Infection, Fonctionnement, Contrôle et Détection de Malware
|
03-06-2013, 14h08
Message : #10
|
|
Ekroz
Membre actif Messages : 77 Sujets : 13 Points: 43 Inscription : May 2013 |
RE: Infection, Fonctionnement, Contrôle et Détection de Malware
Citation :-L'infection, comment les malware se propagent-t-ils, quelles nouvelles techniques peuvent être mises en place, et comment les anti-virus luttent-t-ils contre ça ? Une grande majorité des malwares ne se propagent plus eux-même du fait qu'il devient très difficile d'exploiter des vulnérabilités à distance depuis la démocratisation des Machinbox. La propagation par clé USB devient elle aussi en voie d'extinction depuis les MAJ de Windows 7 SP1 qui désactivent l'exécution du fichier autorun.inf. La plupart des pirates maintenant préfèrent publier des exécutables vérolés sur des sites de warez ou des trackers pour atteindre leur quota de 500 victimes en évitant de le dépasser pour rester discret tant bien au niveau de la détection du malware que l'enquête qu'il pourrait susciter auprès des autorités. Le travail des anti-virus là-dessus est d'accentuer la détection des Binders (souvent par injection PE) et des Droppers. Il serait aussi utile de faire des blacklists des sites à haut risque, et de proposer une sorte de "centre de téléchargement" sécurisé avec des alternatives aux programmes payants afin que les utilisateurs n'aillent pas chercher des logiciels n'importent où mais surtout faire de la prévention. Citation :-Le fonctionnement, quelles sont les méthodes utilisées pour altérer le fonctionnement des machines, que peut-t-on imaginer d'autre ? Les pirates ne cherchent plus vraiment à altérer le fonctionnement des machines, ils essaient de maintenir un accès discret et minimal le plus longtemps possible pour voler un maximum de comptes et/ou de coordonnées bancaires à revendre sur le marché noir mais également pour effectuer des attaques DDoS entre communautés rivales. Citation :-Le contrôle, bien souvent, il peut être utile d'échanger des données avec les machines infectées, comment faire? comment en contraire bloquer les communications ? Le grand classique pour les lamers c'est d'héberger un serveur TCP chez soit pour communiquer avec les victimes par une reverse connection. Cependant, comme ce n'est absolument pas discret et souvent bloqué dans les PME et au-delà (grands groupes), il est de plus en plus fait l'usage d'un serveur HTTP qui récolte les informations et sur lequel le pirate se connecte par le biais d'un VPN/Proxy ou Tor. Il faudrait que les AV analysent un peu plus le trafic sur le port 80 et surtout celui des applications non-graphiques/qui envoient des données toutes les X secondes. Citation :-La detection, comment les detecter et comment faire pour ne pas l'etre ? Comment un malware pourrait faire pour ne plus être détecté : simuler le plus possible une application non dangereuse (ex: créer une GUI mais ne pas l'afficher, simuler le clic sur les boutons invisibles etc...), utiliser des librairies et/ou des langages pour créer une surcouche difficile à détecter, utiliser un système en poupée russe afin que chaque fonctionnalité soit un exécutable ou une DLL indépendante ce qui réduit le risque de détection etc... |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Reverse Jar Malware | Yttrium | 6 | 470 |
24-02-2016, 10h20 Dernier message: ZeR0-@bSoLu |
|
[Malz] - Malware dans .doc | notfound | 0 | 125 |
24-03-2015, 11h38 Dernier message: notfound |
|
Mes Analyses de Malware | Yttrium | 6 | 316 |
05-02-2015, 16h15 Dernier message: sakiir |
|
Malware uKash | Swissky | 21 | 1,209 |
19-11-2012, 12h05 Dernier message: InstinctHack |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)