Infection, Fonctionnement, Contrôle et Détection de Malware
|
01-06-2013, 09h24
Message : #7
|
|
0pc0deFR Non-enregistré |
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Les techniques pour répandre un malware ne sont pas limitées. En gros tout ce qui permet de communiquer avec l'extérieur pour potentiellement amener du malware. Une clé USB, un client mail, un navigateur, ...
Concernant les navigateurs/clients mail, généralement ce sont des exploits qui sont utilisés. Les antivirus intègrent de la détection de signature dans les exploits. Un malware, dans la plupart des cas va vouloir rester le plus longtemps possible sur la machine. L'idée est donc de rester caché. Des techniques assez simples existent pour ça comme un hook du gestionnaire des tâches pour ne pas apparaître dans la liste des process, une injection dans un processus comme explorer.exe, etc, ce sont des techniques de rootkit. En général un malware a un but précis. Par exemple, les crimewares comme Zeus/SpyEye/... on pour but le vol de données bancaires, ils intègrent donc des fonction pour permettre ceci. Par exemple, aucune fonctions de DDOS puisque ce n'est pas son but. WarBot par exemple, lui est spécialisé dans le DDOS donc il n'intègre pas de Keylogger ou autres. Certains sont plus ou moins couteau suisse, ce sont les Rat's (Remote Administration Tools) type DarkComet ou BlackShades. Ils intègrent des fonctions de keylogging, de DDOS, de prise de main à distance (type VNC), ... Je pense que le C&C est adapté à l'utilité du botnet. Cependant, il existe deux ou trois protocoles différents. Le plus souvent on trouve du HTTP, de temps à autre du IRC, j'ai aussi entendu parler du P2P (mais je n'ai pas eu la chance d'avoir un sample entre les mains). Il y a aussi ceux qui ont un protocole indépendant. C'est le cas des Rat's. Le plus souvent, ils ont une application appelée Client qui est lancée et les serveurs ce connectent à celui-ci. La détection ce fait de plusieurs manières. Dans le cadre d'un crypter/packer fait maison, une détection d'un certain nombre d'octets au niveau de l'EP peut suffir. D'autres malwares utilisent des User-Agent qui leur sont propres, il suffit donc de chercher ce User-Agent pour le détecter. Pour l'exemple, 1337 Stealer a des chaînes de caractères facilement repérables: "[S-P-L-I-T]" ou "[H-E-R-E]". J'ai donc basé ma détection Yara là dessus. Les antivirus commencent à intégrer petit à petit la détection heuristique. C'est une détection par comportement. Pour la détection par signature, ce n'est pas très compliqué à passer. Un encodage du binaire, un chiffrement, un packer, etc suffit. Pour la détection par heuristique, c'est un peu plus complexe mais ça reste assez simple. Comme vous les savez, en programmation, il ni a jamais qu'une seule façon de faire les choses. Il suffirait donc de jouer avec les techniques pour contourner l'heuristique. |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Reverse Jar Malware | Yttrium | 6 | 470 |
24-02-2016, 10h20 Dernier message: ZeR0-@bSoLu |
|
[Malz] - Malware dans .doc | notfound | 0 | 125 |
24-03-2015, 11h38 Dernier message: notfound |
|
Mes Analyses de Malware | Yttrium | 6 | 316 |
05-02-2015, 16h15 Dernier message: sakiir |
|
Malware uKash | Swissky | 21 | 1,210 |
19-11-2012, 12h05 Dernier message: InstinctHack |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)