Sans aller trop dans les détails
lundi 19 octobre 2020
Nous ne nous lassons jamais de répéter que tous les composants d’un antivirus sont importants pour le système de sécurité. Mais les utilisateurs pensent bien souvent qu’il suffit d’avoir un antivirus qui scanne les fichiers au moment de leur lancement ou de leur téléchargement. Qu’il analyse tout ce qui doit être vérifié. Malheureusement, les pirates savent eux aussi ce que pensent bien souvent les utilisateurs et s’assurent que leurs (faux) fichiers ne contiennent pas de code malveillant au moment de leur téléchargement. Le code est intégré aux fichiers plus tard. Magique ? Non, il s’agit d’une technique de construction d’une charge utile. Voici un exemple.
Menlo Security a publié une étude décrivant la technique de « smuggling HTML » (« contrebande d’HTML ») utilisée par des attaquants pour contourner les solutions de sécurité (y compris les sandbox).
Expliquons d’abord ce phénomène en termes techniques. Les attaquants utilisent un blob JavaScript binaire pour contourner les solutions de sécurité (ils livrent le fichier au point final via un navigateur). Lorsque l’utilisateur clique sur le lien, il existe plusieurs niveaux de redirection avant qu’il n’arrive sur une page HTML. La page de destination invoque un onload JavaScript qui initie des données pour un blob depuis une variable encodée en base-64. L’archive est transmise comme un flux de données et échappe donc aux contrôles de sécurité. Un ficher ZIP est construit de manière dynamique depuis le blob avec le type MIME “octet/stream”.
Lorsqu’il est requis (l’utilisateur visite la page web), le fichier JSCRIPT effectue les actions suivantes :
-Il télécharge un fichier ZIP qui possède l’extension .jpg, mais c’est bien un fichier ZIP. Ce fichier est téléchargé dans le dossier Documents Publics, et deux fichiers sont extraits de l’archive ZIP : Avira.exe et rundll.exe. le fichier Avira.exe est renommé par un nom aléatoire, de même que le fichier rundll.exe., dont l’extension devient .bmp.
Le fichier extrait Avira.exe a été signé numériquement, et sa taille est de 500Mo.
Et maintenant, expliquons cela avec des mots simples. Un bitstream, plutôt qu’un fichier, est transmis à l’utilisateur au final. En fait, tout fichier téléchargé est transmis sous forme d’une séquence de bytes. Cependant, dans ce cas, le logiciel de sécurité peut être contourné parce que le fichier est « passé en contrebande » sous forme d’un flux de données transféré par un script. Une fois que toutes les données ont été transmises, il est alors converti en une archive depuis laquelle les fichiers sont extraits.
A cause de cela, si le fichier JavaScript est examiné par un scanner multi-moteurs, la conclusion sera sûrement que le fichier est sain. La charge utile malveillante est extraite uniquement durant l’exécution, et aucun scanner multi-moteurs ne lance les fichiers qu’il vérifie (voir l’article du blog concernant ce sujet). Pour ce fichier en particulier, aucun utilisateur ne sera en mesure de le charger sur un site web multi-moteurs, parce que sa taille est de 500Mo, ce qui correspond aux limites de taille des fichiers traités par les scanners multi-moteurs.
Est-il possible de détecter un tel trojan ? Oui. En réalité, il est possible de le faire pendant que les données sont téléchargées – si l’antivirus que vous utilisez est en mesure d’analyser les bitstreams et de les assembler en fichiers. Mais le succès n’est pas garanti : une archive ZIP peut être protégée par un mot de passe, et dans ce cas, il sera impossible d’en extraire les données. Cependant, les fonctionnalités des antivirus qui surveillent les processus en cours d’exécution ainsi que les applications pourront vous sauver la mise. Par exemple, si un ransomware à chiffrement démarre dans un système, la protection préventive de Dr.Web va sans doute le détecter.
Le projet Lumières sur la sécurité recommande
N’oubliez pas une règle simple : il n’existe pas de composant inutile dans un antivirus. Chacun d’entre eux contribue à maintenir la ligne de défense, et ils sont tous importants.
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
VigenTests
12:29:56 2020-10-21
Un gestionnaire de mots de passe serait un vrai plus.
Certes, il existe des solutions tierces, mais la sauvegarde des mdp en dehors du navigateur (qui cible en priorité les malwares) me parait une bonne chose.
Bernard
21:38:43 2020-10-20
Le module de suivi comportemental est cependant très important pour détecter les anomalies de fonctionnement si la détection ne peut se faire au téléchargement bien évidemment.
Татьяна
20:25:13 2020-10-20
Masha
16:45:48 2020-10-20
GREEN
09:26:24 2020-10-20
L'argent ne sent pas et tous les moyens sont bons. Et rien de personnel, juste des affaires.
Que devrions nous faire? Nous avons juste besoin d'un antivirus fiable et à jour!
GREEN
09:23:40 2020-10-20
Surtout en français!
Пaвeл
09:19:35 2020-10-20
Lia00
01:04:58 2020-10-20
Неуёмный Обыватель
01:03:45 2020-10-20