Les programmes malveillants

les programmes malveillants

Les différents types, leurs actions

les menaces directes

Le “phishing”, le “spoofing”, exploitation des failles & ingénierie sociale

les menaces indirectes

Tous les malwares …

détection & suppression

Analyse des antivirus & anti-malwares

tester un programme en toute sécurité

En dehors du système actif

Il existe des centaines de programmes Malveillants, mais ils ont tous un point commun : celui de nuire !

Les cibles peuvent être des particuliers, des entreprises, des institutions, ou des domaines (sites web), pour des raisons différentes …

que sont les virus et les malwares ?

  • Quelle différence entre un “Virus” et un “Malware” ?
  • De manière collective, tout ce qui atteint la sécurité et le bon fonctionnement d’un PC, est appelé un Virus, pourtant les Virus et les Malwares sont très différents
  • Les Virus des années 90 avaient la caractéristique de se dupliquer, et d’endommager ou d’affaiblir les systèmes, au même titre que les virus humains, néanmoins ils ne rapportaient pas grand-chose à leurs concepteurs
  • A l’inverse, les Malwares, plus actuels, sont les plus discrets possibles, pour ne pas être repérés, et ainsi mener leurs actions, pénétrer un système hôte (PC ou serveur)
    Exception faite pour un seul type de Malware, les Ransomware, qui vont détruirent les données, au lieu de détruire le matériel
  • Tous les Virus sont des Malwares, mais tous les Malwares ne sont pas des Virus !
  • Comment sont introduits les Malwares ?
  • Par usurpation d’identité
  • Par les messageries (instantanées ou mails) via des liens ou des pièces jointes
  • Par le surf sur le web, sur des sites piégés des extensions non certifiées (signées), ou des liens piégés
  • Par le téléchargement de programmes infectés, ce qui est le plus plus fréquent
  • Par des failles de sécurité, de Windows, ou d’autres logiciels
  • Par l’installation d’extensions au navigateur, infectées
  • Par des périphériques déjà infestés (clés USB)
  • Par des objets connectés en wifi sur un réseau
    Ces objets connectés ont souvent des mises à jour des firmwares insuffisantes ou inexistantes, donc des failles de sécurité
  • Quelles peuvent en être les conséquences ?
  • Le vol de données personnelles, en vue de les utiliser directement, ou les revendre
  • Utiliser les ressources machines pour des actions distantes
  • Créer des actions visant à déstabiliser une institution ou un État
  • Rendre les données inexploitables, en vue d’une demande de rançon, afin les rendre à nouveau utilisables
  • Quelle différence entre un Malware et un “Exploit” ?
  • Un Malware est composé de 2 parties : un Exploit, et une Charge utile
  • L’Exploit est une une faille de la machine (Système d’exploitation ou application, comme Word ou Acrobat Reader)
  • La Charge utile est la manière d’exécuter le code malveillant

Le classement

  • Quels sont les types de classement ?
  • En fonction de leurs niveaux de dangerosité : par exemple vol d’identifiants
  • En fonction de leurs niveaux de nuisance : par exemple données ou système inexploitables
  • En fonction de leurs modes d’introduction
  • En fonction de leurs niveaux de propagation
  • En fonction de leurs niveaux de détection
  • Hiérarchie du classement

Selon moi, voici le classement par ordre “d’action néfaste”, du moins néfaste au plus néfaste

  • Les “Worms” (vers)
    Ils sont autoréplicatifs, leurs fonctions principales sont de passer d’un PC à un autre, sans créer de dommages apparents, ils servent donc de vecteur
  • Les “Adwares”
    Ce sont les spams conçus pour inonder le PC de publicités
  • Les “Scarewares”, ou “Rogues”
    Ce sont de faux antivirus indiquant que le PC est infecté
    Ou encore promettent d’accélérer les performances
    Dans tous les cas ils incitent à télécharger une solution spécifique payante, inefficace
    Le téléchargement de la soit-disante solution pouvant elle-même contenir un Malware …
  • Les “Virus”
    Ils sont conçus pour se copier et se propager aussi largement que possible
    Ils servent à exécuter un code Malveillant à but destructif, ou diffuser du spam
  • Les “Ransomwares”
    Les fichiers sont chiffrés, et une demande de rançon est envoyée pour le déchiffrement
  • Les “Spywares”
    Ils collectent des informations via le navigateur
    Ou peuvent être des espions qui enregistrent les actions, dans le but du vol d’identifiants par “Keyloggers”
  • Les “Rootkits”
    Ce sont les plus difficiles à détecter, ils volent les informations, ou utilisent les ressources de notre machine, ce sont les “Trojans” (Cheval de Troie), “Hijacks”, “Botnets”, “Wipers”, ou autres …

