Rapport : Antivirus et Faux-Positifs
Transcription
Rapport : Antivirus et Faux-Positifs
Rapport : Antivirus et Faux-Positifs TILSAGHANI Mohamed KITH Robert Mai 2015 1 2 Introduction Antivirus Un Antivirus est tout simplement un programme qui va permettre à un utilisateur de détecter un intrusion de virus, et ayant pour but, dans la limite du possible, de les supprimer du système, voire même de réparer les dégâts. On peut distinguer deux catégories d’antivirus. Les scanners, exécutés à la demande (On-Demand Scanners), et les moniteurs, toujours actifs à l’arrière-plan (On-Access Scanners). Dans les années 1980, le monde a découvert avec inquiétude la menace des virus informatiques, qui sont en réalité des programmes développés dans l’intention de nuire et qui se propagent pendant les échanges de données. Certains virus sont simplement agaçants mais il existe également des virus qui peuvent endommager le système et effacer tout ou une partie des données stockées. Par exemple, le virus “MichaelAngelo”, l’un des virus les plus marquants de l’histoire de l’informatique, a touché des milliers de postes à travers le monde alors qu’Internet n’était presque pas utilisé à l’époque. Depuis, des tout nouveaux logiciels ont été développés pour permettre de se défendre face à ces menaces informatiques : les antivirus. 2.1 2.1.1 La détection de virus : Détection par signature : C’est la méthode la plus ancienne. Il faut savoir que chaque Virus a une signature unique, en tout cas pour les Monomorphes ! L’Antivirus interroge régulièrement sa base de données de référence pour vérifier si les fichiers analysés sont bien sans danger. Ainsi, une mise à jour régulière est indispensable pour garantir une protection optimale vis-à-vis des nouvelles menaces. Par contre, cette méthode s’avère inefficace face aux virus Polymorphes qui changent justement de signature lorsqu’ils se copient, on les appelle les Polymorphes. La révolution d’Internet a facilité le travail des développeurs de virus puisqu’à travers la toile, un seul virus peut infecter des millions d’autres machines dans le monde. C’est pourquoi la première précaution à prendre pour surfer sur Internet est de se procurer un logiciel antivirus, indispensable devant le nombre de virus existants (plus de 60 000) 1 2.1.2 3 Détection par analyse de comportement : Les faux-positifs Un "faux positif" est, en ce qui Ce type de détection vérifie si les fi- concerne la sécurité informatique, la chiers ont été modifiés depuis leur ins- qualification erronée de "parasite" tallation, cela englobe : d’un objet légitime par un outil de protection (antivirus, anti-trojans, anti La date de création ; spywares, anti-spam ...). la taille. Néanmoins, les virus les plus récents Intuitivement, et d’après la partie II, ne modifient pas les dates d’accès des le signal de fausse alarme peut émafichiers, ou les rétablissent après avoir ner de plusieurs causes correspondant les avoir infectés. au fonctionnement de chaque antivirus, et ainsi, on aura des sensibilités 2.1.3 Détection par contrôle différentes pour chacun. (cf.partie IV). d’intégrité : Dans cette partie, on va faire l’invenDans la majorité des antivirus ac- taire des différentes causes permettant tuels on trouve des contôlleurs d’inté- de classer un fichier comme un fauxgrité qui s’assurent si les fichiers de la positif. machine n’ont pas été modifiés. Pour ce faire un Checksum est calculé et sto- 3.1 Faux positif par signacké dans une base de données propre à ture l’antivirus.Dès lors, si une de ces caracLe hasard peut faire qu’un fichier intéristiques change pour un exécutable, offensif contienne une séquence de caelle facilement décelable. ractères qui correspond à la signature d’un objet dangereux, c’est une colli2.1.4 Détection par analyse heusion interne dans la base de données ristique : locale de l’antivirus, l’utilisateur doit Cette analyse à la spécificité de dé- donc signaler cela à l’équipe de dévecouvrir des virus inconnus, dont la loppement. Même si ce type de fauxsignature n’est toujours pas connue positif reste rare, il est tout de même ou bien qui change constamment. gênant pour un utilisateur lambda. Contrairement à la méthode de détection par signature, celle-ci est dy- 3.2 Faux positif par comnamique, en d’autres mots, l’antiviportement rus cherche des instructions bien précises, par exemple des instructions viIl existe plusieurs niveaux de prosant à modifier des fichiers, ou l’accès tection au sein d’un software de proà des appels système, ou à des inter- tection pour détecter toutes les préruptions... Ainsi, on obtient une pro- sences d’objets néfastes. On citera par tection plus intelligent, mais le point exemple l’une de ces technologies, qui négatif réside dans le fait que ce der- consiste à exécuter le fichier en quesnier va par la suite produire plus de tion dans une machine virtuelle (sandfausses alarmes, ce qui reste un aspect box), dans le but d’estimer les éventrès gênant pour un utilisateur. tuels dégâts provoqués par ce dernier 2 en observant son comportement. Ainsi, suffit de supprimer la machine et la rédans un environnemt extrême, l’outil installer. aura une sensibilité assez élever pour signaler la malveillance de ce fichier Après avoir compris le fonctionnealors qu’il est bien sans danger. ment des anti-virus, on va s’intéresser maintenant à la génération de fauxpositifs par signature. Pour ce faire, 3.3 Faux positifs crapuleux nous avons pris ClamAV , car c’est un Le