PC Sans Virus

Techniques d'attaques d'un Sites Web

Evolution des Virus Trojans, Malwares, vers sous Windows, Linux et Telephone Mobile

En virusologie, les tendances d'aujourd'hui prennent racine dans la seconde moitié de 2003. Les vers Internet Lovesan, Sobig, Swen et Sober n'ont pas seulement causé des épidémies mondiales mais également profondément changé le paysage du malware. Chacun de ces programmes malicieux ont apporté de nouveaux standards pour les auteurs de virus. Une fois qu'un programme malveillant utilise de nouvelles techniques fondamentales de propagation ou d'infection, les auteurs de virus ne tardent pas à adopter ces nouvelles techniques. Les menaces d'aujourd'hui incorporent toutes des caractéristiques propres à Lovesan, Sobig, Swen ou Sober. Aussi pour comprendre ce que les auteurs de virus font à l'heure actuelle et pour savoir de quoi demain sera fait, il est nécessaire d'étudier ce quatuor à la loupe.

Lovesan

Lovesan est apparu en août 2003 et a infecté des millions d'ordinateurs en quelques jours seulement. Ce ver Internet s'est propagé en exploitant une vulnérabilité critique dans MS Windows. Lovesan s'est diffusé directement via Internet passant d'ordinateur en ordinateur, ignorant les méthodes telles que IRC, P2P et les emails qui étaient alors populaires. Le ver Morris a été le premier à utiliser cette méthode de propagation en 1988, mais il a fallu 15 ans à un autre auteur de virus pour profiter de cette technique particulière. Dans une certaine mesure, Lovesan était un simple imitateur de ver. En exploitant une faille MS Windows, il a suivi les pas de Slammer. Pourtant au contraire de Slammer qui a frappé en janvier 2003, et infecté environ un demi million d'ordinateurs, il n'a pas atteint les mêmes niveaux d'infection que Lovesan. Slammer fut également le premier ver sans corps, certainement un exploit, du moins du point de vue du codeur, étant donné qu'écrire un ver sans corps viable, nécessite de fortes compétences en programmation. En fait il y a eu un ver avec un succès modéré depuis Slammer, il s'agit de Witty qui a fait son apparition en mars 2004. Lovesan a lancé une autre tendance, inclure une attaque de DoS dans le payload du ver sur des sites d'entreprises. Lovesan a attaqué Microsoft de manière plutôt réussie, des millions d'utilisateurs dans le monde entier ont été incapables de télécharger les patchs dont ils avaient besoin pour protéger leurs machines du ver. Heureusement, l'attaque de DoS a échoué mais Mircrosoft a reconstruit l'architecture de son serveur web en réponse.

Techniques d'attaques

En résumé, Lovesan a lancé tendances suivantes :

  • Exploit de failles critiques dans MS Windows.

  • Diffusion via Internet par le biais de connections directes sur machines victimes.

  • Organisation d'attaques de DoS et DDoS sur des sites Web clés.

 

Virus Sobig.f :

Sobig.f a marché sur les talons de Lovesan en août 2003 et a causé la première épidémie sérieuse de ver de messagerie du 21 ème siècle. Au pic de l'épidémie, un message sur 10 était infecté par Sobig. Le trafic d'e mail a été multiplié par dix et comprenait des millions de messages des programmes anti virus informant fidèlement les expéditeurs parodiés du malware détecté et supprimé. Sobig.f n'a utilisé aucune faille et les attributs du message (objet etc.) étaient des plus ordinaires. Cependant le payload de Sobig comprenait un backdoor qui ont tenu les professionnels de l'anti virus en haleine jusqu'au 22 août, date à laquelle tous les zombies controlés par Sobig étaient programmés pour recevoir un ordre mystérieux. Heureusement, le serveur à partir duquel la commande devait être lancée, a été fermé à temps. Cependant Sobig.f continue à harceler la communauté des internautes, restant un des virus les plus courants dans le monde.

