A l'heure actuelle, une des principales voies suivies dans le développement de pare-feu personnels s'oriente vers l'association de technologies propres au pare-feu (analyse de l'activité de réseau des applications) à des technologies d'analyse heuristique de l'activité des applications et du contrôle de l'intégrité de celles-ci. Ceci s'explique notamment par le développement des technologies de contournement du pare-feu (perméabilité) qui ne peuvent être déjouées sans l'intervention de l'analyse heuristique de l'activité des applications.

Cet article vise à démontrer les possibilités offertes par Kaspersky Internet Security 7.0 (KIS 7.0) en matière de tests de perméabilité. Nous avons utilisé les tests de perméabilité connus à l'heure actuelle (pour en savoir plus sur ceux-ci et leur classification, nous vous renvoyons à l'articule intitulé « Test de perméabilité à la sortie du pare-feu en tant qu'outil d'évaluation de l'efficacité de celui-ci » publié à l'adresse http://www.viruslist.com/fr/analysis?pubid=200676125).

Un des éléments importants dont il faut tenir compte lors de l'examen de n'importe quel test, ce sont les paramètres sous lesquels le logiciel a été testé. L'Assistant de configuration de KIS 7.0 lancé après l'installation du logiciel offre le choix entre deux modes de fonctionnement : élémentaire ou interactif.

En mode élémentaire, le logiciel pose nettement moins de questions à l'utilisateur qu'en mode interactif sans pour autant réduire fortement le niveau de protection. Ce mode de fonctionnement offre à la majorité des utilisateurs un parfait équilibre entre sécurité et confort d'utilisation.

Les utilisateurs plus expérimentés peuvent choisir le mode interactif qui garantit la protection maximale de l'ordinateur si l'utilisateur répond de manière réfléchie aux questions et aux messages d'alertes du logiciel.

Nous allons examiner les réactions de KIS 7.0 face aux tests de perméabilité à la sortie en mode interactif.

Le pare-feu peut réagir au test de perméabilité en prévenant l'utilisateur de la tentative d'activité de réseau d'une application et le module de défense proactive peut signaler l'activité suspecte locale d'une application. En cliquant sur le bouton « Interdire » dans n'importe laquelle des fenêtres d'avertissement, le test de perméabilité peut être interrompu et la fuite de données est évitée.

Le tableau ci-après reprend les tests de perméabilité à la sortie existants, regroupés en fonction de la méthode utilisée pour contourner les pare-feu.

№№ Nom Remarque

1 Substitution Runner, LeakTest,Coat

2 Launching Ghost, TooLeaky, Wallbreaker

3 DLL injection CPILSuite [2,3], FireHole, Jumper, pcAudit, pcAudit2

4 Code injection AWFT, CopyCat, CPIL, CPILSuite [1], DNStest, Thermite

5 Browser services Breakout, OSfwbypass, PCFlank, Surfer, ZAbypass

6 System services BITSTester, Breakout2, DNStester

Il convient de remarquer que certains tests de perméabilité utilisent plusieurs mécanismes de contournement. Ainsi, le test CPILSuite [2] utilise la méthode d'insertion du code dans un processus de confiance (DLL injection) afin de lancer en son nom le navigateur à l'aide des paramètres de la ligne de commande (Launching). Dans ce genre de cas, le test est classé selon le premier mécanisme qu'il utilise.

Nous allons étudier les tests de perméabilité à la sortie dans l'ordre suivant : tous d'abord, tous les tests du groupe Substitution, en commençant par le test Runner et en finissant avec le test Coat, puis les tests du groupe Launching, etc. Le test DNStester sera le dernier test étudié.

En mode interactif, KIS 7.0 passe tous les tests de perméabilité actuels. Nous présentons la fenêtre d'avertissement de KIS 7.0 pour chaque test.

Substitution

Substitution du fichier exécutable d'une des applications de confiance sur le disque ou substitution dans la mémoire des données du processus inconnu par les données d'un processus de confiance dans la mémoire de l'ordinateur. Le but de la méthode de substitution est de « convaincre » le pare-feu que l'activité de réseau émane d'une application de confiance.

Dans les trois tests du groupe Substitution, le pare-feu de KIS 7.0 signale à l'utilisateur l'activité de réseau sortant de l'application du test de perméabilité à la sortie.

