Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



Les prédateurs sur Internet



La fraude dans les jeux en ligne, ou comment prendre les joueurs à l'hameçon



Enquête sur un incident : vol dans une banque électronique



Livraison des diffuseurs de spam : danger garanti



Evolution des menaces informatiques au 2e trimestre 2014
 
 

  Page d'accueil / Analyses

Téléchargements à la dérobée le Net pris d'assaut

11.04.2009   |   comments (1)

Ryan Naraine

Préface

La manière dont les virus et les programmes malveillants se propagent a évolué, à l'instar des modes de diffusion des informations. Aux premières heures, les informations étaient en général transportées physiquement d'un ordinateur à l'autre sur divers supports de stockage. Au début des années 1980, les données étaient transmises via des réseaux de données privés et chers. Les pressions exercées par le gouvernement américain pour amener les fournisseurs à garantir une certaine homogénéité dans le transport et le format des données allaient concrétiser Internet. Désormais, toute entreprise, quelque soit sa taille, pouvait transmettre des informations via ce réseau "gratuit", le plus souvent via le courrier électronique et les pièces jointes. A la fin des années 1990, les célèbres virus qui touchaient des entreprises et des particuliers dans le monde entier s'adaptèrent aux nouvelles technologies : le courrier électronique allait devenir leur vecteur privilégié pour la reproduction et la distribution.

Entre-temps, la Toile se transformait rapidement en une plateforme d'une valeur inestimable pour l'échange de données, le commerce mondial et la productivité au travail. Petit à petit, les utilisateurs se sont rendus compte qu'il n'était pas nécessaire d'envoyer les informations à toutes les personnes qui pourraient en avoir besoin mais qu'il suffisait de diffuser une notification contenant un lien permettant aux destinataires de parcourir une seule copie des informations accessibles via Internet. A l'heure actuelle, de nombreux Internautes pensent que l'utilisation d'un navigateur Internet est une activité similaire au lèche-vitrine ou à la visite d'une bibliothèque dans le monde réel : rien ne se passe à l'insu de la personne. (c'est ce que le mot "navigateur" implique n'est-ce pas ?). La majorité de ce qui se passe dans les coulisses leur échappe car ils ne voient rien se produire. Toutefois, le volume de communications complexes qui se déroule dans les coulisses pendant que le navigateur Internet interagit calmement avec les données stockées sur le PC, avec les applications de bureau et avec les serveurs Internet étonnerait plus d'un utilisateur particulier et près de la majorité des professionnels (hors technologies de l'information) s'ils comprenaient véritablement ce qui se passait.

Malheureusement, cette maturité et cette complexité a attiré l'attention de fournisseurs bien organisés de logiciels malveillants qui ont l'intention désormais d'utiliser Internet pour propager les virus, les logiciels espions, les chevaux de Troie, les zombies, les codes d'exploitation et les faux programmes de sécurité. Dans le secteur de la lutte contre les virus, ce type de téléchargement de logiciels malveillants qui se produit sur des sites Internet à l'insu de l'utilisateur est désigné par l'expression "téléchargement à la dérobée" (le "drive-by download" des Anglo-saxons). Cet article se penche sur ce qui se passe exactement durant une attaque à la dérobée, les astuces utilisées pour réaliser l'attaque, la technologie derrière ces attaques et l'exploitation de celles-ci dans le vol de données personnelles et la prise de contrôle d'ordinateurs.

Table des matières

Explication de l'explosion

Avant d'aborder plus en détails les téléchargements à la dérobée, il convient d'expliquer l'explosion qu'a connue ce type d'attaque au cours des dernières années. Il peut être également utile de rappeler qu'un même programme malveillant (virus, logiciel espion, cheval de Troie, zombie, code d'exploitation et faux logiciel de sécurité) peut être, et est souvent, envoyé de différentes manières, parfois par courrier, parfois via une page Web et parfois par d'autres méthodes.