Les épidémies à grande échelle ne sont pas causées par des vers classiques

Ces vers classiques prennent souvent des semaines voire des mois pour atteindre un pic d'activité. Sobig.f n'a pas fait exception à la règle : il a exploité des machines infectées précédemment par des versions antérieures. Sobig.a est apparu en janvier 2003 et a été suivi par plusieurs variantes, chacune a construit consciencieusement un réseau de machines infectées, machine par machine. Une fois qu'un seuil critique a été atteint Sobig.f a frappé. Sobig.f a été l'initiateur de cette vague d'épidémies par e mail à grande échelle comme on l'a vu en 2004 et ça va continuer ainsi jusqu'à de nouvelles techniques soient inventées. Sobig a apporté deux techniques innovantes au monde du malware :

  • La mise en place de réseau de machines infectées pour servir de plateformes épidémiques.

  • Mailing de masse de logiciels malveillants en utilisant des techniques de spams.

Swen

Revenons au 18 septembre 2003. Tôt le matin, Kaspersky Lab reçoit un échantillon de Nouvelle Zélande. Le ver semblait intéressant mais personne ne se doutait de l'épidémie qu'il allait provoqué. Aussi, six heures plus tard, des appels au secours venant du monde entier ont montré qu'un nouveau et dangereux virus était entré en piste. Au premier abord, Swen ressemblait à un ver banal utilisant les méthodes de propagation standards, email, IRC et les réseaux P2P. Swen s'est fait remarqué par son social engineering particulièrement judicieux. Le ver est arrivé déguisé sous forme de patch Microsoft qui était supposé corriger toutes les failles. Le message comportait des logos Microsoft, des liens vers des vraies ressources Microsoft, accompagné d'un texte très convaincant. Les destinataires, apeurés par la récente publicité des épidémies Lovesan et Sobig et ayant retenus la leçon que se patcher est essentiel, ont cliqué sur le lien. L'email était tellement plus vrai que nature que même les utilisateurs expérimentés ont été nombreux à être duper. L'épidémie qui a suivie a été certainement moins sérieuse que celles provoquées par Lovesan et Sobig (seulement 350 serveurs infectés ont été utilisés pour diffuser Swen). Swen a tout de même prouvé que le social engineering est redoudablement efficace lorsqu'il est correctement utilisé.

Sober

Sober est le dernier de cette liste des vers intéressants de 2003. Sober est une imitation de Sobig mais comporte quelques facteurs innovants. Les emails infectés arrivent en plusieurs langages, et le langage appropié est déterminé par l'adresse IP du destinataire. Sober a lui aussi usé de social engineering en prétendant être un utilitaire de désinfection pour Sobig.

2004 est de loin l'année qui a apporté de nombreux nouveaux programmes originaux. La plupart reprennent les développements de 2003, mais de nombreuses nouvelles caractéristiques et virus proof of concept ont prouvé que l'informatique underground est toujours en ébullition et continue à évoluer. Janvier 2004 Un nouveau Trojan proxy server, Mitglieder est apparu la première semaine de l'année. Des milliers d'utilisateurs ICQ ont reçu un message les invitant à visiter un site donné. Ceux qui ont eu la mauvaise idée de cliquer sur le lien se sont ensuite tournés vers les vendeurs anti virus en demandant leur aide. Le site contenait un trojan qui utilisait une faille dans MS Internet Explorer pour installer et lancer un serveur proxy sur la machine victime à l'insu de l'utilisateur. Le proxy ouvrait un port permettant à un utilisateur à distance d'envoyer et de recevoir des messages en utilisant la machine infectée. Les machines victimes étaient transformées en zombies débordant de spams. Les auteurs de virus ont rapidement adopté ces deux nouvelles techniques déployées dans Mitglieder :

  • Les mailings de masses de liens vers des sites infectés via email ou ICQ.

  • Les Trojans proxy servers sont devenus une classe à part de malware étroitement liés aux spammeurs.

