Evasion – Comment certains malwares échappent-ils à la détection antivirus ?

3
288

Au sein de son blog officiel, McAfee Labs dévoile beaucoup de techniques “d’évasion” utilisées actuellement par les créateurs de malwares afin d’échapper à la détection virale. Voici l’une des toutes dernières techniques des cybercriminels.

Ne nous y trompons pas, le principal but des développeurs de programmes malveillants est avant tout de se soustraire à la détection des systèmes de sécurité existants sur le marché et potentiellement installés sur les machines des victimes.

Un récent ensemble d’échantillons d’alertes utilisant une technique différente pour échapper à la détection a été repéré par McAfee. Cette technique est liée au chargement dynamique d’une bibliothèque à l’exécution du malware.

Chargement dynamique à l’exécution

Le chargement dynamique est un mécanisme par lequel un programme charge une bibliothèque dans la mémoire de la machine lors de son ‘exécution de sorte que les adresses des fonctions et des variables contenus dans la bibliothèque peuvent être accessibles et exécutés. Le chargement dynamique s’effectue en utilisant l’API LoadLibrary, qui prend en argument le nom de la bibliothèque à charger.

La capture d’écran ci-dessous est un code LoadLibrary typique avec argument :

Legit_Way_Test

Ce modèle peut facilement être identifié à la fois par une analyse comportementale ainsi que par la détection basée sur le code source. C’est pourquoi les cybercriminels utilisent maintenant différentes façons plus discrètes et ingénieuses afin de transmettre l’argument à l’API LoadLibrary au sein des derniers logiciels malveillants. L’argument requis est déplacé dans la pile.

Dans l’air du temps

Les techniques utilisées par les développeurs de logiciels malveillants pour éviter la détection par les logiciels de sécurité ont radicalement changées ces dernières années. Chiffrement (crypters), packers, wrappers, et d’autres méthodes étaient efficaces pendant un certain temps. Mais les programmes malveillants ont finalement acquis les techniques de détection pour combattre ces mesures.

Les auteurs de malwares prochaine génération ont commencé à changer fréquemment le code (polymorphisme) ainsi que  d’autres données environnantes; maintenant les binaires malveillants sont modifiés plusieurs fois par jour pour éviter la détection.

Par exemple, la technique de modification d’opcode permet de remplacer les opcodes standards générés par un compilateur avec différents opcodes et ce, sans changer le résultat du code.

Conclusion

Les auteurs de malwares sont toujours en quête de nouvelles techniques pour échapper à la détection, mais au final, leurs techniques sont régulièrement découvertes et bloquées par les chercheurs en sécurité. McAfee détecte actuellement  toutes les variantes qui utilisent ces techniques dynamiques.

Le jeu du chat et de la souris en bref !

3 Commentaires

Les commentaires sont fermés.