L’exploitation des failles humaines sont des menaces directes, méthode également appelée “Ingénierie sociale”

Les méthodes sont toujours les mêmes, celles de jouer avec les émotions : la peur, l’urgence, la curiosité … ou la crédulité, par usurpation d’identité d’un organisme connu

Le “phishing”

  • Méthode la plus connue, la plus utilisée, et la plus médiatisée, qui reste néanmoins toujours très active
  • Le vecteur principal est l’envoi d’emails piégés

Le “spoofing” (usurpation d’identité)

  • L’usurpation s’appuie sur la capacité du pirate à se faire passer pour quelqu’un ou quelque chose d’autre
    La différence entre le spoofing et le phishing, est que le spoofing utilise l’identité de quelqu’un d’autre, provenant d’une source légitime, alors que le phishing cherche à accéder à des informations sensibles
  • Elle est effectuée par un appel téléphonique, d’un “technicien” (ou autre), dans le but de nous forcer à divulguer des informations personnelles
  • Cela peut prendre également la forme d’un appel automatisé (voix de synthèse), ou un sms, demandant de préciser un code de vérification
    Dans ce cas précis, ce sont les “OTP bots” qui cherchent à connaître le 2nd facteur d’authentification (OTP) pour un compte, les pirates ayant déjà l’identifiant et le mot de passe du compte en question
  • Il peut également y avoir la création d’une “eSim”, carte Sim virtuelle, utilisant toutes nos coordonnées personnelles, et le même numéro de téléphone pour valider des achats frauduleux

L’exécution de codes Malveillants, constituent les menaces indirectes, pour lesquelles il est important de mettre en place des barrières de protection

Au moyen d’antivirus, anti-malwares, et pare feu

Les “ROGUES”

Pour ceux-là, ils sont l’inverse d’être discrets, ils indiquent avoir trouvé des tas de virus, de menaces, de Malwares … tous imaginaires

Donc si un tel programme est présent sur le PC, ne pas paniquer et commencer par une analyse et une suppression, avant d’aller plus loin

  • Attention problème d’accès au site avec un VPN

Les “ransomwares”

Malheureusement célèbres, ils vont chiffrer l’intégralité des données, et les pirates vont demander une rançon pour les déchiffrer

  • Actions préventives
  • Les dossiers préétablis par défaut (Documents, Pictures, Vidéos, Music) sont déjà protégés
  • Il faut ensuite ajouter à la liste chaque dossier que l’on veut protéger
  • Il est possible d’ajouter un lecteur complet (comme dans cet exemple D: )
  • Même procédé avec les programmes certifiés comme applications autorisées
  • Elles pourront alors apporter toutes modifications aux dossiers protégés, sinon elles seront refusées
  • Actions curatives, s’il est trop tard …
  • Se déconnecter des réseaux public et privé (ethernet et wifi)
  • Redémarrer le PC en bootant sur une clé USB système
  • Depuis un autre PC, identifier quel Malware a été utilisé

Ce site sert seulement à l’identification, pas de solutions proposées pour la correction

  • Pour trouver le bon “antidote”, et récupérer ses fichiers, plusieurs possibilités

Les “keyloggers”

Ces programmes espions enregistrent toutes les touches qui sont frappées au clavier, servant à subtiliser discrètement des identifiants de connexion

Ce programme, installé à notre insu, sera invisible,  pourra être protégé par un mot de passe empêchant toute désinstallation (de façon simple), et s’il est configuré correctement, enregistrera toutes les frappes faites au clavier

  • Installer le programme et redémarrer le PC
    L’icône se trouve dans la barre des tâches, à droite (Programmes lancés au démarrage de Windows)
  • Lorsque l’icône est orange, les touches ne sont pas brouillées
  • Dès lors que le navigateur est lancé, l’icône devient verte
  • Les touches sont alors automatiquement brouillées