Et le dernier mais pas des moindres, Mitglieder a également crée un réseau de machines zombies, mais qui n'a été découvert qu'au moment où Bagle a frappé. Bagle semble avoir été écrit par le même groupe qui a écrit Mitglieder. Bagle installait soit un Trojan proxy serveur, soit le téléchargeait depuis Internet. En aucun cas, le ver était simplement une version améliorée de Mitglieder avec la capacité de se propager par e mail. De plus, Bagle était envoyé depuis des machines infectées par Mitglieder. Et finalement, l'épidémie la plus sérieuse dans l'histoire de l'informatique : le ver Mydoom.a. Il s'est propagé par un réseau de machines zombies infectées au préalable (de la même facon que Sobig), un usage judicieux du social engineering (tel que Swen), a incorporé une fonction backdoor efficace et était programmé pour conduire une attaque de DoS sur un site corporate (tel que Lovesan). Cette combinaison d'éléments a battu tous les records. Mydoom.a a créé encore plus de trafic email que le leader récent Sobig.f, il a infecté des millions de machines de par le monde, ouvrant des ports pour donner accès de l'extérieur et faisant tomber le site web de SCO. Mydoom.a a fait bien plus que créer l'épidémie la plus sévère dans l'histoire de l'informatique à ce jour. Il a également introduit une nouvelle technique. Le backdoor installée par Mydoom était exploitée par d'autres auteurs de logiciels malveillants, avec de nouveaux virus qui se sont mis pratiquemement immédiatement à la recherche du backdoor de Mydoom. La plupart des nouveaux venus infiltraient la machine via le backdoor, supprimaient Mydoom et s'installaient à sa place. Certains de ces imitateurs ont provoqué des épidémies locales et ont forcé des segments locaux du réseau de zombie de mydoom à travailler pour eux à la place.

Ainsi une autre technique a gagné en popularité :

  • L'utilisation de failles ou de brèches formées par d'autres virus.

Février 2004 :

NetSky.b

Ce ver de messagerie utilisait le réseau de machines infectées laissées par Backdoor.Agobot pour se propager. Netsky.b a utilisé plusieurs techniques énumérées ci-dessus mais a aussi supprimé un certain nombre de vers : Mydoom, Bagle et Mimail. L'idée d'un soi-disant virus antivirus n'est pas nouvelle. Le premier exemple significatif de cette espèce supposée serviable, est Welchia, apparu en 2003. Welchia n'a pas seulement infiltré les ordinateurs pour nettoyer les machines infectées par Lovesan, il essayait également de télécharger le patch Windows qui corrigeait la faille exploitée par Lovesan dès le début. Netsky n'a pas seulement supprimé les virus concurrents mais a provoqué une guerre verbale entre les différents auteurs codant des insultes dans le corps du virus. L'auteur de Mydoom n'a pas réagi mais les auteurs de Bagle ont saisi la balle au bond et la guerre des virus a commencé. Au temps fort de cette bataille, trois versions de chaque ver apparaissaient en l'espace d'une journée.

Mis à part la guerre verbale les auteurs de Bagle et Netsky ont introduit de nouvelles notions

  • Elimination active des virus concurrents.

  • Propagation dans des fichiers zippés (variantes Bagle & NetSky).

  • Propagation par fichiers zippés protégés par des mots de passe: les mots de passe étaient soit inclus sous forme de texte ou graphique (Bagle).

  • Abandon de la diffusion par email: au lieu de ça, le programme malicieux se propage en dirigeant des machines infectées vers des sites ou le corps de ver a été précédemment téléchargé ou en téléchargeant le corps du ver depuis des machines préalablement infectées (NetSky).

Les incidents listés ci-dessus n'ont pas seulement influencé les auteurs de virus mais également l'évolution de l'architecture et la fonctionnalité des solutions anti virus actuelles

L'abandon de l'envoi du corps du ver par email est significatif. NetSky.q, une variante NetSky qui se propage en envoyant des emails pourvus de liens vers des machines préalablement infectées, a été immédiatement suivie de Bizex. Bizex était le premier ver ICQ, il pénétrait les machines via ICQ et envoyait tous les contacts trouvés sur les machines infectées vers un site où se trouvait le corps du ver. Une fois que les internautes cliquaient sur le lien, le ver était téléchargé depuis le site infecté et ainsi de suite. Bizex a combiné avec succès les caractéristiques de Mitglieder (propagation via ICQ) et de NetSky (en envoyant des liens vers des sites infectés).

