Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Les Analyses les plus Populaires



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Evolution des menaces informatiques au 2e trimestre 2014



Courrier indésirable et phishing au deuxième trimestre 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Courrier indésirable en juin 2014
 
 

  Page d'accueil / Analyses

Bootkit 2009

9.06.2009   |   comment

Sergueï Golovanov
Senior Malware Analyst
Viacheslav Roussakov
Lead Developer of the Complex Threat Analysis Group

Introduction

En 2008, nous avions noté l'apparition de l'application malveillante Backdoor.Win32.Sinowal et nous l'avions classée parmi les applications très dangereuses du point de vue technologique (www.viruslist.com/fr).

Cette décision était justifiée par le fait que les auteurs de l'application exploitaient des technologies parmi les plus modernes à l'époque en matière de développement de virus, y compris :

  1. L'infection «individuelle» des visiteurs de sites compromis à l'aide d'une multitude de vulnérabilités.
  2. L'utilisation de technologies de dissimulation d'activité et de méthodes des virus d'amorce pour infecter le MBR de l'ordinateur. Les méthodes d'infection des secteurs de démarrage des disques étaient très populaires au début de l'ère des virus informatiques ; nous assistons à une renaissance de cette ancienne technologie portée à un niveau supérieur. La situation se complique si l'on sait que de nombreux systèmes récents de lutte contre les virus sont tout simplement incapables d'analyser le MBR car les développeurs avaient estimé que cette méthode n’était plus utilisée.
  3. Le recours à la migration constante des serveurs d'administration et d'infection (modification de l'adresse IP et du nom de domaine). Les ordinateurs infectés utilisaient un algorithme spécial de création de nom de domaine pour rechercher leur centre d'administration. Une technologie similaire a ensuite été utilisée dans toutes les applications malveillantes de la famille Kido (Conficker).

Ces méthodes et technologies malveillantes sont devenues en un an des "classiques" et elles figurent désormais dans les applications malicieuses les plus diverses. Les développeurs du bootkit n’ont pas perdu de temps et ont poursuivi leurs travaux dans la création, la mise en oeuvre et le développement de ces technologies.

Ainsi, le bootkit est à l'heure actuelle l'application malveillante la plus sophistiquée : elle est dissimulée et échappe à la majorité des solutions antivirales modernes.

Vers la fin du mois de mars 2009, les experts de Kaspersky Lab ont découvert une nouvelle modification du bootkit. Les résultats de l'analyse de son fonctionnement et de ses modes de diffusion font l'objet de cet article.

Situation actuelle

Une analyse du développement du bootkit permet de mettre en évidence les modifications suivantes :

  1. Mode de diffusion

A l'heure actuelle, le bootkit se propage via des sites corrompus, des sites pornographiques et des sites qui proposent des applications piratées à télécharger. La grande majorité des serveurs impliqués dans l'infection des utilisateurs peut être reliée d'une manière ou d'une autre à des éléments russophones : ils fonctionnent dans le cadre de "programmes de coopération", à savoir une interaction entre les propriétaires des sites et les auteurs d'applications malveillantes. Ces "partenariats" sont très populaires dans les milieux cybercriminels russe et ukrainien.

Parmi les technologies relativement nouvelles, nous pouvons citer le mécanisme de création du nom de domaine du site d'où seront diffusés les codes d'exploitation.

Lorsque l'internaute accède à la page infectée, un script spécial est exécuté sur son ordinateur. Ce script génère, sur la base de la date actuelle de l'ordinateur, un nom de site vers lequel l'utilisateur sera redirigé afin d'obtenir un code d'exploitation "personnel".

Partie déchiffrée d'un script de génération de nom de domaine d'un site hébergeant des codes d'exploitation.

Le recours à la méthode classique des listes noires pour bloquer l'accès aux sites contenant les codes d'exploitation est donc pratiquement inutile. Toutefois, les spécialistes peuvent identifier, après analyse de l'algorithme de création du nom, les codes d'exploitation qui seront utilisés et les bloquer.

En plus du nom de domaine crée à partir de la date, le script intégré aux pages Web infectées génère également des cookies d'une validité de 7 jours. Ceci vise à empêcher une nouvelle ouverture de la page avec Neosploit au cas où l'utilisateur visiterait à nouveau la page. Le script vérifie si des cookies existent et si la réponse est affirmative et que leur durée de validité n'est pas écoulée, il ne produit pas un nom de domaine et l'utilisateur n'est pas redirigé vers Neosploit.