Test Runner

Le test tente de trouver un navigateur Internet utilisé par défaut dans le système afin de remplacer son fichier sur le disque par sa propre copie.

KIS 7.0 avertit l'utilisateur de la modification du fichier du navigateur :

Ensuite, même si l'utilisateur a autorisé le remplacement du fichier, KIS 7.0 demande une autorisation de l'activité de réseau de l'application du test :

Test LeakTest

Un des premiers tests repose sur le remplacement du nom de fichier d'une application inconnue par le nom de fichier d'une application de confiance. Le programme remplace son nom par celui d'un programme de réseau connu et tente d'établir une connexion TCP avec le serveur grc.com:80 (Gibson Research Corporation).

Le pare-feu de KIS 7.0 signale à l'utilisateur l'activité de réseau sortante de l'application du test de perméabilité :

Test Coat

Après son chargement dans la mémoire vive, le test remplace les données de son processus par des données identiques à celles du navigateur Internet utilisé par défaut dans le système puis tente d'établir une connexion de réseau.

Le pare-feu de KIS 7.0 signale à l'utilisateur l'activité de réseau sortante de l'application du test de perméabilité :

En cliquant sur « Détails… », l'utilisateur peut obtenir des informations complémentaires sur la connexion établie, notamment l'adresse du nœud distant ainsi que le chemin d'accès complet au fichier du processus qui tente d'établir la connexion en question :

Launching

Lancement d'une application de confiance avec les paramètres de la ligne de commande.

L'idée de cette méthode repose sur le fait que la majorité des navigateurs Internet acceptent des adresses de pages Internet qu'il faut ouvrir sous la forme de paramètre de la ligne de commande. Si du côté du serveur Web, un script est placé sur la page Web (par exemple, avec l'extension cgi), alors il est possible de transférer via la ligne d'adresse des paramètres qui seront transmis à l'entrée du script. Ces paramètres peuvent reprendre des informations confidentielles volées, par exemple, par un logiciel espion. Dans ce contexte, toute l'activité de réseau est réalisée par le navigateur dans son état normal, ce qui est toujours autorisé par les règles du pare-feu.

Afin que l'utilisateur ne remarque pas l'ouverture inattendue de la fenêtre du navigateur, le navigateur est lancé en mode « silencieux » (Ghost, TooLeaky, Wallbreaker [1]). De plus, le code malveillant peut lancer le navigateur indirectement à l'aide d'autres applications.

Lors du lancement de n'importe lequel des tests décrits dans cette section, KIS 7.0 considère que l'activité de l'application est suspecte et affiche une fenêtre qui demande la confirmation de l'utilisateur. Les informations complémentaires indiquent à l'utilisateur le chemin d'accès au fichier exécuté du navigateur ainsi que les paramètres de la ligne de commande. En cas d'application malveillante réelle, cette fenêtre reprendra également les données que l'application tente de transmettre à l'individu mal intentionné.

Test Ghost

Le test tente de tromper les dispositifs de protection en relançant sa copie afin de modifier son identificateur (PID). Par la suite, il lance le navigateur Internet en mode caché en lui transmettant les paramètres via la ligne de commande.

Test TooLeaky

Le test tente de lancer le navigateur Internet en mode caché en lui transmettant les paramètres via la ligne de commande.

Test Wallbreaker

Test Wallbreaker №1

Le test tente de lancer le navigateur Internet en mode caché en lui transmettant les paramètres via la ligne de commande :

Test Wallbreaker №2

Le test tente de lancer le navigateur Internet via le processus Windows « explorer.exe ».

Test Wallbreaker №3

Le test tente de lancer le navigateur Internet via le processus du milieu d'exécution Windows « explorer.exe » qui est, à son tour, lancé via l'interprète de commande « cmd.exe ».

Test Wallbreaker №4

Le test tente de lancer le navigateur Internet à l'aide du mécanisme de lancement des tâches programmé de Windows. Dans ce cas, l'ordre des requêtes est le suivant : «at.exe — svchost.exe — cmd.exe — explorer.exe — iexplore.exe».