Mars-Mai 2004 :

Snapper et Wallon

Ces vers Internet ont consolidé les techniques introduites par Netsky et Bizex. Ces deux vers scannaient les répertoires d'adresses email sur les machines infectées puis envoyaient des liens vers des sites infectés à tous les contacts trouvés dans le répertoire d'adresses local. Les auteurs ont placé des trojans sur les sites infectés : ces trojans exploitaient ensuite les vulnérabilités dans Internet Explorer pour installer des composants essentiels sur les machines victimes. Encore aujourd'hui, les emails contenant des liens ne sont pas traités par les destinataires avec la précaution nécessaire. L'utilisateur méfiant face aux emails avec fichiers attachés cliquera néanmoins avec enthousiasme sur des liens soi-disant envoyés par des amis. Il est certain que cette technique continuera à être utilisée jusqu'à ce que les internautes apprennent à traiter les liens reçus par email avec la même prudence que celle qu'ils déploient envers les fichiers attachés aux emails. Il semble que la découverte constante de nouvelles vulnérabilités dans Internet Explorer et Outlook ne fera qu'ajouter de l'huile sur le feu.

Sasser

Sasser a inauguré l'année 2004 en faisant surface en avril. Ce ver Internet exploitait la vulnérabilité dans MS Windows et se diffusait de la même manière que Lovesan, se connectant directement à la machine victime par Internet. Sasser a causé une sérieuse épidémie en Europe et a laissé derrière lui une faille de serveur FTP qui a été immédiatement reprise par Dabber et Cycle. Lorsque Sven Jaschan, l'adolescent auteur de Sasser fut arrêté, il a reconnu être également l'auteur de la famille Netsky. L'arrestation d'un auteur de virus peu après la sortie d'un nouveau programme malicieux était une première dans l'histoire. Sasser mettait en évidence que les auteurs de virus recyclent et plagient les techniques réussies : Jashan utilisait des techniques exploitées par Lovesan, et d'autres auteurs de virus à leur tour reprenaient immédiatement leurs idées.

Plexus

Plexus est rentré dans l'histoire en devenant le premier ver depuis Nimbda (2001) à utiliser toutes les techniques de propagation existantes. L'Internet, l'email, les réseaux P2P et LANs. Trois années se sont écoulées sans qu'aucun auteur de virus n'utilise autant de ressources simultanément. Plexus était potentiellement un ver extrêmement dangereux basé sur le code source de Mydoom. Ici l'auteur du virus a suivi les pas de l'auteur de Sober. Une part de Sober n'était que pur plagiat résultant en un ver qui a atteint plus de succès que certains des programmes malicieux « donneurs ». Heureusement aucune version de Plexus n'a causé de sérieuses épidémies puisqu'aucune d'entre elles n'a utilisé de techniques de mailing de masse pour se propager. L'auteur de ces vers n'a pas non plus utilisé de techniques de social engineering efficaces. Cependant si quelqu'un arrivait à créer de nouvelles versions qui corrigeraient ces défauts, le monde informatique pourrait se voir inquiéter par une sérieuse épidémie.

Au-delà des vers :

Les vers décrit ci-dessus ont causé les épidémies les plus médiatisées dans l'histoire de l'informatique

Cependant, d'autres types de malware peuvent menacer la sécurité des ordinateurs et des données, il est donc important de prendre en compte le paysage global, y compris les environnements hors Windows, afin d'obtenir une image complète des tendances actuelles.

Autre Malware :

Trojans

Les Trojans sont souvent considérés comme moins dangereux que les vers, du fait qu'ils ne peuvent se dupliquer ou se déplacer par eux-mêmes. Il s'agit pourtant d'une fausse idée: le malware d'aujourd'hui combine plusieurs composants et les Trojans font partis des downloads de beaucoup de vers. Ces trojans posent les fondations pour les réseaux de bot. Les Trojans gagnent également en sophistication. Les trojans programmes espions prolifèrent, avec des douzaines de nouvelles versions apparaissant chaque semaine. Ces versions sont toutes légèrement différentes, mais développées dans le même but : dérober des informations financières confidentielles. Certains de ces programmes sont de simples key loggers (sniffeurs de claviers), qui envoient l'enregistrement des touches du clavier à l'auteur ou l'utilisateur du programme. Les versions les plus élaborées offrent un contrôle complet sur les machines victimes, en envoyant des données à des serveurs éloignés et recevant et exécutant des commandes. Les auteurs de Trojans ont pour but d'obtenir un contrôle total sur les machines. Les machines infectées sont habituellement intégrées dans un réseau de bot utilisant des canaux IRC ou des sites Web ou le codeur implante de nouvelles commandes. Les Trojans les plus complexes, comme les nombreuses variantes Agobot, réunissent toutes les machines infectées sous un seul réseau P2P. Une fois que les réseaux bot sont en place, ils sont loués à des spammeurs ou utilisés pour mener des attaques de D DoS. L'escalade de la commercialisation de l'écriture de virus entraîne la sophistication accrue des réseaux de bots.

