Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Sans aller trop dans les détails

Lu par: 248 Commentaires: 9 Cote de popularité: 9

lundi 19 octobre 2020

Nous ne nous lassons jamais de répéter que tous les composants d’un antivirus sont importants pour le système de sécurité. Mais les utilisateurs pensent bien souvent qu’il suffit d’avoir un antivirus qui scanne les fichiers au moment de leur lancement ou de leur téléchargement. Qu’il analyse tout ce qui doit être vérifié. Malheureusement, les pirates savent eux aussi ce que pensent bien souvent les utilisateurs et s’assurent que leurs (faux) fichiers ne contiennent pas de code malveillant au moment de leur téléchargement. Le code est intégré aux fichiers plus tard. Magique ? Non, il s’agit d’une technique de construction d’une charge utile. Voici un exemple.

Menlo Security a publié une étude décrivant la technique de « smuggling HTML » (« contrebande d’HTML ») utilisée par des attaquants pour contourner les solutions de sécurité (y compris les sandbox).

Expliquons d’abord ce phénomène en termes techniques. Les attaquants utilisent un blob JavaScript binaire pour contourner les solutions de sécurité (ils livrent le fichier au point final via un navigateur). Lorsque l’utilisateur clique sur le lien, il existe plusieurs niveaux de redirection avant qu’il n’arrive sur une page HTML. La page de destination invoque un onload JavaScript qui initie des données pour un blob depuis une variable encodée en base-64. L’archive est transmise comme un flux de données et échappe donc aux contrôles de sécurité. Un ficher ZIP est construit de manière dynamique depuis le blob avec le type MIME “octet/stream”.

Lorsqu’il est requis (l’utilisateur visite la page web), le fichier JSCRIPT effectue les actions suivantes :

-Il télécharge un fichier ZIP qui possède l’extension .jpg, mais c’est bien un fichier ZIP. Ce fichier est téléchargé dans le dossier Documents Publics, et deux fichiers sont extraits de l’archive ZIP : Avira.exe et rundll.exe. le fichier Avira.exe est renommé par un nom aléatoire, de même que le fichier rundll.exe., dont l’extension devient .bmp.

Le fichier extrait Avira.exe a été signé numériquement, et sa taille est de 500Mo.

Source

Et maintenant, expliquons cela avec des mots simples. Un bitstream, plutôt qu’un fichier, est transmis à l’utilisateur au final. En fait, tout fichier téléchargé est transmis sous forme d’une séquence de bytes. Cependant, dans ce cas, le logiciel de sécurité peut être contourné parce que le fichier est « passé en contrebande » sous forme d’un flux de données transféré par un script. Une fois que toutes les données ont été transmises, il est alors converti en une archive depuis laquelle les fichiers sont extraits.

A cause de cela, si le fichier JavaScript est examiné par un scanner multi-moteurs, la conclusion sera sûrement que le fichier est sain. La charge utile malveillante est extraite uniquement durant l’exécution, et aucun scanner multi-moteurs ne lance les fichiers qu’il vérifie (voir l’article du blog concernant ce sujet). Pour ce fichier en particulier, aucun utilisateur ne sera en mesure de le charger sur un site web multi-moteurs, parce que sa taille est de 500Mo, ce qui correspond aux limites de taille des fichiers traités par les scanners multi-moteurs.

Est-il possible de détecter un tel trojan ? Oui. En réalité, il est possible de le faire pendant que les données sont téléchargées – si l’antivirus que vous utilisez est en mesure d’analyser les bitstreams et de les assembler en fichiers. Mais le succès n’est pas garanti : une archive ZIP peut être protégée par un mot de passe, et dans ce cas, il sera impossible d’en extraire les données. Cependant, les fonctionnalités des antivirus qui surveillent les processus en cours d’exécution ainsi que les applications pourront vous sauver la mise. Par exemple, si un ransomware à chiffrement démarre dans un système, la protection préventive de Dr.Web va sans doute le détecter.

#Dr.Web #preventive_protection #technologies #trojan

Le projet Lumières sur la sécurité recommande

N’oubliez pas une règle simple : il n’existe pas de composant inutile dans un antivirus. Chacun d’entre eux contribue à maintenir la ligne de défense, et ils sont tous importants.

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs