Kaspersky Lab, éditeur mondial de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, malwares, botnet, spams, phishing, etc.) publie un article sur le danger naissant du Malware 2.0 en 2008. Les bootkits s’avèrent être de nouvelles armes déployées dans la lutte entre les auteurs de virus et les éditeurs de logiciels antivirus et l’article souligne le rôle clé des nouvelles technologies de protection.

Le développement de Malware 2.0 entraîne toute une série de problèmes pour le secteur de la lutte contre les virus. Selon nous, l'incapacité des solutions antivirus traditionnelles, basées exclusivement sur l'analyse heuristique ou l'utilisation de signatures, à lutter efficacement contre les attaques de virus, sans parler des problèmes liés au traitement des systèmes infectés, est le problème le plus important.

Le bootkit représente une véritable performance technologique ainsi qu’un défi pour le secteur de l’industrie antivirale. Il se distingue entre autres par de puissants outils de diffusion et de fonctionnement dans les botnets.

Rappelons-nous les technologies exploitées dans le rootkit Rustock. Ces dernières offraient au programme malveillant un large éventail de possibilités pour échapper au radar des éditeurs de logiciels antivirus et compliquaient son analyse. Le bootkit exploite différentes méthodes pour éviter la découverte du programme malveillant au début de l'infection et tente d'infecter un maximum d'utilisateurs et d'éviter la mise hors service du réseau de zombies.

L'ampleur de l'organisation du travail et des solutions technologiques employées par les individus malveillants est impressionnante : la programmation de bas niveau, l'exploitation de vulnérabilités dans des dizaines de logiciels tiers, le passage du mode de chargement du système d'exploitation au mode nul, le troisième cercle, la création d'application en C++ pour les systèmes exploitation nix, les protocoles de cryptographies, les protocoles d'autorisation des bots dans le système, etc.

Pour l’infection des PCs des internautes, les individus mal intentionnés utilisaient une méthode assez originale même si pas tout à fait récente pour intégrer les liens. Ils remplaçaient les liens "propres" des sites visés par des liens "malveillants". Pour que l'infection ait lieu, le PC de l’utilisateur doit non seulement ouvrir une page du site compromis mais également cliquer sur le lien remplacé. Que se passe-t-il une fois que l'utilisateur clique sur le lien remplacé ? Le serveur traite la requête entrante et obtient les informations sur le site en provenance duquel le visiteur est arrivé, son adresse IP, le navigateur utilisé et les modules externes du navigateur installés. A partir de ces informations, le serveur attribue à l'utilisateur un identifiant unique qui sera enregistré sur le serveur. A la suite de quoi, un exploit est formé pour chaque utilisateur qui via la brèche s’exécute sur le PC victime.

Une fois qu'il a été téléchargé dans le système, un cheval de Troie de type "dropper" s'exécute grâce à une application vulnérable, extrait le programme d'installation du bootkit et lui transmet l'identifiant unique de l'utilisateur. Ensuite, le programme d'installation modifie le secteur de démarrage du disque et place le corps principal du programme malveillant dans les secteurs du disque dur. Si toutes ces actions sont exécutées sans erreur, le dropper donne à l'ordinateur l'ordre de redémarrer. Après le redémarrage, le bootkit s'empare de diverses fonctions système et commence à fonctionner pleinement dans le système : il dissimule sa présence et fonctionne en tant que bot dans le réseau de zombies.

Après la première connexion au centre d'administration du réseau de zombies, la machine infectée reçoit un paquet de données chiffré (d'environ 200 Ko). Le bootkit reçoit le paquet et le décrypte. Il renferme une bibliothèque système (DLL) qui est chargée par le bootkit dans la mémoire de l'ordinateur et qui n'existe pas sous la forme de fichier sur le disque ! Ainsi, le bootkit est totalement invisible grâce à la DLL aussi bien durant l'analyse de l'état du système par les méthodes traditionnelles que lors de l'analyse par la majorité des logiciels antivirus. DLL est un module pour le vol de mots de passe et l'interception du trafic de réseau du PC.

Autre approche tout aussi atypique de la part des cyber-malfaiteurs - le centre d'administration (CC) du réseau de zombies changeait en permanence de domaine ! Ainsi, nous avons été témoin de 2 à 3 déplacements du CC au cours d'une même journée. Chaque fois qu'un ordinateur faisant partie du réseau de zombies était connecté, il fallait rechercher le centre d'administration actif. Ce type de réseaux de zombies est très difficile à trouver et une fois qu'ils ont été identifiés, il est difficile de les mettre hors de service. Les individus mal intentionnés peuvent à tout moment déplacer le CC sur n'importe lequel des dizaines ou des centaines de domaines préparés et les experts anti-virus ne peuvent rien y faire. Même si le centre d'administration est découvert, il est déplacé vers un autre domaine dans les deux heures qui suivent. Il sera possible de le retrouver uniquement en analysant les paquets de réseaux des ordinateurs qui doivent, eux aussi, trouver leur "nouvelle demeure". Il est évident que cette méthodologie est très utile dans la lutte contre les concurrents qui pourraient tenter de "voler" le réseau de zombies et dans la lutte contre les éditeurs de logiciels antivirus et les autorités judiciaires.

Il ne fait aucun doute qu'il aura fallu plusieurs mois pour développer un tel système et son fonctionnement requiert un débogage permanent et des dépenses pour acheter ou créer de nouveaux codes d'exploitation, de nouveaux domaines, de nouveaux centres d'hébergement, etc. La création, la planification, la réalisation et le soutien de toute cette structure n'ont pas pu être le fruit des efforts d'une seule personne. Nous sommes ici en présence du travail non pas d'un groupe de cybercriminels mais de plusieurs qui collaborent étroitement et sont chacun responsable de leur segment.

L'histoire du bootkit illustre tout le spectre des principales menaces informatiques pour l'utilisateur moyen. Toutes les méthodes et technologies que nous avons étudiées sont employées activement par les individus mal intentionnés dans la grande majorité des programmes malveillants. L'infection via le navigateur, la technologie des outils de dissimulation d'activité, les réseaux de zombies, le vol des données de l'utilisateur, la cryptographie, l'obfuscation, la lutte contre les logiciels antivirus sont des phénomènes que nous avons rencontrés tout au long du troisième trimestre 2008 séparément ou regroupés dans le cas du bootkit.

Une lutte efficace contre ces menaces complexes est possible uniquement en appliquant un large éventail de technologies de protection : logiciel antivirus avec filtrage du trafic, analyseurs de comportement, "bac à sable", système d'analyse du trafic de réseau et pare-feu. Un logiciel antivirus moderne doit pouvoir lutter non seulement contre les rootkits mais être capable également de neutraliser des phénomènes tels que les bootkits.

La version complete du rapport «Bootkits – le malware 2.0» est accessible sur le site viruslist.com.

Confidentialité |Contactez-nous