Ajouter aux favoris

Menace inconnue, incapacité de l’AV ?

Lu par: 22847 Commentaires: 11 Cote de popularité: 15

mercredi 29 mai 2019

Oh, comme les auteurs de news aiment la phrase “l’antivirus a été incapable de détecter xyz », une phrase qui le plus souvent, révèle leur ignorance de la façon dont fonctionnent les antivirus. Qui plus est, ces publications font souvent référence à l’avis « d’experts en sécurité » !

Une équipe d’universitaires de l’Université de Colorado Boulder (UCB) a montré qu’une exécution spéculative (les routines utilisées par les vulnérabilités bien connues Meltdown et Spectre, qui affectent presque tous les processeurs actuels) pourrait être utilisée non seulement pour voler des données mais également pour servir « d’endroit secret » où placer des commandes malveillantes.

La technique, qu’ils nomment ExSpectre, implique la création d’applications binaires bénignes que les victimes installent sur leurs systèmes, en pensant qu’ils sont en sécurité, et qui, en effet, semblent être sûres lorsqu’elles sont scannées par des logiciels de sécurité. En réalité, ces fichiers binaires peuvent être configurés (après réception d’un déclencheur externe – via l’utilisateur / le réseau ou une autre app en cours de fonctionnement dans le système) pour lancer des fils d’exécution spéculative bien orchestrés qui manipulent l’app bénigne pour lui faire exécuter des tâches malveillantes.

Dans d’autres exemples, les chercheurs expliquent qu’ils ont également utilisé la technique d’ExSpectre pour déchiffrer une mémoire chiffrée et même manipuler des apps pour ouvrir un interpréteur de commandes local inversé sur un emplacement contrôlé par un attaquant et lui permettre de lancer des commandes sur la machine de la victime.

Les chercheurs d’UCB expliquent qu’au vu de la façon dont il fonctionne, le type de malware que représente ExSpectre est actuellement indétectable. « Cette technique met en échec l’analyse statique et dynamique actuelle, rendant particulièrement difficile pour les analystes de déterminer ce que fera le fichier binaire », rapportent les chercheurs. Cesser les attaques avec des malwares codés pour utiliser la technique d’ExSpectre n’est pas possible pour le moment, au moins au niveau logiciel, ajoutent-ils.

Source

L’article indique qu’une autre fonction de CPU moderne peut être utilisée pour lancer un fil d’exécution arbitraire. Tout le monde est d’accord sur le fait que cela peut être dangereux. Et nous croyons vraiment que les utilisateurs ne seront pas en mesure d’identifier un fil dormant dans une application apparemment inoffensive – les utilisateurs sont malheureusement souvent prompts à ouvrir un lien malveillant dans un email ou à installer n’importe quel logiciel qu’un attaquant leur présente.

Mais est-il vrai que les antivirus ne peuvent pas détecter ce type de malwares ? Pour répondre à cette question, nous devons comprendre comment les antivirus fonctionnent. Rapidement, un antivirus utilise trois méthodes de détection : l’analyse basée sur les signatures, l’analyse comportementale et l’analyse par réputation. Chacune de ces méthodes possède ses propres avantages et inconvénients.

Chaque « morceau » de donnée associé à une application peut servir de signature. Grâce à cela, avec sa signature, un antivirus peut détecter n’ipmorte quel logiciel, y compris le logiciel susmentionné.

L’analyse par réputation regarde les statistiques d’utilisation d’un logiciel sur un très grand nombre de machines. Si une application possède une mauvaise réputation (càd que des problèmes surviennent dans le système après son installation), ou qu’il n’y a pas de données de réputation pour ce programme (parce qu’il est récent par exemple), l’antivirus ne lui permettra pas de démarrer.

Et enfin, l’analyse comportementale examine le comportement d’un logiciel. Et, oui, un antivirus peut vraiment échouer à répondre à une certaine action. Pourquoi ? Simplement parce que cette action n’a pas encore été regardée comme malveillante.

#Antivirus #malware #vulnérabilité #mythe

Le projet Lumières sur la sécurité recommande

Les antivirus de bonne qualité peuvent détecter tout type de malwares. La seule raison pour laquelle un antivirus peut échouer est qu’une attaque n’ait pas encore été construite. Si l’attaque a lieu, les rapports de détection sont sûrs de suivre.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs