Dossier – Malwares, le point sur les techniques de propagation utilisées par les pirates

5
179
Vous avez surement déjà été victime d’un malware. Mais vous êtes-vous posé la question du pourquoi et du comment ? Quelles sont les techniques de propagations utilisées par les pirates informatiques afin d’infecter votre machine à votre insu ? Explications sur le sujet.
 
Tout d’abord, sachez que les malwares ont de nombreux vecteurs de propagation, tant en ligne que hors ligne. Nous allons tenter de toutes les répertorier ici, en retraçant le processus d’infection dans son intégralité.Si vous n’êtes pas familier avec les différents types de e-menaces englobées dans le terme générique “malwares”, je vous invite tout d’abord à vous renseigner sur les différentes familles d’applications malveillantes ainsi que les motivations principales des pirates informatiques.
 
Cet article se décomposera en deux parties distinctes : les méthodes de camouflage tout d’abord, qui jouent un rôle important, puis les techniques de propagation en elles-même.
 

I. Les méthodes de camouflage

Après la finalisation du développement d’une application malveillante quelconque (ou sa simple utilisation par un “script kiddies”, le pirate va tout d’abord chercher à rendre invisible toute menace, tant à la vue des gens qu’à celle des logiciels de sécurité (antivirus, anti-malwares, etc).
Pour cela, plusieurs choix s’offrent à lui.
 
Les “crypters” représentent la solution la plus simple et la plus rapide. En effet, n’importe qui peut dégoter une malware sur des forums spécialisés et décider de l’utiliser. Mais cette personne va être confronté à un problème : suite à tous les autres apprentis pirates qui ont eu la même idée que lui, l’application malveillante est largement connue et donc détectée par les antivirus du marché.
La parade à cela, c’est tout d’abord de se procurer un crypter, une petite application qui va permettre, en quelques clics, de modifier totalement l’exécutable malveillant (sa taille, son aspect, sa signature) afin de le rendre inconnu aux yeux des suites de sécurité. En faisant cela, le pirate va être assuré d’un bon taux d’infection lorsqu’il va commencer son “spread” (ou diffusion, NDLR) en ligne.
 
Autre solution, plus en finesse et assez ingénieuse : les “binders”. Le principe est ici différent. Il s’agit là d’assembler plusieurs exécutables en un seul, brouillant par la même occasion les traces et les chances de détection.
 
Ces deux types d’applications sont le plus souvent elles-même détectées comme des malwares par les logiciels de sécurité après un certain temps. Il en existe des gratuits, des payants, des publics, des privés et même des open-source !
 
Ce sont les plus répandues et les plus connues. Il en existe d’autres, beaucoup plus avancées, plus dangereuses encore mais heureusement moins utilisées. On peut citer par exemple la création de faux fichiers grâce à des “exploits” 0-Day : des images, des document PDF ou des fichiers musicaux piégés, autrement dit conçus spécifiquement pour libérer une charge malveillante, appelée “payload”.
 

II. Les techniques de propagations

De la plus banale à la plus sophistiquée, il y en a pour tous les goûts et niveaux. Les malwares liés au piratage pur et dur (prise de contrôle à distance d’une machine par exemple) ont souvent été mystifiés. Essayons d’y voir plus clair et de démystifier ces techniques.
 
Il y a un an, UnderNews publiait un article complet sur le sujet, et plus particulièrement sur les nouvelles techniques en vogue.
 Ci-dessous, une liste non exhaustives des moyens les plus répandu :
  • e-mails (pièces jointes ou liens malveillants)
  • messageries instantanées
  • social engineering
  • médias externes (via autorun, désactivé par Microsoft en février dernier)
  • téléchargement de contenus (P2P/DDL)
  • réseau intranet
  • drives-by downloads, exploits 0-Day (via des sites Internet piégés)
D’après Microsoft, près de 50% des infection requiert une participation active de l’utilisateur !
 
Pour se protéger de tout cela, rien ne vaut la vigilance et la réflexion. Bien qu’une suite de sécurité à jour soit un plus incontestable, cette dernière ne pourra pas vous protéger contre toutes les menaces, surtout les plus récentes. Rappelez-vous l’année dernière par exemple, du ver “tueur d’antivirus” découvert par l’éditeur BitDefender.

5 Commentaires

  1. Bon article.

    J’ajouterais une petite méthode : le social engineering youtube . Le piratin en herbe poste son “Rat” ou “CRYPTER 100% fud garantit 100%”, “Generateur d’almopass/kamas/microsoft points”, hack msn , aimbot, etc…
    Bref des trucs louches ou bien fake. Comme ca , réponse facile si l’AV gueule : “ce paske ce un prgm de hack desaktiv ton antiviruz”..

    Avec en prime les commentaires bidons de ses potes/lui sur un autre compte YT “tro bi1 ca marche”…

    M’en fiche, moi ces gens la, je les traque… Les crypteurs ? 99% ne valent que dalle face à 3 breakpoints

    • Tu ma fait rire.

      “M’en fiche, moi ces gens la, je les traque…”

      PTDR. Mais tu traque rien du tout mon pauvre ami.

      Tu réussi à ouvrir ton éditeur héxa, ollydbg, et à decrypté une chaîne et à choper l’ip du type ou sont mail et mdp? et tes heureux?

      Croit moi les pirate à qui tu fait sa, sont tellement peu nombreux que sa fait une belle jambe à toute la communauté des kid.

      PS: pour infos je faisait sa quand j’avais 15pige, et j’ai des ‘pote’ kid qui continue encore, juste pour les logs.

      ….

Les commentaires sont fermés.