Reverse Engineering

MGR850 – Automne 2015
Logiciels malveillants
École de technologie supérieure (ÉTS)
Département de génie électrique
1
Plan
•
•
•
•
•
•
•
•
•
Motivation
Virus
Vers
Chevaux de Troie
Portes dérobées
Logiciels espions
Logiciels publicitaires
Roootkits
Autre Classification
2
Motivation
Source: http://rt.com/news/fbi-internet-dnschanger-shutdown-440/
3
Motivation
4
Malware
• Les logiciels malveillants ou malware sont des
logiciels développés pour des fins malicieuses
• Ils exploitent les vulnérabilités d'un autre
programme ou la naïveté de l’usager pour causer
des dommages ou usurper des données..
• Ils viennent sous diverses formes:
–
–
–
–
–
Certains se reproduisent
Certains détruisent des informations
Certains volent des informations
Certains dorment jusqu’au moment propice
…
5
Malware
• Ils sont classés selon:
– Mode d’exécution
– Mode de propagation
– Activités malicieuses
• Classification non parfaite
• Intersection de différentes classes
6
Malware
Rootkits
Backdoors
(Portes dérobées)
Spyware
(Logiciels espions)
Trojans
(Chevaux de Troie)
Logic Bomb
(Bombe logique)
Worms
(vers)
MALWARE
Crimeware
Viruses
Adware
(Logiciel publicitaire)
Bots
(Ordinateurs zombies)
7
Virus
• C’est le Premier type de malware apparus
• Un virus s’attache à un autre logiciel ou document
légitime appelé « hôte »
• Il se déclenche lorsque le vecteur auquel il a été
attaché clandestinement est activé
• Exemples: ILoveyou, Melissa, …
8
Virus
• Propagation :
transfert/copie du
programme/document
hôte d’un système à
un autre à travers tout
moyen d'échange de
données numériques
(réseaux, cédéroms,
clefs USB, etc.)
Source:http://www.euro-reseau.fr/antivirus.php
9
Virus
• Un mécanisme d’infection
• Comment le virus se reproduit et se propage?
• Un moyen de déclenchement (trigger)
• Comment le virus décide d’exécuter sa charge utile?
• Une charge utile (payload)
• Qu’est-ce que fait le virus autrement que de se
reproduire et de se propager?
10
Vers
• Semblables aux virus mais ils sont autonomes
• Ils modifient le système d'exploitation hôte
pour, au moins, faire partie des processus
lancés au démarrage.
• Ils se reproduisent généralement
automatiquement grâce à une vulnérabilité
logicielle.
• Exemples des plus célèbres:
– Moris Worm, Slammer, Sasser, CodeRed, Blaster, …
11
Vers
• Mode de propagation:
– Se propagent par le réseau vers d’autres ordinateurs
vulnérables.
– Utilisent l’Ingénierie sociale pour inciter les utilisateurs à
les exécuter.
• Classifications des vers
– Selon le moyen de déclenchement de l’infection
(automatique ou usager)
– Selon le moyen de propagation (Courrier – Mass-mailer
worms, messagerie instantanée, réseau poste-à-poste
(peer-to-peer))
12
Chevaux de Troie
• Semblables aux virus car ils sont exécutés
en faisant partie d'un autre programme
• Attachés manuellement au logiciel hôte en
apparence inoffensif
• Ils ne peuvent pas:
– Infecter d'autres logiciels comme font les virus
– Se reproduire.
13
Chevaux de Troie
• Les plus célèbres: Sub7, Back Orifice, …
• Mode de propagation :
– Compte sur l’intérêt des usagers aux logiciels
hôtes (souvent de petits jeux ou utilitaires): les
inciter à les télécharger (Ingénierie sociale)
– Exemples: faux antivirus! introduit plutôt des
virus.
14
Portes dérobées
• Les portes dérobées peuvent être des fichiers
exécutables autonomes. Il peuvent fonctionner
comme:
– Un ver, propagé par un ver le transportant comme
charge utile.
