Reverse Engineering
Transcription
Reverse Engineering
MGR850 – Automne 2015 Logiciels malveillants École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan • • • • • • • • • Motivation Virus Vers Chevaux de Troie Portes dérobées Logiciels espions Logiciels publicitaires Roootkits Autre Classification 2 Motivation Source: http://rt.com/news/fbi-internet-dnschanger-shutdown-440/ 3 Motivation 4 Malware • Les logiciels malveillants ou malware sont des logiciels développés pour des fins malicieuses • Ils exploitent les vulnérabilités d'un autre programme ou la naïveté de l’usager pour causer des dommages ou usurper des données.. • Ils viennent sous diverses formes: – – – – – Certains se reproduisent Certains détruisent des informations Certains volent des informations Certains dorment jusqu’au moment propice … 5 Malware • Ils sont classés selon: – Mode d’exécution – Mode de propagation – Activités malicieuses • Classification non parfaite • Intersection de différentes classes 6 Malware Rootkits Backdoors (Portes dérobées) Spyware (Logiciels espions) Trojans (Chevaux de Troie) Logic Bomb (Bombe logique) Worms (vers) MALWARE Crimeware Viruses Adware (Logiciel publicitaire) Bots (Ordinateurs zombies) 7 Virus • C’est le Premier type de malware apparus • Un virus s’attache à un autre logiciel ou document légitime appelé « hôte » • Il se déclenche lorsque le vecteur auquel il a été attaché clandestinement est activé • Exemples: ILoveyou, Melissa, … 8 Virus • Propagation : transfert/copie du programme/document hôte d’un système à un autre à travers tout moyen d'échange de données numériques (réseaux, cédéroms, clefs USB, etc.) Source:http://www.euro-reseau.fr/antivirus.php 9 Virus • Un mécanisme d’infection • Comment le virus se reproduit et se propage? • Un moyen de déclenchement (trigger) • Comment le virus décide d’exécuter sa charge utile? • Une charge utile (payload) • Qu’est-ce que fait le virus autrement que de se reproduire et de se propager? 10 Vers • Semblables aux virus mais ils sont autonomes • Ils modifient le système d'exploitation hôte pour, au moins, faire partie des processus lancés au démarrage. • Ils se reproduisent généralement automatiquement grâce à une vulnérabilité logicielle. • Exemples des plus célèbres: – Moris Worm, Slammer, Sasser, CodeRed, Blaster, … 11 Vers • Mode de propagation: – Se propagent par le réseau vers d’autres ordinateurs vulnérables. – Utilisent l’Ingénierie sociale pour inciter les utilisateurs à les exécuter. • Classifications des vers – Selon le moyen de déclenchement de l’infection (automatique ou usager) – Selon le moyen de propagation (Courrier – Mass-mailer worms, messagerie instantanée, réseau poste-à-poste (peer-to-peer)) 12 Chevaux de Troie • Semblables aux virus car ils sont exécutés en faisant partie d'un autre programme • Attachés manuellement au logiciel hôte en apparence inoffensif • Ils ne peuvent pas: – Infecter d'autres logiciels comme font les virus – Se reproduire. 13 Chevaux de Troie • Les plus célèbres: Sub7, Back Orifice, … • Mode de propagation : – Compte sur l’intérêt des usagers aux logiciels hôtes (souvent de petits jeux ou utilitaires): les inciter à les télécharger (Ingénierie sociale) – Exemples: faux antivirus! introduit plutôt des virus. 14 Portes dérobées • Les portes dérobées peuvent être des fichiers exécutables autonomes. Il peuvent fonctionner comme: – Un ver, propagé par un ver le transportant comme charge utile. – Un cheval de Troie • Objectifs – Contourner les procédures d'authentification afin de fournir un accès à distance à l'ordinateur/réseau où le programme de porte dérobée est en marche. – Fournir un contrôle presque total sur la machine attaquée, ce qui permet d'échanger des fichiers, modifier les paramètres système, tuer des processus, ouvrir / fermer le lecteur de CD-ROM, activer / désactiver le moniteur, exécutez un proxy, etc. 15 Logiciels espions • Un logiciel espion recueille et transmet des informations sur les utilisateurs: – Données financières confidentielles, comme numéros de cartes de crédit – Mots de passe – PINs – Toute donnée stockée comme les habitudes de navigation de l’usager – etc. • Fonctionnent et se propagent comme des chevaux de Troie. 16 Logiciels espions • Le mécanisme d'infection: – Ces mécanismes sont identiques à ceux des virus, des vers ou des chevaux de troie. – Exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa • Le mécanisme de collecte d'information: – La collecte consiste par exemple à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa • Le mécanisme de propagation: – Ce mécanisme est généralement assuré via le réseau Internet. 17 Logiciels publicitaires • Similaires aux logiciels espions – Peuvent être installés sans que l’utilisateur en soit conscient • Parfois, ils affichent des bannières • Leurs principaux buts – Déterminer les habitudes d’achat en ligne de l’utilisateur – Faire des publicités sur mesure • Leur principal problème est qu’ils ralentissent les ordinateurs 18 Rootkit • Inséré après prise de contrôle du système. • Contient souvent des fonctions permettant de cacher les traces de l'attaque: – Supprimer les entrées journal (log) – Dissimuler les processus de l'attaquant. • Peuvent également inclure des backdoors: – Reprendre l'accès plus tard – Exploiter des logiciels pour attaquer d'autres systèmes. 19 Autres? • La classification n’est pas parfaite! • Les malwares ne viennent pas avec des étiquettes! 20 Autre Classification Source: http://www.norman.com/security_center/security_center_archive/2010/112804/nl • Une autre classification possible basée sur les motivations des créateurs de malware: – Generation I: Montrer l’intelligence des auteurs. Les auteurs étaient peu nombreux. – Generation II: Répandre les logiciels malveillants autant que possible et aussi vite que possible (et dans une certaine mesure pour ruiner les systèmes). Les vers extrêmement répandues du début de ce siècle appartiennent à cette catégorie. 21 Autre Classification Source: http://www.norman.com/security_center/security_center_archive/2010/112804/nl – Generation III: Motivations économiques. Utiliser les vulnérabilités de logiciels combinées à des techniques d'ingénierie sociale sont les principaux vecteurs de propagation. – Generation IV: Malware, très sophistiqué, dirigée contre une ou plusieurs cibles particulières. Le malware qui appartient à cette catégorie n'est pas utilisé principalement pour gagner de l'argent, mais comme une arme (cyberweapon). 22 Conclusion • Bien comprendre le comportement des divers logiciels malveillants est essentiel pour: – Déterminer les menaces qu’ils représentent et évaluer les risques correspondants. – Déterminer l’efficacité des divers moyens de protection. • Moyens de protection: – Antivirus – Systèmes de détection d’intrusion • Basés sur des signatures • Basés sur des comportements anormaux 23 Videos • DNSChanger: – http://www.youtube.com/watch?v=G1cOSwAF BN4 – http://rt.com/news/fbi-internet-dnschangershutdown-440/ – http://www.cbc.ca/news/technology/story/2012 /07/06/tech-dnschanger-july9.html 24 25