DLL injection

Insertion d'une bibliothèque dynamique dans l'espace d'adressage d'un des processus de confiance. Cette méthode repose sur le chargement dans l'espace d'adressage d'un processus de confiance de la bibliothèque dynamique du programme malveillant.

En cas de tentative de chargement d'une bibliothèque dynamique, la défense proactive de KIS 7.0 affiche une fenêtre de demande de confirmation car ce comportement est caractéristique de nombreux programmes malveillants.

En cliquant sur le bouton « Détails… », l'utilisateur peut voir le chemin d'accès complet au module infiltré et les informations qui le concernent.

Test CPILSuite №2

Le test tente d'insérer la bibliothèque dynamique (cpil2.dll) dans l'espace d'adressage du processus de confiance du milieu d'exécution Windows « explorer.exe » à l'aide de l'installation d'un hook global. Puis, le navigateur est lancé au nom du processus de confiance avec les paramètres de la ligne de commande (cf. section précédente).

En cliquant sur « Détails… », l'utilisateur ouvre une fenêtre qui indique que la bibliothèque se trouve sur le disque à côté du fichier principal du test de perméabilité à la sortie. De plus, les paramètres de la bibliothèque ne contiennent aucune description (Version Info). Un emplacement en dehors des chemins traditionnels et l'absence d'informations sur l'application (nom, version, éditeur) sont des indices caractéristiques de certains programmes malveillants.

Lorsque le navigateur est lancé à l'aide des paramètres de la ligne de commande, KIS 7.0 affiche le message d'avertissement de rigueur :

Test CPILSuite №3

Le test tente d'insérer la bibliothèque dynamique (cpil3.dll) dans l'espace d'adressage du processus de confiance du milieu d'exécution Windows « explorer.exe » à l'aide de l'installation d'un hook global. Puis, une tentative d'administration du navigateur au nom du processus de confiance est réalisée à l'aide de l'interface logicielle qu'il présente (cf. rubrique 5).

A l'instar du test précédent, la défense proactive de KIS 7.0 affiche un message demandant la confirmation de l'utilisateur lors de la tentative de chargement de la bibliothèque dynamique dans tous les processus.

Si l'utilisateur autorise le chargement de la bibliothèque, la défense proactive de KIS 7.0 ouvre une autre fenêtre contenant un avertissement relatif à la tentative d'administration logicielle du navigateur Internet par explorer.exe. Ce processus n'est pas caractéristique du processus Windows et par conséquent, l'apparition d'un tel avertissement indique plus que probablement une infection du système. Afin de comprendre quelle est l'application qui tente d'agir au nom du processus de confiance, il faut consulter les rapports du module de défense proactive afin de voir s'ils contiennent des messages sur l'insertion d'un code, l'insertion d'une bibliothèque dynamique ou d'autres événements similaires.

Test FireHole

Le test lance le navigateur Internet et tente d'insérer une bibliothèque dynamique dans l'espace d'adressage du processus du navigateur à l'aide d'un hook global. A l'instar des tests précédents, la défense proactive de KIS 7.0 affiche un message demandant la confirmation de l'utilisateur lors de la tentative de chargement de la bibliothèque dynamique dans tous les processus.

Test Jumper

Le test tente de charger sa propre bibliothèque dynamique dans l'espace d'adressage des processus de confiance, raison pour laquelle il inscrit dans la base de registres système une dll chargée automatiquement par le système dans chaque nouveau processus. L'écriture a lieu dans la clé AppInit_DLLs.

Le dispositif de surveillance du registre de KIS 7.0 signale à l'utilisateur l'inscription de nouvelles bibliothèques dans cette clé de la base de registres et recommande de bloquer l'accès, sauf dans les cas où l'utilisateur souhaite que la bibliothèque soit chargée automatiquement par le système dans chaque nouveau processus.

Même si l'utilisateur a autorisé le chargement de la bibliothèque dans tous les processus, une fois que l'application de confiance a été lancée, le module de contrôle de l'intégrité des applications de KIS 7.0 signale à l'utilisateur la tentative de chargement du nouveau module dans l'espace d'adressage de ce processus.

Test pcAudit

Le test tente d'insérer la bibliothèque dynamique dans l'espace d'adressage des processus de confiance à l'aide de l'installation d'un hook global. Une tentative d'accès à Internet est réalisée au nom du processus de confiance.

