Ce sujet est ancien mais reste primordial pour les pirates informatiques qui créent et/ou utilisent des malwares. Ces derniers optent le plus souvent pour une méthode consistant à crypter leur fichier malveillant dans le but de la rendre indétectable par le plus grand nombre d’antivirus possible.

Cet article est à but éducatif uniquement, ayant pour but de démontrer qu’il est bel et bien possible de se faire infecter sans qu’un logiciel antivirus ne donne l’alerte systématiquement. Pour cela, deux possibilités évidentes s’offrent aux pirates informatiques : compiler une source sur-mesure encore inconnue sur le Net ou crypter un exécutable malveillant existant. Bien entendu, les coûts nécessaires ne sont pas du tout les mêmes et le plus souvent, les mêmes bases publiques ou semi-publiques sont utilisées et revendues massivement. Les sources privées sont réservées à de petits cercles d’élites et coûtent des sommes assez phénoménales…

Présentation du procédé de cryptage d’exécutable

Le principe du cryptage est le principal utilisé pour rendre un fichier exécutable indétectable. Sur le Net, on peut trouver des milliers de crypters, gratuits ou payant, parfois même open source. Première difficulté, la plupart de ces programmes utilisent les mêmes principes et sont donc sans effet, voir provoquent l’effet inverse, ils rendent détectable des fichiers qui ne l’étaient pas… Une fois qu’un crypter a été utilisé de maintes fois, l’empreinte de celui-ci est repérable par les logiciels antivirus, quelque soit l’exécutable sur lequel il est appliqué.

Un test simple consiste à développer un simple programme C affichant un “Hello World”, et donc, tout ce qu’il y a de plus inoffensif. Tentez de le crypter avec un programme public largement connu et utilisé. Résultat : il y a de grandes chances que votre logiciel de sécurité émette une alerte !

Généralement, un crypter totalement indétectable (FUD, pour “Fully UnDetectable”) ne subsiste que quelques jours voir semaines avant d’être à son tour repéré par les principaux antivirus du marché.

On distingue habituellement deux types de crypters :

• Les crypters ScanTime

• Les crypters RunTime

Les crypters de type ScanTime permettent de contourner l’antivirus lorsque celui-ci scanne le fichier malveillant en particulier et les crypters RunTime quand à eux, tentent de contourner la detection antivirale lors de l’exécution du programme.

Mais un crypter est complexe et la plus grande difficulté pour les développeurs de ce genre d’outils reste de ne pas altérer le fonctionnement (ou l’empêcher totalement) du programme à camoufler ! Il n’est pas rare de voir des crypters corrompre totalement le programme à protéger. Par exemple, il est impératif de conserver les en-têtes PE Header valides.

Toujours mieux contourner les antivirus

Les logiciels antivirus et les méthodes de protection évoluant continuellement, les cybercriminels ont du inventer toutes sortes de procédés toujours plus ingénieux afin de biaiser les nouvelles technologies de scan. Les malwares polymorphiques par exemple 

Des types de crypters différents ont vu le jour comme les CodeDom crypters. Ils permettent de compiler du code source à la volée dans le but de rendre uniques les noms des variables et des fonctions constituant un programme. De plus, l’exécution en mémoire au sein d’une zone “sécurisée” utilisée par un autre processus de confiance est aussi largement utilisé. C’est la technique de l’injection en mémoire ou RunPE pour Runtime Portable Executable qui permet d’exécuter un fichier sans qu’il soit présent sur le disque et sans qu’il ne paraisse suspect. L’une des principales victimes est par exemple le processus Windows svchost.exe, pour ne citer que lui.

Ce type de service est tellement demandé que des sites spécialisés ont même vu le jour, proposant un service de cryptage d’exécutables en ligne afin de les rendre indétectables. Cependant, il y a certains sites de ce type connus pour être des HoneyPots, dont les fichiers qui y sont uploadés sont envoyés aux firmes antivirus pour analyse. D’où l’extrême méfiance de la part des pirates envers ce genre de services, y compris pour les tests de détection multi-antivirus en ligne, dont certains envoient directement les menaces aux antivirus. Des cloud crypters commencent également à voir le jour, utilisant le réseau pour crypter le fichier dynamiquement.

Petit hors sujet pour ajouter que les rootkits jouent aussi un rôle important lors de l’infection d’une machine. En effet, ces derniers accompagnent le plus souvent les gros trojans dans le but de dissimuler leur activité sur le système aux yeux de l’utilisateur et de l’OS. Ces derniers peuvent par exemple faire disparaître des clés de registre ou des processus/services. Très utile pour les pirates en somme.

Les malwares dits “polymorphiques” sont aussi une bonne alternative, étant donné que les données d’identification du programme malveillant changent à chaque infection. Autant dire que ce procédé donne du fil à retordre aux White Hats travaillant pour les firmes antivirus.

Le terme FUD pour Fully UnDetectable est très couramment utilisé sur les sites dédiés au piratage pour indiquer qu’un fichier crypté n’est détecté par aucun antivirus (ou par la grande majorité du moins). C’est le but supposé d’un crypter, mais cependant très difficile à atteindre.

Les cybercriminels ayant des connaissances avancées préféreront partir d’une base vierge, exclusive et totalement fonctionnelle afin de commettre leurs méfaits et infecter le maximum de machines en un minimum de temps.