– Un cheval de Troie
• Objectifs
– Contourner les procédures d'authentification afin de fournir un accès
à distance à l'ordinateur/réseau où le programme de porte dérobée
est en marche.
– Fournir un contrôle presque total sur la machine attaquée, ce qui
permet d'échanger des fichiers, modifier les paramètres système,
tuer des processus, ouvrir / fermer le lecteur de CD-ROM, activer /
désactiver le moniteur, exécutez un proxy, etc.
15
Logiciels espions
• Un logiciel espion recueille et transmet des
informations sur les utilisateurs:
– Données financières confidentielles, comme
numéros de cartes de crédit
– Mots de passe
– PINs
– Toute donnée stockée comme les habitudes de
navigation de l’usager
– etc.
• Fonctionnent et se propagent comme des
chevaux de Troie.
16
Logiciels espions
• Le mécanisme d'infection:
– Ces mécanismes sont identiques à ceux des virus, des
vers ou des chevaux de troie.
– Exemple, l'espiogiciel Cydoor utilise le logiciel grand
public Kazaa
• Le mécanisme de collecte d'information:
– La collecte consiste par exemple à enregistrer tout ce
que l'utilisateur recherche et télécharge via le logiciel
Kazaa
• Le mécanisme de propagation:
– Ce mécanisme est généralement assuré via le réseau
Internet.
17
Logiciels publicitaires
• Similaires aux logiciels espions
– Peuvent être installés sans que l’utilisateur en
soit conscient
• Parfois, ils affichent des bannières
• Leurs principaux buts
– Déterminer les habitudes d’achat en ligne de
l’utilisateur
– Faire des publicités sur mesure
• Leur principal problème est qu’ils ralentissent
les ordinateurs
18
Rootkit
• Inséré après prise de contrôle du système.
• Contient souvent des fonctions permettant
de cacher les traces de l'attaque:
– Supprimer les entrées journal (log)
– Dissimuler les processus de l'attaquant.
• Peuvent également inclure des backdoors:
– Reprendre l'accès plus tard
– Exploiter des logiciels pour attaquer d'autres
systèmes.
19
Autres?
• La classification n’est pas parfaite!
• Les malwares ne viennent pas avec des
étiquettes!
20
Autre Classification
Source: http://www.norman.com/security_center/security_center_archive/2010/112804/nl
• Une autre classification possible basée sur
les motivations des créateurs de malware:
– Generation I: Montrer l’intelligence des
auteurs. Les auteurs étaient peu nombreux.
– Generation II: Répandre les logiciels
malveillants autant que possible et aussi vite
que possible (et dans une certaine mesure
pour ruiner les systèmes). Les vers
extrêmement répandues du début de ce
siècle appartiennent à cette catégorie.
21
Autre Classification
Source: http://www.norman.com/security_center/security_center_archive/2010/112804/nl
– Generation III: Motivations économiques.
Utiliser les vulnérabilités de logiciels
combinées à des techniques d'ingénierie
sociale sont les principaux vecteurs de
propagation.
– Generation IV: Malware, très sophistiqué,
dirigée contre une ou plusieurs cibles
particulières. Le malware qui appartient à
cette catégorie n'est pas utilisé principalement
pour gagner de l'argent, mais comme une
arme (cyberweapon).
22
Conclusion
• Bien comprendre le comportement des divers
logiciels malveillants est essentiel pour:
– Déterminer les menaces qu’ils représentent et
évaluer les risques correspondants.
– Déterminer l’efficacité des divers moyens de
protection.
• Moyens de protection:
– Antivirus
– Systèmes de détection d’intrusion
• Basés sur des signatures
• Basés sur des comportements anormaux
23
Videos
• DNSChanger:
– http://www.youtube.com/watch?v=G1cOSwAF
BN4
– http://rt.com/news/fbi-internet-dnschangershutdown-440/
– http://www.cbc.ca/news/technology/story/2012
/07/06/tech-dnschanger-july9.html
24
25