A l'instar des tests précédents, la défense proactive de KIS 7.0 affiche un message demandant la confirmation de l'utilisateur lors de la tentative de chargement de la bibliothèque dynamique dans tous les processus.

Test pcAudit2

Le test ressemble au test pcAudit. Il tente d'insérer la bibliothèque dynamique dans l'espace d'adressage des processus de confiance à l'aide de l'installation d'un hook global. Une tentative d'accès à Internet est réalisée au nom du processus de confiance.

La défense proactive de KIS 7.0 affiche un message demandant la confirmation de l'utilisateur lors de la tentative de chargement de la bibliothèque dynamique dans tous les processus. Cliquez sur « Détails… » afin d'ouvrir une fenêtre contenant des informations complémentaires. Cette fenêtre est identifiable par l'absence totale d'informations sur la bibliothèque, ce qui est caractéristique des applications malveillantes (et des tests de perméabilité). Il y a également l'onglet « History of process activity » qui reprend toutes les opérations de l'application sur les fichiers et le registre. L'absence dans le système de la bibliothèque (baqsesrv.dll) introduite dans tous les processus et le fait qu'elle est une création de l'application du test de perméabilité sont clairement visibles. De nombreux programmes malveillants agissent de la sorte en « produisant » de nouveaux modules au départ de leurs ressources. Ces applications appartiennent à la catégorie Trojan-Dropper définie par Kaspersky Lab.

Code injection

Insertion de code dans l'espace d'adressage d'un des processus de confiance. Cette méthode repose sur l'insertion dans l'espace d'adressage du processus de confiance d'un code exécutable qui pourra réaliser n'importe quelle activité de réseau. Le pare-feu la considérera comme une activité de réseau émanant d'une application de confiance. A la différence de la méthode précédente, cette opération est assez suspecte, même s'il existe des moyens documentés pour introduire du code dans un processus « étranger ». Une telle insertion est parfois pratiquée par des programmes habituels (par exemple, des débogueurs) mais en général, elle est utilisée par des programmes malveillants.

Les moyens d'introduire du code dans un processus « étranger » sont nombreux. Les victimes sont le plus souvent les processus des navigateurs Internet, les milieux d'exécution du système d'exploitation et « svchost.exe », le principal processus des services Windows chargés depuis les bibliothèques dynamiques.

Quand un des tests de perméabilité décrits ci-après tente de modifier la mémoire d'un autre processus, la défense proactive de KIS 7.0 affiche une demande de confirmation pour l'utilisateur car ce comportement est caractéristique de nombreux programmes malveillants. Après avoir cliquez sur « Détails.. », l'utilisateur peut voir le nom du processus victime de l'intrusion.

Test AWFT

Test AWFT №1

Le test lance le navigateur Internet et tente de modifier la mémoire de son processus.

Test AWFT №2

Le test lance le navigateur Internet et tente d'y créer un flux distant d'exécution contrôlé par le processus du test de perméabilité.

Test AWFT №3

Le test tente de créer un flux distant d'exécution dans le processus du milieu d'exécution Windows « explorer.exe ».

Test AWFT №4

Le test tente de créer un flux distant d'exécution dans le processus du milieu d'exécution Windows « explorer.exe » afin de lancer depuis celui-ci le navigateur Internet et de modifier sa mémoire avant l'exécution.

Test AWFT №5

Le test tente de créer un flux distant d'exécution dans le processus du milieu d'exécution Windows « explorer.exe » afin de lancer depuis celui-ci une des applications de réseau et de modifier sa mémoire avant l'exécution. Cette action est précédée d'une recherche heuristique des applications de réseau adaptées installées.

Test AWFT №6

Le test réalise une recherche heuristique des applications de réseau installée et demande à l'utilisateur d'en choisir une. Puis, le test tente de créer un flux distant d'exécution dans le processus sélectionné.

A la différence des autres tests, le test AWFT utilise un système déterminé de calcul de points pour les six variantes du test. KIS 7.0 obtient le nombre maximum de 10 points :

Test CopyCat

Le test utilise la fonction spéciale Windows API SetThreadContext pour prendre les commandes du flux dans le processus de confiance du navigateur Internet.