La propagation de programmes malveillants à la dérobée est de plus en plus attrayante pour les cybercriminels car, en général, il s'agit d'une infection plus furtive offrant un degré de réussite supérieur. La Figure 1 reprend des données fournies par ScanSafe, une société qui surveille les menaces posées par les logiciels malveillants sur Internet, et montre qu'au cours des dix années qui ont suivi 1996, le courrier électronique a été abandonné au profit d'Internet et des clients de messagerie instantanée dans les attaques contre les entreprises.


Figure 1: evolution des méthodes de propagation des programmes malveillants

Selon les données les plus récentes de ScanSafe, 74 pour cent de tous les programmes malveillants repérés au cours du troisième trimestre 2008 ont été téléchargés lors de la visite de sites compromis.

Maintenant que l'ampleur croissante de cette problématique est claire, nous allons voir comment les attaques fonctionnent, les techniques employées pour attirer les internautes vers les sites piégés, les codes d'exploitation complexes et les applications prises pour cible, le labyrinthe tissé par les pages de redirection et les charges utiles utilisées dans le vol d'identité et les attaques de prise de contrôle des ordinateurs.

Attaques via le navigateur

Pour bien comprendre le changement dramatique qui a eu lieu en faveur du navigateur Internet en tant que vecteur de l'attaque, il convient de revenir sur l'histoire des principales attaques via Internet. A l'époque des vers Internet, lorsque les attaques telles que Code Red, Blaster, Slammer et Sasser mettaient les réseaux des entreprises sens dessus dessous, les pirates utilisaient des codes d'exploitation à distance pour profiter de vulnérabilités dans le système d'exploitation Windows. (Un code d'exploitation à distance permet au programme malveillant qui se trouve sur un serveur connecté au réseau d'exploiter un code légitime sur l'ordinateur de l'utilisateur sans besoin d'un accès préalable à l'ordinateur de l'utilisateur pour exploiter la vulnérabilité dans le code). Des fichiers exécutables malveillants tels que Melissa étaient également joints à des messages ou envoyés par messagerie instantanée ou via des applications P2P.

La réaction de Microsoft aux attaques de vers fut positive. Microsoft a ajouté un pare-feu, activé par défaut dans Windows XP SP2, et mis en oeuvre plusieurs mécanismes de lutte contre les vers dans le système d'exploitation. Grâce à l'activation des mises à jour automatiques dans Windows, l'utilisateur final recevait un peu d'aide en appliquant à intervalles réguliers les correctifs pour le système d'exploitation. Les entreprises et les particuliers ont également amélioré leurs connaissances en la matière et ils ont appris à bloquer les pièces jointes ou à ne pas cliquer sur les fichiers exécutables étranges. En raison de ces deux éléments, les agresseurs ont du revoir leur tactique et s'en prendre à des logiciels tiers et perfectionner l'art de l'ingénierie sociale.

Cette évolution a également contribué à l'émergence d'une nouvelle technique furtive, à savoir le téléchargement à la dérobée, qui exploite le navigateur en tant que mécanisme pour la connexion des ordinateurs aux serveurs qui abritent les codes d'exploitation malicieux. Lors d'une attaque avec téléchargement à la dérobée, le programme malicieux est téléchargé automatiquement sur l'ordinateur à l'insu de l'utilisateur. Ce genre d'attaque se déroule généralement en deux étapes. L'utilisateur visite un site Web contenant du code modifié qui redirige la requête vers le serveur d'un tiers malveillant où se trouvent les codes d'exploitation. La Figure 2, fournie par l'équipe Google de lutte contre les programmes malveillants, illustre la structure élémentaire d'une attaque avec téléchargement à la dérobée. Ces codes d'exploitation ciblent des vulnérabilités dans le navigateur Internet, un module externe d'un navigateur auquel le correctif n'a pas été appliqué, une commande Active X vulnérable ou les défauts d'un logiciel tiers.


Figure 2: structure d'une attaque avec téléchargement à la dérobée

Comme le montre la figure, la requête peut être redirigée vers plusieurs sites différents avant que le téléchargement du code d'exploitation en lui-même ne se produise.

Selon les données de Kaspersky Lab et d'autres acteurs de la lutte contre les virus, nous nous trouvons actuellement en pleine épidémie de grande envergure de téléchargements à la dérobée. Récemment, l'équipe Google de lutte contre les programmes malveillants a passé 10 mois à parcourir des milliards de pages sur Internet à la recherche d'activités malveillantes et elle a identifié plus de trois millions d'URL servant de point de départ à des attaques avec téléchargement à la dérobée.

Selon l'étude publiée par Google : "Plus troublant encore est le fait qu'1,3% des requêtes envoyées au moteur de recherche de Google a renvoyé au moins une URL considérée comme malveillante dans la page des résultats." La Figure 3, extraite de cette étude, met en évidence une tendance à la hausse alarmante dans le pourcentage de recherche avec un site infecté au cours de la période étudiée.


Figure 3: résultats de recherches contenant une URL malveillante

Au début de l'ère des attaques avec téléchargement à la dérobée, les individus mal intentionnés créaient des sites malicieux et recouraient à l'ingénierie sociale pour attirer les internautes. Cette méthode demeure une source importante d'activité malveillante en ligne mais plus récemment, les pirates ont compromis des sites Web légitimes et ont secrètement exploité des scripts ou inséré des codes de redirection qui lancent des attaques silencieuses via le navigateur.

Anatomie d'une attaque avec téléchargement à la dérobée

Pour illustrer la manière dont les attaques avec téléchargement à la dérobée sont lancées contre les Internautes, nous pouvons nous tourner vers un site Web reconnu compromis en 2007. Dans les semaines précédant le Superbowl de la NFL, le site du stade de l'équipe des Dolphins de Miami fut attaqué et un morceau de code Javascript fut introduit. (cf. Figure 4.)

 
Figure 4: code JavaScript utilisé sur le site du stade de l'équipe des Dolphins de Miami

Si le visiteur du site utilisait un ordinateur avec Windows sans les correctifs, il était connecté secrètement à un tiers distant qui tentait d'exploiter les vulnérabilités connues décrites dans les bulletins de sécurité de Microsoft MS06-014 et MS07-004. Si le code d'exploitation réussissait, un cheval de Troie était installé et donnait à l'individu mal intentionné un accès total à l'ordinateur compromis. L'individu mal intentionné pouvait ainsi par la suite profiter de l'ordinateur compromis et y voler des données confidentielles ou lancer des attaques par déni de service.

Plus tard en 2007, ce fut au tour du site très visité de la "Bank of India" d'être victime d'une attaque complexe qui employait plusieurs redirections pour envoyer l'utilisateur Windows vers un serveur hébergeant le fichier d'un ver de messagerie, deux outils de dissimulation d'activité furtifs, deux chevaux de Troie de téléchargement et trois chevaux de Troie de porte dérobée. Cette attaque sur le site de la Bank of India s'appuyait sur l'obfuscation JavaScript, plusieurs sauts de redirection iFrame et les techniques de flux rapides pour éviter la détection et maintenir les serveurs malveillants en ligne durant l'attaque. La Figure 5 est une capture d'écran du site compromis de la Bank of India avec le script malveillant utilisé pour lancer l'attaque avec téléchargement à la dérobée.

 
Figure 5: site de Bank of India et script malveillant

Il s'agit simplement de deux exemples qui mettent en lumière l'étendue du problème sur les sites Web légitimes. Dans le cadre de son analyse des menaces malveillantes établies sur Internet, ScanSafe a signalé qu'au milieu de l'année 2008, la majorité des programmes malveillants se trouvait sur des sites légitimes. Voici quelques-uns des points intéressants tirés du rapport de ScanSafe pour le 3e trimestre 2008 :

  • Les voleurs d'identité et les auteurs de programmes malveillants achètent ces kits de codes d'exploitation et les déploient sur les serveurs malveillants.
  • Le volume des programmes malveillants établis sur Internet a augmenté de 338 % par rapport au premier trimestre 2008 et de 553 % par rapport au dernier trimestre 2007.
  • Près de 31% de toutes les menaces posées par les programmes malveillants en septembre 2008 était des programmes malveillants apparaissant le jour même où une vulnérabilité avait été découverte. (menace pour laquelle il n'existe aucun correctif).
  • Le risque posé par les trappes et les chevaux de Troie qui volent des mots de passe a augmenté de 267% en septembre 2008 par comparaison à janvier 2008.

Nous savons également que les individus mal intentionnés ont utilisé des serveurs de publicité tiers empoisonnés pour rediriger les utilisateurs Windows vers des serveurs compromis qui organisent des téléchargements à la dérobée. Les publicités malveillantes reposent en général sur Flash et exploitent les applications de bureau sans correctifs.

Kits de codes d'exploitation

Les kits de code d'exploitation malveillants sont le moteur des attaques avec téléchargement à la dérobée. Ces kits sont des composants logiciels développés de manière professionnelle. Ils peuvent être hébergés sur un serveur avec une base de données. Ces kits, vendus sur des sites clandestins de pirates, sont dotés de codes d'exploitation qui visent les vulnérabilités d'un large éventail d'applications telles que QuickTime d'Apple, Adobe Flash Player, Adobe Reader, RealPlayer de RealNetworks et WinZip.

Les voleurs d'identité et les auteurs de programmes malveillants achètent ces kits de codes d'exploitation et les déploient sur les serveurs malveillants.

Des codes d'exploitation spéciaux pour les navigateurs ont également été utilisés et prennent pour cible Internet Explorer de Microsoft, Firefox de Mozilla, Safari de Apple et Opera. Plusieurs kits de code d'exploitation sont dotés uniquement d'un code d'attaque contre les vulnérabilités d'Adobe PDF ou les failles connues des commandes ActiveX

Les voleurs d'identité et les auteurs de programmes malveillants achètent ces kits de codes d'exploitation et les déploient sur les serveurs malveillants. Le code qui redirige le trafic vers le serveur malveillant est ensuite introduit sur les sites Web et les "appâts" vers ces sites sont diffusés via courrier indésirable ou via les panneaux d'information.

Un serveur de kit de codes d'exploitation peut utiliser les en-têtes de requête HTTP de la visite d'un navigateur afin d'identifier le type de navigateur utilisé, sa version ainsi que la version du système d'exploitation sous lequel il tourne. Une fois que le système d'exploitation cible a été identifié, le kit de codes d'exploitation peut décider des codes à utiliser.

Dans certains cas, plusieurs codes d'exploitation peuvent être envoyés en même temps pour tenter de compromettre une machine via les vulnérabilités d'applications d'éditeurs tiers. Certains des kits de codes d'exploitation plus sophistiqués sont maintenus et actualisés tous les mois. Ces kits possèdent une interface utilisateur bien conçue qui enregistre les données détaillées sur les attaques réussies. Ces données peuvent reprendre le système d'exploitation pris pour cible, le pays d'origine de la victime, le code d'exploitation utilisé et l'efficacité de ceux-ci sur la base du trafic vers le site malveillant.

La Figure 6 montre une variété de codes d'exploitation repris dans un seul kit intercepté lors d'une attaque avec redirection JavaScript. Cet exemple confirme la popularité des codes d'exploitation dans le logiciel Microsoft mais il permet également de voir comment d'autres logiciels sont exploités simultanément pour tenter d'augmenter la valeur du kit de codes d'exploitation pour les cybercriminels.

Exploit "Microsoft Bulletin (le cas échéant) "
MDAC remote code execution MS06-014
ShockwaveFlash.ShockwaveFlash.9 exploit  
WebViewFolderIcon setSlice() exploit MS06-057
Msdds.dll exploit MS05-052
Microsoft Works exploit MS08-052
Creative Software AutoUpdate Engine exploit  
Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow  
Ourgame GLWorld GLIEDown2.dll exploit  
DirectAnimation.PathControl buffer overflow MS06-067

Figure 6: présentation du contenu dans un kit de codes exploitation unique

Une monoculture sans correctif

L'épidémie d'infections suite à des téléchargements à la dérobée est imputable en grande partie au manque de correctifs dans l'écosystème Windows. A de rares exceptions près, les codes d'exploitation qui circulent s'en prennent à des vulnérabilités connues et pour lesquelles il existe des correctifs. Toutefois, pour diverses raisons, l'utilisateur final n'applique pas toujours les correctifs nécessaires.

A de rares exceptions près, les codes d'exploitation qui circulent s'en prennent à des vulnérabilités connues et pour lesquelles il existe des correctifs.

Grâce au système de mise à jour automatique de Microsoft, l'utilisateur dispose d'une méthode appréciable pour appliquer les correctifs au système d'exploitation, mais il n'en va pas de même pour les applications d'éditeurs tiers. Selon Secunia, société spécialisée dans le suivi des vulnérabilités dans les logiciels, environ un tiers de toutes les applications de bureau installées sont exposées à un problème de sécurité connu (pour lequel il existe un correctif).

Si l'on étudie les kits de codes d'exploitation actuels, nous retrouvons plusieurs anciennes vulnérabilités telles que MS06-014 et MS05-052 alors que le correctif censé colmater ces failles a été mis en circulation il y a déjà plusieurs années. (l'année de publication du bulletin est indiquée par le troisième et le quatrième caractère). Les ensembles de codes d'exploitation qui s'en prennent aux failles d'Adobe PDF Reader ont remporté un grand succès malgré les améliorations introduites dans les procédures de réactions d'Adobe pour les questions de sécurité. Adobe Flash Player, qui jouit d'une pénétration de près de 100 % sur les ordinateurs pouvant se connecter à Internet, est une autre cible de prédilection, tout comme le RealPlayer de RealNetworks.

Conclusion : éviter les attaques

En guise de conclusion, il est important de remarquer que la majorité des navigateurs d'aujourd'hui, y compris Internet Explorer, Firefox et Opera, ont ajouté des dispositifs de blocage des programmes malveillants qui offrent un système d'alarme anticipée lorsque l'Internaute tente d'accéder à un site piégé. Ces dispositifs représentent une bonne valeur mais dans la mesure où ils reposent sur l'utilisation de listes noires, ils ne peuvent garantir la protection des internautes à 100 %.

La démarche la plus raisonnable pour se protéger contre les attaques avec téléchargement à la dérobée consiste à prêter une attention toute particulière à la dimension de la gestion des correctifs dans la protection. Et plus exactement, les utilisateurs doivent :

  • Employer une solution de gestion des correctifs qui permet d'identifier les vulnérabilités dans les applications de bureau d'éditeurs tiers et de les éliminer. Secunia propose deux outils (Personal Software Inspector et Network Security Inspector) qui peuvent vous aider à identifier les applications nécessitant un correctif.
  • Utiliser un navigateur qui intègre des systèmes de blocage du phishing et des programmes malveillants. Internet Explorer, Mozilla Firefox et Opera proposent tous des fonctions qui bloquent les sites malveillants. Activer un pare-feu et réaliser toutes les mises à niveau du système d'exploitation de Microsoft. Eviter d'utiliser des logiciels pirates dont les mises à jour ont été désactivées via WGA.
  • Installer un logiciel de lutte contre les virus et les programmes malveillants et veiller à maintenir ses bases de données à jour. S'assurer que l'éditeur du logiciel antivirus utilisé recourt à un balayeur du trafic du navigateur afin de pouvoir identifier les problèmes potentiels liés aux attaques avec téléchargement à la dérobée.

Ces conseils pour la gestion des vulnérabilités constituent la protection la plus sûre et la plus appréciable contre les attaques avec téléchargement à la dérobée.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com