Cheval de Troie droppers et downloaders

Les downloaders aussi bien que les droppers injecteurs ont un seul et même but

installer une pièce supplémentaire de malware, que ce soit un ver ou un autre Trojan, sur le machine victime. Ils se différencient des Trojans par les méthodes employées. Les droppers installent soit d'autres programmes malicieux soit une nouvelle version de malware précédemment installée. Les droppers peuvent porter une série de différents malware qui n'ont rien à voir les uns avec les autres, et qui peuvent répondre à différentes fonctions voire même être écrits par différents auteurs. Techniquement parlant, les droppers se comportent comme des archiveurs qui ont la faculté de compresser plusieurs sortes de malware. Les droppers sont souvent utilisés pour installer de nouveaux trojans pour la simple raison qu'il est plus facile d'écrire un dropper qu'un nouveau Trojan, et pour assurer que le dropper ne sera pas détecté par des solutions antivirus. La majorité des droppers sont écrits en VBS et JS ce qui contribue à leur popularité, ces langages sont relativement simples et accompagnés d'application multi plateforme. Les auteurs de virus utilisent souvent les downloaders de la même façon que les droppers. Pourtant les downloaders peuvent se montrer plus utiles que les droppers. Premièrement ils sont plus petits, deuxièmement ils peuvent être utilisés pour télécharger les infinies nouvelles versions du malware visé. Comme les droppers, les downloaders sont souvent écrits en langage de script tels que VBS et JS. Ils exploitent également les vulnérabilités d'Internet Explorer. Les droppers aussi bien que les downloaders ne sont pas utilisés uniquement pour installer d'autres Trojans mais également d'autres programmes malicieux tels que du adware et du porn ware.

Virus Classiques

Les virus classiques de fichiers ont régné pendant les années 90 mais à ce jour ils ont pratiquement disparu. A l'heure actuelle on dénombre environ 10 virus de fichiers toujours actifs. Ils atteignent un pic d'activité lorsqu'ils infectent le fichier exécutable d'un ver : le virus de fichier se déplacera alors à la même vitesse que le fichier infecté du ver. Par exemple, nous observons souvent des échantillons de MyDoom, Netsky, et Bagle être infectés par des virus de fichiers tels que Funlove, Xorala, Parite ou Spaces. En gros, il y a peu de risque que les virus de fichiers provoquent aujourd'hui une épidémie sérieuse. Même Rugrat, le premier virus Proof Of Concept pour Win64, n'a pas la capacité de changer la situation dans un futur à venir.

Autres environnements :

Linux

Les plateformes sous Linux ont été la cible répétée d'attaques rootkit

kit pour devenir administrateur d'une machine et de simple virus de fichiers. Cependant le nombre croissant de vulnérabilités médiatisées signifie que le nombre croissant d'utilisateurs passant à Linux ne seront pas à l'abri du malware.

Les nomades

Les PDA font désormais partis des appareils courants de notre quotidien. Les auteurs de virus n'ont pas attendu pour profiter de leur croissante popularité. Le premier Trojan pour Palm OS est apparu en septembre 2000. Le premier POC pour pocket PC, Duts, a mis plus de temps pour arriver, et est apparu en juillet 2004. Jusqu'à présent, il n'y a pas eu d'épidémies sérieuses dans le monde des nomades mais c'est simplement une question de temps. Une fois que les auteurs de virus auront décidé que l'information sauvegardée sur les nomades vaut la peine, le malware pour ces appareils évolueront rapidement.

Les téléphones mobiles

Les téléphones portables sont désormais énormément répandus et utilsés de la même façon. Ces deux facteurs sont à même d'attirer l'attention des auteurs de virus particulièrement avec l'arrivée des smartphones dotés de facultés informatiques. Le premier POC pour smartphones sous Symbian est apparu en juin 2004. Le seul facteur manquant est l'utilisation commerciale, une fois que les auteurs de virus auront trouvé un moyen de gagner de l'argent en exploitant les téléphones cellulaires, les virus apparaîtront inévitablement.