Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc) publie un article rédigé par Alisa Shevchenko, chercheur au laboratoire Kaspersky Lab de Moscou. Cette dernière remonte aux origines des programmes malveillants et dresse un bilan de l’évolution des méthodes d’auto-défense des codes malicieux (pour consulter l'étude d'Alisa Shevchenko dans son intégralité, rendez-vous sur Viruslist.com).
Les méthodes d'auto-défense adoptées par les programmes malveillants sont nombreuses et diverses et les possibilités de classification reflètent cette diversité. Certaines techniques d'auto-défense visent à déjouer les définitions des virus tandis que d'autres cherchent à compliquer la tâches des spécialistes chargés d'étudier le code ; un programme malveillant peut chercher à se cacher le mieux possible dans le système tandis qu'un autre préfère concentrer ses ressources sur la recherche directe d'outils particuliers de la protection antivirus et leur neutralisation.
Dans son étude, Alisa Shevchenko nous révèle l’instinct de conservation des programmes malveillants, le développement de leurs technologies d’auto-défense sous la pression de logiciels antivirus toujours plus perfectionnés, et tentent d’évaluer leur courbe d’évolution future.
Il n’y a encore pas si longtemps, l’activité de l’antivirus était axée uniquement sur l’analyse de code du fichier, aussi la riposte des programmes malicieux a commencé par la modification des codes. A partir de là, des technologies telles que le polymorphisme et le métamorphisme - qui permettent au programme malicieux de muter lors de la création de sa copie tout en conservant sa fonction première intacte, compliquant ainsi sa détection - se sont développées. D’autres technologies telles que le chiffrement et l’assombrissement, dont le rôle est d’empêcher l’analyser du code tout en étant différentes du polymorphisme, seront également évoquées.
Une autre méthode désormais utilisée pour compliquer la détection est l’utilisation active d’archiveurs de compacteurs. A l'heure actuelle, les compacteurs sont toujours beaucoup utilisés. Leur diversité ne cesse d'augmenter ainsi que les ruses qu'ils emploient. En plus de la compression du fichier source, ces compacteurs sont dotés de fonctions de protection complémentaires qui visent à compliquer la décompression du fichier et son analyse à l'aide d'un débogueur.
D’autres technologies d’auto-défense des programmes malveillants contre la détection s’appuient sur le masquage dans le système. La dissimulation des programmes malveillants dans le système est devenue le deuxième moyen de protection contre la détection adopté par les auteurs de virus DOS. Cette technique fut appliquée pour la première fois en 1990 et a reçu l’appellation de technologie furtive. En 2000, elle a effectué son « retour » sous le nom de rootkits. Les rootkits les plus fréquents reposent sur la modification de la chaîne de requêtes systèmes et un autre type de rootkit consiste à modifier les données système. Les outils de dissimulation d'activité semblent s'orienter vers la virtualisation et l'utilisation des fonctions du matériel afin de s'intégrer le plus profondément possible dans le système. Ces technologies furtives sont très « prometteuses » toutefois elles ne seront pas en premier plan ces prochaines années.
Avec le temps, le polymorphisme et les technologies adjacentes ont perdu de leur actualité. Depuis que les méthodes de détection basées sur l'analyse du comportement ont remplacé petit à petit les méthodes basées sur les signatures, les modifications sont de moins en moins capables d'empêcher la découverte des programmes malveillants. Pour cette raison, le polymorphisme et les technologies associées ne sont plus populaires à l'heure actuelle.
Et c'est aussi la raison pour laquelle il ne reste qu’une seule option au programme malveillant - neutraliser certains comportements ou fonctions de l'ennemi. « En dehors de son caractère inévitable, ce moyen d'auto-défense ne jouirait pas d'une telle popularité car il est peu commode du point de vue de la défense la plus étendue » – tempère toutefois l’auteur.
En même temps, les technologies dédiées à la complication de l’analyse du code (en particulier l’assombrissement) contrairement au polymorphisme sont toujours d’actualité.
Malgré ces différences terminologiques, une chose est claire : les programmes malveillants sont impuissants face à l'analyse du comportement. Et cette vulnérabilité va certainement définir l’axe de développement des programmes malveillants. Alisa Shevchenko estime que désormais les auteurs de virus vont apprendre à contourner les analyseurs de comportement tout en sophistiquant le comportement même du virus.
L’auteur énonce des pronostics concernant les directions que vont prendre l’auto-défense des programmes malicieux :
- Rootkits. L'invisibilité dans le système confère toujours des avantages même si elle n'empêche déjà plus la détection. Les nouveautés les plus probables seront des nouveaux types de programmes malveillants sans corps et, un peu plus tard, le développement de technologies de virtualisation.
- Le recours aux technologies d'obfuscation et de chiffrement est réduit mais toujours d'actualité.
- L'utilisation des technologies d'identification des débogueurs, des émulateurs et des machines virtuelles ainsi que des autres technologies de diagnostic du milieu va devoir se développer pour compenser la transition massive des logiciels antivirus vers l'analyse du comportement.
Les forces qui opposent les cyber-criminels au secteur antiviral est une course aux armements dans laquelle la victoire d’un des camps provoquent une réplique quasi-immédiate de la part du camp ennemi. Ces dernières années, les cas de publication de codes conceptuels capables de contourner les moyens de sécurité se sont multipliés. Alisa Shevshenko estime que la montée de ces codes conceptuels ne fait que mettre de l’huile sur le feu – les utilisateurs s’inquiètent de savoir si leur ordinateur est en sûreté ou non, quant aux éditeurs d’antivirus ils sont forcés de consacrer une bonne partie de leurs ressources à lutter contre ces codes soi-disant « indétectables ».
Cette course est loin de s’arrêter, toutefois maîtriser son accélération est possible.
