Lumières sur la sécurité

jeudi 11 février 2021

Le bac à sable est souvent considéré comme une panacée pour la protection contre les logiciels malveillants. On suppose qu'un logiciel lancé dans un bac à sable montrera ses fonctions malveillantes. Il est logique de penser que les développeurs de logiciels malveillants en sont conscients et tentent d'éviter la divulgation du véritable but de leurs produits qui peut être révélé dans un bac à sable. Les auteurs de virus pensent également que si quelqu'un examine leurs programmes, il va les lancer sur une machine virtuelle.

Dans les deux cas, si les auteurs de virus veulent empêcher la détection des activités malveillantes de leurs programmes au lancement, ils doivent se rendre compte du fait que leurs logiciels sont lancés dans un environnement isolé.

Il est intéressant de noter que, sachant cela, certains utilisateurs sur un PC ordinaire, font des manipulations de sorte que pour les programmes malveillants, leur ordinateur ait l'air d'être virtuel. Cela fait penser à une vielle procédure de vaccination. Dans les années 90 du siècle dernier, les premiers logiciels antivirus sont apparus mais également les « logiciels vaccins ». Ils imitaient une contamination de fichier afin que les virus puissent considérer un tel fichier comme infecté et qu'ils ne l'infectent pas. Cette technique pourrait-elle remplacer l'antivirus ? Bien sûr que non, car tous les programmes malveillants n'ont pas de fonctionnalité capable de vérifier si le logiciel est lancé sur une machine virtuelle. Pourquoi ? Une des raisons est le fait que souvent, les serveurs d'entreprise sont déployés sur des machines virtuelles. Les utilisateurs distants consultent souvent les services de l'entreprise depuis une machine virtuelle.

Comment déterminer qu'un programme est lancé sur une machine virtuelle ? En cas de PC réels, différents équipements sont utilisés, tels que des disques durs de différents fabricants, une variété de cartes vidéo et des cartes réseau, il existe différentes versions BIOS. Dans le cas des machines virtuelles, il ne s'agit pas d'une telle variété d'équipement.

Les systèmes d'exploitation sur les machines virtuelles peuvent avoir des services spécifiques, des pilotes et des logiciels installés (par exemple, dans le cas de VMware - VMware Tools). En cas d'OS Windows, les traces du lancement sur une machine virtuelle peuvent être détectées dans le registre.

Notamment, lors de l'utilisation de VMware Workstation, l'interaction entre l'OS principal et le système d'invité est effectuée via le port 0x5658. Si dans EAX on met le chiffre 0x564d5868 et dans ECX on enregistre 0x0A, la commande retournera le numéro de la version de VMware Workstation installée.

Il est également possible de savoir si l'utilisateur utilise une machine virtuelle ou bien réelle, pour cela, l'utilitaire Pafish (Paranoid Fish) peut être utilisé. L'utilitaire vérifie :

• la taille du disque dur et de la mémoire vive,
• la résolution de l'écran,
• les mouvements de souris,
• la minuterie TSC de la machine virtuelle,
• la présence dans le système des logiciels, identifiants des dispositifs et adresses MAC des adaptateurs réseau typiques des analyseurs et des machines virtuelles.

Voici, par exemple, un exemple du lancement de Pafish sur une machine virtuelle :

Comme vous pouvez le voir dans la capture d'écran, Pafish a détecté avec succès l'environnement virtuel lors de la vérification des Timestamp counters. Malgré le fait qu'un champ spécialisé est prévu pour le calibrage de la minuterie dans la structure utilisée lors de la virtualisations matérielle, il est assez compliqué de le configurer correctement. Cela est dû à la difficulté de déterminer le nombre exact de cycles qui se produisent au cours de l'exécution des instructions vmexit et vmresume.

Doctor Web propose à ses clients le service Cloud spécialisé - Dr.Web vxCube, dans lequel l'utilisateur peut télécharger un fichier suspect. Le fichier sera lancé sur une machine virtuelle spécialisée qui empêche l'échantillon examiné de détecter qu'il a été lancé dans un environnement virtuel.

Une riche expérience dans l'analyse d'un grand nombre de logiciels malveillants a permis à nos experts d'identifier les techniques utilisées par les auteurs de virus pour détecter le lancement du logiciel sur les machines virtuelles, ainsi que de développer des technologies permettant de déjouer les logiciels malveillants. Ainsi, les malwares ne peuvent pas utiliser :

• des informations sur le dispositif de refroidissement,
• des informations sur la présence de zones thermiques dans l’ACPI de la carte mère,
• des informations sur la présence de raccourcis, de programmes installés et de mises à jour de l'OS,
• des informations sur l'utilisation du processeur Xeon et d'autres.

Le contrôle des techniques utilisées par les pirates permet d'ajouter rapidement les technologies permettant de les neutraliser. Dr.Web vxCube utilise plus de 370 techniques pour contrer les outils de détection de logiciels d'analyse exploités par les malwares, ceci au mois d'Août 2020 - un record ! -

Lançons Pafish dans le service Dr.Web vxCube :

L'analyse démarre. Il est à noter que l'utilisateur du service peut attendre la fin de l'analyse ou bien utiliser VNC et entrer dans la machine virtuelle pour effectuer les actions souhaitées. Dans notre cas, après être entré dans la machine virtuelle, il verra le fonctionnement de l'utilitaire Pafish :

Comme vous pouvez le voir, tous les tests sont réussis, la présence de la machine virtuelle n'est pas révélée. Mais le service, a-t-il remarqué qu'il avait été examiné ?

Après la fin de l'analyse du programme (vous pouvez configurer l'heure de l'analyse avant le lancement du programme), faites défiler la page du rapport jusqu' à la section Comportement. Ici, il existe une entrée Détection Vm, et dans la section Description, vous pouvez voir les détails :

#logiciel_malveillant #technologies_cloud #signes_de_contamination #technologies_Dr.Web