  1. Technologies d'outil de dissimulation d'activité

Comme par le passé, bootkit utilise des moyens qui reposent sur l'infection de MBR afin de pouvoir charger son pilote durant le démarrage du système d'exploitation. Le pilote est utilisé pour empêcher la détection et la réparation de l'enregistrement de démarrage infecté. Les premières versions utilisaient l'interception de la procédure IRP de l'objet \Driver\Disk, toutefois les technologies de lutte contre les applications malveillantes se sont développées et les auteurs de virus ont dû remanier considérablement leur algorithme de fonctionnement. La version actuelle de l'outil de dissimulation d'activité utilise une technologie plus avancée de dissimulation de sa présence dans le système par rapport à la version antérieure. A l'heure actuelle, aucun des outils de dissimulation d'activité connus n'utilise les méthodes décrites ci-dessous.

Lorsque le pilote malveillant démarre, il recherche la présence éventuelle d'un débogueur actif. Si un débogueur est identifié, l'outil de dissimulation de l'activité ne cache pas le MBR infecté et ne laisse rien transpirer de sa présence dans le système.

Pour devenir pratiquement invisible, l'outil de dissimulation d'activité remplace l'indice du périphérique requis par son type. Ce type est la structure définie dans laquelle le pilote malveillant remplace l'indice par la fonction (ParseProcedure).

 
Installation d'un intercepteur de requête de fonction pour remplacement du MBR

Si le disque physique est ouvert par le logiciel antivirus pour un accès de faible niveau, un appel de la fonction interceptée est réalisé. L'interception de la procédure IRP du pilote d'un niveau inférieur à \Driver\Disk et de la fonction appelée lors de la fermeture du disque ouvert a lieu à son tour. Dès que le disque est fermé, toutes les interceptions reviennent à l'état d'origine.

 
Pilote de faible niveau de l'atapi du système infecté

Le code du pilote qui a subi des modifications notables au cours de cette période requiert une attention particulière. La majorité des fonctions clés qui installent des intercepteurs avec des fonctions systèmes sont modifiées, ce qui complique sensiblement la procédure d'analyse du code malveillant.


Exemple de fonction chiffrée de l'interception

Méthodes de protection

Bien que d'autres éditeurs de logiciels antivirus aient également identifié cette version du bootkit et proposé certaines méthodes de détection, Kaspersky Lab est le seul éditeur qui, à ce jour, offre une protection fiable à ses utilisateurs contre le bootkit à toutes les étapes de son fonctionnement.

En cas de visite d'une page infectée, Kaspersky Internet Security bloque :

  1. L'accès au nom du site généré pour le téléchargement du code d'exploitation :

  1. Les scripts de création et de chargement des codes d'exploitation :

  1. Les codes d'exploitation les plus dangereux et les plus récents :

Parmi les tâches les plus complexes et les plus importantes qui incombent à Kaspersky Internet Security, il convient de citer la détection du bootkit actif et la réparation de l'ordinateur infecté.

La première version de Sinowal a été identifiée au début de l'année 2008. En octobre 2008, seuls quatre solutions antivirales parmi les quinze plus populaires étaient capables de la détecter et de la neutraliser ! (source : http://www.anti-malware.ru/malware_treatment_test_2008).

Malheureusement, la version 2009 est tout aussi problématique. Toutefois, notre solution antivirale peut la neutraliser :

Dès qu'il a identifié la menace, Kaspersky Internet Security est capable de contourner tous les intercepteurs installés par l'outil de dissimulation de l'activité et de réparer le MBR infecté :

La protection à chacune des étapes de fonctionnement du bootkit (depuis la visite du site infecté jusqu'à la réparation de l'infection active) est très importante. L'impossibilité de détecter la menace ne serait-ce qu'à une étape permettrait aux cybercriminels de ne pas avoir à déjouer toutes les autres méthodes de protection et d'exploiter cette faille pour infecter l'ordinateur avec une application malveillante qui resterait invisible pendant longtemps.

Conclusion

Le bootkit demeure à ce jour le programme malveillant le plus dangereux. Il connaît l'évolution la plus rapide. C'est de ce bootkit (et de sa diffusion) que proviennent les technologies de création de virus les plus sophistiquées identifiées ces dernières années.

Les éditeurs de solutions antivirales doivent être attentifs à la moindre modification et aux technologies exploitées par les auteurs du bootkit car celles-ci seront prochainement utilisées par de nombreux autres auteurs de virus.

Mais il est encore plus important d'améliorer les logiciels et les technologies actuelles de lutte contre les virus afin de pouvoir non seulement résister efficacement aux tentatives d'infection des ordinateurs mais aussi découvrir les menaces les plus complexes actives dans le système d'exploitation à un niveau incomparable.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com