Test CPIL

Le test tente de modifier la mémoire du processus du milieu d'exploitation Windows « explorer.exe » par le biais du chargement de sa propre bibliothèque. Par la suite, le navigateur Internet est lancé au nom du processus de confiance et les données sont transmises au serveur distant.

Test CPILSuite №1

Comme dans le cas de CLIP, le test tente de modifier la mémoire du processus du milieu d'exécution Windows « explorer.exe » afin de pouvoir lancer le navigateur Internet au nom du processus de confiance et de transmettre les données vers un serveur distant. Mais avant cela, il y a une tentative préalable de protection de cette opération contre la détection par le pare-feu en désactivant son « hook ». Pour ce faire, il faut un accès direct à la mémoire physique de l'ordinateur.

KIS 7.0 signale les actions suspectes de l'application du test de perméabilité à l'utilisateur : tentative d'accès à la mémoire physique, insertion dans le processus « explorer.exe » et lancement du navigateur avec les paramètres de la ligne de commande.

Test DNStest

Le test lance le processus « svchost.exe » (processus principal pour les services Windows, chargés depuis des bibliothèques dynamiques) et tente de modifier sa mémoire. La réussite de cette opération permet au test d'envoyer les données via Internet au nom du processus « svchost.exe » car ce processus jouit toujours dans n'importe quel pare-feu de quelles règles d'autorisation (par exemple, règles pour le service DNS).

Comme dans les tests précédents, KIS 7.0 réagit à la tentative d'intrusion dans un autre processus en ouvrant une fenêtre standard d'avertissement. Notez la présence de l'onglet « Child processes » dans la fenêtre « Détails… ». Cet onglet reprend tous les processus lancés directement par le processus dont le comportement suspect est signalé par KIS. La présence dans cette liste de processus système (tels que « svchost.exe dans ce cas) est un signe très troublant qui permet de se prononcer presque sans erreur sur le caractère malveillant du processus « père ».

Test Thermite

Le test tente de trouver un processus en exécution du navigateur Internet, y intègre son code et y crée un flux distant d'exécution contrôlé par le processus du test de perméabilité. Dans ce flux, une connexion socket est ouverte pour transmettre les données au serveur distant.

Browser services

Utilisation d'interfaces logicielles pour l'administration du navigateur. La méthode repose sur l'utilisation de divers mécanismes intégrés au système d'exploitation Windows pour l'interaction interprocesseurs de divers composants/applications.

Test Breakout

Le test envoie deux messages Windows à la fenêtre du navigateur Internet, un pour modifier la valeur de la barre d'adresses et l'autre pour appuyer sur le bouton « Go » du navigateur (afin de lancer le transfert vers l'adresse saisie).

KIS 7.0 considère cette activité comme une tentative de transfert de données à l'aide d'un processus de confiance et affiche un message de confirmation pour l'utilisateur. En cliquant sur le bouton « Détails… », l'utilisateur peut voir le chemin d'accès au fichier du processus, l'adresse du site vers lequel les données sont envoyées ainsi que les données en elles-mêmes (dans ce test de perméabilité, la ligne des données transmises est vide mais dans d'autres tests (par exemple, le test PCFlank), les données transmises sont affichées).

Le test utilise le navigateur Internet en tant que serveur d'automatisation COM pour tenter d'envoyer des données au serveur distant à l'insu de l'utilisateur.

KIS 7.0 considère cette activité comme une tentative de transfert de données à l'aide d'un processus de confiance et affiche un message de confirmation pour l'utilisateur. Après avoir cliquez sur le bouton « Détails… », l'utilisateur peut voir le chemin d'accès au fichier du processus, l'adresse du site vers lequel les données sont transmises ainsi que les données elles-mêmes.

Test Surfer

Le test utilise encore une autre interface logicielle proposée par Internet Explorer : les mécanismes d'échange dynamique des données DDE (Dynamic Data Exchange). Le test crée un bureau masqué et lance le processus du navigateur Internet à l'aide des paramètres de la ligne de commande et envoie des instructions DDE d'administration.