Possibilité de le désactiver à tout moment, au besoin

Le programme sera lancé automatiquement au démarrage de Windows

Si l’on tape “Wikipedia”, par exemple dans la zone d’URL, rien ne change

Mais avec un enregistreur de touches, le pirate verra “ox-cz^ojd” à la place, donc inexploitable pour un pirate

Les “rootkits”

Le but de cette section n’est pas de faire un inventaire complet, mais de donner un aperçu des méthodes d’introductions, et leurs conséquences

  • Les modes d’introduction sont très nombreux

Quelques exemples …

  • Un dossier apparu sur le bureau, ou une icône, une photo
  • Un email avec une pièce jointe, ou plus simplement un lien
  • Un “exécutable” qui pourra, par exemple, ouvrir un port et donner l’autorisation d’accès à toutes les ressources de la machine
    Le pirate pourra, en toute discrétion, chercher dans nos fichiers ou le navigateur des mots de passe, des notes …
  • L’attaque «Man of the middle » (L’homme du milieu)
  • La manœuvre consiste à se placer entre le serveur distant et la victime, d’où le nom de cette attaque …
  • La ruse est de faire croire au serveur que la requête vient bien de “la victime”, et qu’en retour, elle vient bien du serveur, et non pas du pirate
  • Ainsi on peut se retrouver avec des montants débités sur son compte bancaire, sans savoir pourquoi, ni d’où cela vient
  • Concrètement cette attaque est mise en place par la technique d’ «ARP poisoning», qui utilise le protocole «ARP» (Address Resolution Protocol), en leurrant les adresses MAC
  • L’autre possibilité, pour un pirate, est d’utiliser un outil qui va tromper un ordinateur, ou un réseau, à l’aide d’une adresse IP falsifiée, en redirigeant le trafic internet au niveau du DNS (Domain name System)
  • Les “Trojans Bankers”
  • L’intrusion se fera suite à l’installation d’une extension du navigateur contenant un Malware indétectable
  • Le Trojan Banker est un botnet spécialisé dans le vol d’identifiants bancaires, par interception des pages envoyées par le serveur web
  • Le “DNS Hijack”
  • Technique de redirection des requêtes vers un faux site web, même procédé que le “phishing”
  • Le “DHCP Hijack”
  • Cette fois il y a une modification de la passerelle de la box
  • Lors d’un achat sur un site e-commerce, les données de paiement sont capturées, ni la victime, ni le serveur, ni l’antivirus n’ont détecté quelque chose d’anormal !
    C’est très souvent de cette façon que des paiements sont effectués, pour des achats que nous n’avons pas faits
  • Le wifi
  • En se connectant à un wifi public non sécurisé, tout le trafic sur celui-ci sera scruté, si le wifi utilisé est celui d’un pirate
    Cela peut être réalisé au moyen d’un simple boitier
  • Le “SSL strip”
  • La méthode employée consiste à supprimer le “SSL handshake”
  • Suite à l’envoi d’un email, un pirate se fait passer pour un destinataire connu, et envoi un message avec la clé publique du destinataire
    Il intercepte le message, en réponse de l’expéditeur, et pourra le déchiffrer avec sa propre clé privée
  • Les “Trojans” (Chevaux de Troie)
  • Ils vont ouvrir un «Backdoor» (une porte) sur la machine, qui sera maintenue ouverte le plus longtemps possible, pour pouvoir y revenir facilement, dans le but de collecter des données personnelles
  • Ils sont parmi les plus dangereux, car ils permettent d’avoir le contrôle total d’un PC à distance
  • L’intrusion se fait par un port ouvert
  • Attention problème d’accès au site avec un VPN
  • Les “Botnets” seravnt aux attaques “DDOS” (Distributed Denial of Service, déni de service distribué), ou aux “Cryptojacking”
  • Notre machine a préalablement été contaminée par un Trojan résident
  • Le pirate va infecter de la même façon des milliers de machines dans le monde, avec des botnets, en installant du code, les machines deviennent des “Zombies”
  • Ces machines, sur ordre, vont se connecter toutes en même temps sur un serveur DNS dans le but de paralyser un site web précis, qui ne sera plus accessible
  • Les pirates revendent même leurs listes de centaines de milliers de PC Zombies, à d’autres pirates …
  • Dans tous les cas, ces attaques sont fortement punies par la Loi, si les pirates sont identifiés