marché des outils de sécurité est logiciel qui utilise une base de données énorme et tente les crapules du Net. De virale avec la signature de tous les fivéritables gangs maffieux développent chiers suspects d’être dangereux. des milliers de sites Internet bien référencés dans les moteurs de recherches ClamAv est constitué de plusieurs (par des techniques de spamdexing et modules, mais on ne va porter notre de cybersquatting) ou vous conduisent attention que sur sigtool, qui permet sur ces sites par des spam (courriels de générer la signature d’un fichier. non sollicités). Vous tomberez, un jour ou l’autre, sur l’un de ces sites piégés La manipulation consiste à générer qui tentera, par des manœuvres d’ingé- une signature d’un fichier sain. Pour ce nierie sociale, de vous faire croire que faire, sigtool permet de générer pour votre machine est infectée par des pa- un exécutable sa signature MD5 (sur rasites. Un outil de sécurité crapuleux un terminal Windows : sigtool nomvous annoncera toute une liste de "faux Fichier.exe –md5»nomFichier.mdb). positifs" pour vous inciter à acheter Il suffira par la suite de copier-coller leur logiciel. Voir la liste de ces logiciels le ficier nomFichier.mdb dans le réde sécurité crapuleux dans la Crap- pértoire de la base virale de clamAV thèque. (C :Users\mohamedtilsaghani\AppData 3.4 \Roaming\.clamwin\db). En analysant l’exécutable en question, ClamAV déclare qu’il s’agit d’un fichier infecté. Contribution :Génération de faux-positifs avec l’outil sigtool de De plus, il est également possible ClamAV de détecter un fichier infecté en analy- sant un fragment hexadécimal contenu dans le corps du fichier. On peut alors créer une signature basée sur des lignes de code, des phrases... On peut par exemple choisir que la détection d’un fichier malicieux se base sur la phrase "Je suis un méchant virus !" écrit dans un fichier .txt. En analysant un fichier .txt contenant clairement la phrase "Je suis un méchant virus !", on remarque que clamAV détecte ce fichier comme étant un fichier malicieux. L’idée reste ClamAV est un antivirus opensource dont les virus ciblés sont très majoritairement des virus s’attaquant au système d’exploitation Microsoft Windows. Pour cette manipulation, on a choisi d’installer une machine virtuelle, de la sorte les fichiers du système d’origine ne seront pas infectés par une éventuelle intrusion virale. Dans ce cas, il 3 entièrement la même, il suffit de choisir les bonnes options de la commande sigtool : Dans un terminal Windows : > echo "le string qui va declancher l’antivirus"|sigtool –hex-dump >On obtient le hash correspondant >echo test :0 :* :hash obtenu précedemnt»test.hdb 4 Cependant, pour évaluer la qualité de détection d’un antivirus, il faut aussi prendre en compte les fauxpositifs. Les faux-positifs peuvent parfois causer autant de problème qu’un virus. C’est pourquoi le taux de détection de faux-positifs doit également est pris en compte lors du choix d’un antivirus. Ces tests ont été réalisés sur des fichiers “clean” et on peut voir que certains antivirus considèrent quand même des fichiers comme des menaces. Comparaison des antivirus Microsoft : 0 Différents antivirus ont été comparés et testés sur Windows 7 SP1 64-bits. La qualité d’un antivirus se reconnaît évidemment avec un bon taux de détection, qui est sûrement l’un des arguments les plus importants et déterminants lors du choix d’un antivirus, cependant certains antivirus peuvent bloquer directement un malware en cours d’exécution alors que d’autres échouent. Taux de détection des différents antivirus testés : ESET, Trend Micro : 1 Panda : 3 Fortinet : 6 Sophos, TEncent : 8 Bitdefender, Kaspersky Lab : 9 5 Conclusion On s’est focalisé tout au long de cette recherche sur le fonctionnement des antivirus. et on a constater que F-Secure : 99.9% comprendre ce qui génère une fausse Bitdefender, BullGuard, eScan, alerte permet d’améliorer l’efficacité Lavasoft, McAfee, Qihoo, Quick d’un software de protection. D’autre part, le monde "des vrais virus" est Heal : 99.7% encore plus fascinant, car il existe touEmsisoft, Fortinet : 99.6% jours des moyen de détourner les patterns d’un antivirus. Avast : 99.4% AVIRA, Kaspersky Lab : 99.9% ThreatTrack Vipre : 98.9% Si, aujourd’hui, Windows est le système d’exploitation majoritairement touché, il est à craindre qu’avec l’explosion de Linux, et son arrivée imminente dans un plus grand nombre de foyers, fasse augmenter les attaques tournées vers ce système. Surtout si des utilisateurs moins expérimentés viennent à l’utiliser. Il a cependant une bonne ESET, Baidu : 98.6% Sophos, AVG : 98.1% Tencent, Panda : 98.4% Trend Micro : 95.1% Microsoft : 86.3% 4 marge d’avance, puisque le nombre de soire par rapport à ceux pour l’OS de virus en activité sous Linux est déri- Microsoft. Références [1] http ://assiste.com.free.fr/p/virus/virusf auxpositif s.html.F auxpositif s − f aussesalertes − f aussesalarmes. [2] http ://blog.clamav.net/2011/02/how-to-create-custom-signatures for.html. How to create custom signatures for immunet 3.0, powered by clamav, 2015. [3] http ://igm.univ-mlv.fr/ duris/NTREZO/20032004/Charpentier MontignyRousseau-VirusAntivirus.pdf. Etienne DURIS nouvelles technologies réseaux - cours université de marne-la-vallée, 2004. [4] http ://www.fsl.cs.sunysb.edu/docs/avfs security04/. Yevgeniy Miretskiy, Abhijith Das, Charles P. Wright, and Erez Zadok avfs : An on-access anti-virus file system, 2005. [3] [4] [1] [2] 5