KIS 7.0 considère cette activité comme suspecte et affiche un message d'avertissement qui indique que l'application de test de perméabilité surfer.exe tente d'administrer le navigateur Internet via un programme. Ensuite KIS affiche un message d'avertissement sur le lancement du navigateur avec les paramètres de la ligne de commande.

Test ZAbypass

Le test utilise les mécanismes d'échange dynamique des données (DDE) pour administrer le navigateur Internet Explorer et le lancer à l'aide des paramètres de la ligne de commande.

KIS 7.0 affiche un message d'avertissement sur le lancement du navigateur avec les paramètres de la ligne de commande qui peuvent être consultés dans la fenêtre « Détails… ».

System services

Utilisation des interfaces logicielles offertes par les services système. Cette méthode ressemble à la méthode précédente. La seule différence réside dans le fait qu'elle repose sur l'utilisation des interfaces logicielles proposées par les composants du système d'exploitation et non pas par le navigateur.

Test BITSTester

Le test utilise le service de téléchargement intelligent des fichiers BITS proposé par les versions les plus récentes du système d'exploitation Windows afin de pouvoir télécharger les fichiers depuis un serveur Web défini. Ce service utilise le système d'exploitation en lui-même pour exécuter la mise à jour de ses propres modules (Windows Update) et c'est pour cette raison qu'il bénéficie en général de règles d'autorisation.

KIS 7.0 considère l'utilisation du service BITS comme une tentative d'envoi dissimulé de données via un processus de confiance de l'application et affiche un message de demande de confirmation. Après avoir cliquez sur le bouton « Détails… », l'utilisateur peut voir le chemin d'accès au fichier du processus, l'adresse du site vers lequel les données sont transmises ainsi que les données elles-mêmes (dans ce test, les données ne sont pas transmises).

Test Breakout2

Le test crée le fichier dingens.htm et utilise l'interface d'administration des éléments du Bureau et des thèmes de Windows pour installer cette page Web en guise de thème du bureau Windows. La page HTML contient un élément qui renvoie à la page http://www.dingens.org/breakout.html ce qui entraîne le chargement de cette page lors de l'activation des nouveaux thèmes du Bureau de Windows.

En cas de tentative d'installation de la page HTML en guise de thème du Bureau, KIS 7.0 affiche un message d'avertissement sur la tentative de lancement du navigateur Internet avec les paramètres de la ligne de commande.

Test DNStester

Le test utilise le service DNS (fonctions Windows DNS API) pour transmettre les données à l'ordinateur distant. Ce service peut être utilisé pour mener des attaques qui reposent sur l'organisation de requêtes DNS répétées vers le serveur de noms sur Internet.

KIS 7.0 identifie la tentative de l'application de contacter le service DNS et prévient l'utilisateur.

Conclusion

D'après le classement publié sur le site http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php, Kaspersky Internet Security 7.0.0.125 offre une très bonne protection contre les fuites et devance de loin les logiciels d'autres éditeurs importants dans le secteur de la sécurité informatique.

Malheureusement, cette sélection de tests de perméabilités à la sortie n'est déjà plus optimale pour évaluer la protection effective. Plusieurs tests vérifient le même mécanisme de fuite et certains mécanismes ne sont repris dans aucun des tests. C'est la raison pour laquelle nous approuvons l'initiative des auteurs du site www.matousec.com de reformer un groupe de tests de perméabilité à la sortie et nous sommes prêts à coopérer afin d'obtenir une sélection de tests qui soit vraiment pertinente

P.S. Lorsque cet article en était au stade de la rédaction David Matousec a lancé un nouveau projet : Firewall Challenge qui a remplacé le projet Window Personal Firewall Analysis. Les pare-feux personnels, les systèmes de protections globales et autres solutions du même type sont testés dans le cadre de ce nouveau projet .

Par rapport au projet précédent, Firewall Challenge inclut, en plus des tests standards sur les fuites, des tests sur des caractéristiques tels que la stabilité du fonctionnement, l'auto-défense et la résistance face aux différentes méthodes de contournement.

Malgré le fait qu'une série de caractéristiques importantes de la protection n'ont pas été prises en compte dans ce projet, nous considérons le lancement de Firewall Challenge comme une étape importante dans les méthodes de tests et analyses des pare-feux personnels et solutions complexes de sécurité.

Confidentialité |Contactez-nous