Seulement à titre d’information

  • Concernant le Cryptojacking, le principe est le même, celui d’utiliser la ressource de notre machine, couplée avec des milliers d’autres, dans le but de miner de la cryptomonnaie (toujours a notre insu bien sûr)
  • Très souvent ce genre de programme se retrouve dans des versions crachées de jeux comme PES, Far Cry5, Sims4, NBA 2K19, GTA5, Jurassic World Evolution, Fallout 4 GOTY, etc …
  • Les “Wipers” (effaceurs)
  • Ce sont des Malwares qui n’ont qu’un seul objectif : supprimer toutes les données d’une unité de stockage
    Apparus récemment, ils sont employés essentiellement dans des cyberattaques politiques

De très nombreux outils de détection et suppression de ces Malwares existent, il faut en choisir peu, mais qui sont efficaces

Certains sont spécialisés sur un type de Malware , mais les outils généralistes font presque toujours l’affaire

Les faux positifs

  • Avec les mises à jour de Windows, la sécurité se renforce
  • Certains programmes exécutables (.exe), qui sont plus anciens sont considérés comme une menace, ce qui n’est pas toujours le cas
  • Losqu’il existe un doute, analyser le fichier en ligne avant de le lancer

identifier les programmes qui se lancent au démarrage de windows

analyser un fichier ou un programme en ligne

  • Les fichiers exécutables, les plus sensibles, sont de différents types
  • Ceux qui lancent l’installation d’un programme, avec une extension de type : .exe .bat .sys .dll
  • Le lancement d’une feuille Word ou Excel, contenant une macro : .docx
  • D’autres, connus pour cacher un Malware : .zip .script
  • Dans l’onglet “Logon” se trouvent les programmes qui se lancent au démarrage de windows
  • En prenant, par exemple “Keyboard leds”, on voit qu’il n’est pas vérifié, c’est-à-dire qu’il n’existe pas de certificat d’authenticité (parce que c’est un ancien programme, et que cela n’existait pas)
  • On peut le soumettre directement au contrôle de “Virus Total”
  • Le résultat indique 1 virus potentiel, trouvé par 1 des 70 antivirus de Virus Total
  • En cliquant sur le résultat (entouré à droite), le lien nous ouvre le site web

L’antivirus “SecureAge APEX” considère que c’est un Malware

  • En réalité c’est un faux positif
  • Cela tient seulement du fait qu’il n’est pas signé, comme on le savait déjà …
  • Dans l’onglet “Explorer” se trouvent les programmes qui sont installés, mais non actifs
  • Idem pour la signature, et pour la localisation sur le disque dur, il suffit de cliquer sur “jump”, qui ouvre directement son emplacement

Pour aller plus loin avec les signatures …

Comme avec “Autoruns”, les programmes actifs sont indiqués, signés ou non

Il est alors possible de voir tous les détails de la signature d’un programme (base de registre)

réglages de windows

  • Le “Firewall” (pare-feu)
  • Le pare-feu analyse les couches TCP/IP pour y repérer des intrus (filtrage des flux) et bloque des ports ouverts inutilement
  • Il vient en complément d’un antivirus, les actions n’étant pas exactement les mêmes

Les antivirus

  • Quel que soit le choix d’un antivirus, il est important d’en installer un, et un seul !
    Installer plusieurs antivirus va ralentir considérablement le système, et est contre-productif
  • Un antivirus gratuit est-il efficace ?
  • Presque tous les antivirus du marché offrent la possibilité d’utiliser gratuitement tous leurs services, pendant une période d’essai
  • Après cette période d’essai, il est proposé de s’abonner (donc payer), mais cela reste une option
    Les 2 versions, gratuite ou payante, vont utiliser la même base de donnée virale, si elle est mise à jour régulièrement (ce qui se fait automatiquement)
  • Il n’y aura donc pas de différence sur la détection de Malwares déjà installés, mais sur le moment où ils le sont
    Un antivirus payant fera un scan en temps réel et empêchera presque toute introduction, ce qui n’est pas toujours le cas avec la version gratuite
  • Les antivirus ne détectent pas seulement les Virus, mais bien tous les Malwares connus et répertoriés dans les bases de données spécialisées
  • Quel antivirus choisir ?
  • Cette question n’est pas simple, car il en existe beaucoup
  • En effectuant une recherche sur un moteur de recherche, les réponses seront très variées : listes comparatives, influenceurs, coût, réputation, meilleur référencement … et tout cela ne va pas nous aider à faire le bon choix
  • Un antivirus se réfère à des bases de données de Malwares connus, qui sont actualisées, et communes à tous les antivirus
    Mais aussi, au développement d’algorithmes personnels de recherche et détection de chaque éditeur d’antivirus
    Il existera donc des différences sur les résultats
  • Certains antivirus risquent de bloquer toute menace potentielle, par précaution, et devenir ainsi gênants à l’utilisation, ce qui permet d’en éliminer déjà quelques-uns
  • Liste retenue

Avec des niveaux de détection similaires, le choix se fera plus sur des critères de simplicité d’utilisation, de coût …

Par liste alphabétique :

  • Partage d’abonnement

Afin de réduire le coût d’un abonnement, il est possible d’opter pour cette solution 100% légale

Les anti-malwares

  • Suivant l’écriture du code Malveillant, son mode d’introduction, ou sa nouveauté, il se peut que notre antivirus ne le détecte pas
    Il est donc conseillé d’installer un (et un seul) anti-Malware, en complément de l’antivirus, au niveau du système de Windows, mais aussi au niveau du navigateur
  • Gratuit ou payant ?
  • C’est exactement comme avec un antivirus, la version gratuite fera très bien l’affaire, mais, passé la période d’essai, il faudra faire des scans manuels, alors que la version payante le fait de manière automatisée, en temps réel
  • Le risque est de laisser un Malware s’installer, mais si l’on fait un scan journalier, il sera vite repéré !

L’installation au niveau du navigateur se fait deux 2 manières : soit avec l’installation du programme de bureau (ci-dessus), soit directement avec l’extension

outils de détection et de suppression de malwares

  • Si aucun antivirus & anti-malware n’est installé, ou que nous avons une infection évidente, il existe un grand nombre d’outils servant à la vérification, et au nettoyage
    Rien n’empêche de les utiliser un par un

Outil très puissant, à manier avec précaution, réservé aux niveaux avancés

  • Possiblement détecté comme un Malware, mais c’est un faux positif
  • Possiblement détecté comme un Malware, mais c’est un faux positif

Les clés usb

  • Au même titre que les emails, les clés USB sont des vecteurs forts pour la contamination des machines

sécuriser ou nettoyer le fichier de boot

tester un programme en toute sécurité

  • Les antivirus en ligne sont utiles pour un simple fichier exécutable (.bat .exe), mais lorsque l’on souhaite tester un programme complet, dont nous ne sommes pas sûrs de la provenance et de la sécurité, il faut trouver un moyen de le faire en milieu isolé du système
  • Avec un utilitaire intégré à Windows, “la Sandbox”, solution la plus simple, mais sous certaines conditions
  • Seule la version Windows 10 Pro ( et non Familiale) supporte cette fonctionnalité
  • Sa mise à jour doit être à la version 18305, ou supérieure
  • Les fonctionnalités de virtualisation doivent être activées dans le BIOS
  • Au moins 4Go de RAM (8Go recommandés)
  • Au moins 1 Go d’espace libre sur le disque dur (un SSD est recommandé)
  • Un CPU 2 cœurs minimum (4 cœurs avec hyperthreading recommandé)

Lancer la Sandbox

  • Un nouvel environnement Windows, virtuel, apparaît
  • Même si un programme testé est infecté par un ou plusieurs Malwares, toutes les modifications seront détruites lorsque la Sandbox sera fermée, et elle retrouvera son état initial la fois suivante
  • Avec un utilitaire extérieur à Windows, similaire à Sandbox, mais beaucoup plus complexe à manipuler, donc réservé aux niveaux avancés …
Vous avez aimé le contenu de cette page ?
[Total: 1]