Les menaces des Malware (logiciels malveillants)

I. Logiciel malveillant (malware)


I.1 Définition

Un logiciel malveillant est un logiciel qui peut nuire, surveiller ou désactiver des fonctionnalités sur un ordinateur. En gros, c’est un logiciel qui a pour but d’engendrer des dégâts sur une cible. Il peut permettre à l’attaquant d’avoir accès au système cible dans le but de nuire.

Exemples de logiciels malveillants : cheval de Troie (Trojan), Virus, Vers (Worms), Porte dérobée (Backdoor), logiciel espion (Spyware), Rançongiciel (Ransomware), Réseau de zombies (Botnet), programme malveillant furtif pour piquer un compte administrateur (Rootkit), logiciel de publicité, etc.

I.2 Intégration de malware dans le système

Un malware peut atterrir sur un système par différentes manière, par exemple :

  • Une application de messagerie instantanée peut être sa porte d’entrée sur l’ordinateur cible.
  • Il peut être intégrer à travers les périphériques amovibles.
  • Il y a une possibilité qu’il intègre le système grâce au navigateur et aux bugs sur un logiciel de messagerie
  • Une gestion de chemin non ou mal sécurisée peut être à l’origine.
  • Il peut pénétrer à travers des applications véreuses ou de leurres
  • Une bonne manière d’installer un malware est de visiter des sites non fiables et d’y télécharger des logiciels libres.
  • Un malware peut être caché sur des fichiers téléchargés sur Internet.
  • Les pièces jointes envoyés par e-mails sont à l’origine de nombreux malwares.
  • Il peut atterrir sur le système à travers les partages de fichiers.
  • Les réseaux sans-fils constituent des moyens de contaminations.
  • Il peut être installé par d’autres logiciels malveillants.
  • Certains malwares se propagent sur le réseau pour atteindre des ordinateurs.
  • Etc.

Pour infecter des machines, les pirates utilisent différentes techniques telles que :

  • L’optimisation pour les moteurs de recherches (SEO, c’est-à-dire l’attaquant va essayer d’améliorer la position de son site web sur les résultats afin de faciliter l’accès sur ce site aux internautes.
  • L’utilisation de la technique du détournement de clic (Clickjacking) avec l’ingénierie sociale, c’est-à-dire l’attaquant va créer une fausse interface web et inviter la victime à y cliquer. Cela va détourner la victime vers un site malveillant où elle va peut-être entrer ces informations confidentielles en croyant que le site est fiable.
  • L’hameçonnage ciblé sur les sites web.
  • L’utilisation des publicités en ligne malveillantes qui visent à diffuser des malwares (malvertising : malicious advertising).
  • Les sites web légitimes compromis.
  • L’utilisation de malware qui s’installe automatiquement lorsque la victime consulte un mail ou un site piégé. Le malware sera téléchargé directement sur son ordinateur sans qu’elle le sache ou sans son consentement (Drive-by Downloads).
  • Envoie de Spam.

II. Infection de systèmes en utilisant des chevaux de Troie


II.1 Définition d’un Cheval de Troie

Un cheval de Troie est un programme qui semble être inoffensif mais dans lequel est incorporé un code malveillant et dangereux.

Dès que la cible exécute le programme, celui-ci permet à l’attaquant d’avoir accès à toutes les données de l’hôte cible.

Il permet la création d’un canal de communication secret pour :

  • Enregistrer des captures d’écran pour des images, audio, vidéos, etc.
  • Utiliser l’ordinateur de la victime comme un serveur proxy, une machine zombie dans un Botnet ou pour des envois de Spam.
  • Ou pour voler des informations sensibles

II.2 Les différentes étapes de l’intégration

Pour infecter un système avec un cheval de Troie, il faut suivre les étapes suivantes :

  • Etape 1 : créer un paquet de cheval de Troie en utilisant un kit de construction comme Trojan Horse construction kit, DarkHorse Trojan virus maker, DarkComet.
  • Etape 2 : créer un Dropper (qui est un programme) qui va se charger d’installer le code malveillant sur le système de la victime. Dropper sous Windows : c:\Windows\system32\svchosts.exe.
  • Etape 3 : créer un emballage (Wrapper), comme .exe, .apk, .sh, .py, pour le programme, en utilisant un outil adéquat, pour pouvoir installer le cheval de Troie sur la victime.
  • Etape 4 : propager le cheval de Troie sur les réseaux.
  • Etape 5 : exécuter le Dropper.
  • Etape 6 : exploiter les dégâts.

II.3 Définitions de quelques termes

  • Wrapper :

Cela permet d’envelopper un cheval de Troie sur un fichier exécutable (.exe) comme des jeux ou d’autres applications, pour lui donner un aspect authentique et fiable.

Exemple : IExpress Wizard, Elite Wrap, Soprano 3.

  • Crypters :

Ils permettent de cacher les virus des Antivirus.

Exemple : Bitcrypter,Cyperx,Betacrypt,SwayzCryptor.

  • Exploits Kits :

C’est une plateforme qui permet de livrer des Exploits et des Payloads tels que cheval de Troie, Backdoor, etc., au système cible.

Exemple : RIG, Magnitude, Angler.

II.4 Techniques d’évasion d’Antivirus

Pour permettre à un cheval de Troie d’échapper aux Antivirus, il faut :

  • Le briser en plusieurs morceaux et les compresser en un seul fichier.
  • Toujours construire son propre cheval de Troie et l’intégrer dans une application.
  • Avoir l’habitude de changer sa syntaxe, c’est-à-dire utiliser .DOC.exe (ou .PDF.exe) à la place de .exe ou utiliser un script VB.
  • Changer son contenu à l’aide d’un éditeur hexadécimal, modifier également la somme de contrôle (Checksum) et crypter le fichier.
  • Ne jamais utiliser des chevaux de Troie téléchargés sur le Web, ils peuvent être détectés.

II.5 Les Types de cheval de Troie

II.5.1 Cheval de Troie d’accès à distance

Aussi appelé Creepware, le RAT (Remote Access Trojan) permet d’avoir l’accès et le contrôle sur un système distant.

Il permet d’exécuter des commandes sur le système distant, d’espionner la victime à travers sa webcam et/ou son microphone, de modifier le registre du système, etc.

Exemple d’outils pour le RAT : njRAT, DARKCOMET, NETWIRE, PRORAT, THEEF, KEDI RAT.

II.5.2 Cheval de Troie à porte dérobée

Il permet de contourner les mécanismes de sécurité habituels d’un système afin d’y avoir un accès ininterrompu.

Il peut accéder aux informations confidentielles de la victime, ralentir l’ordinateur cible, provoquer des pannes et des bugs, etc.

Exemple d’outils : PoisionIvy, Kovter, Nitol, Qadars, Snake.

II.5.3 Cheval de Troie pour réseau de zombies

Ce type de cheval de Troie infecte un très grand nombre d’ordinateurs pour créer un énorme réseau constitué de zombies (les ordinateurs infectés). Ce réseau est contrôlé par l’attaquant.

Le réseau de zombies va lui permettre de pouvoir effectuer de nombreux types d’attaques, à savoir attaque DDoS, attaque pour volt d’informations financières, envois de spam, etc.

Exemple d’outils : Mirai Botnet, Necurs, Plugbot, Proteus, Avalanche.

II.5.4 Cheval de Troie Rootkit

Il permet d’attaquer un système cible pour y avoir accès en tant qu’administrateur.

Un Rootkit a Trois composants : un dropper, un loader et un rootkit lui-même.

Il ne peut pas être détecté en regardant les services.

Exemple d’outils : Wingbird, Finfisher, Grayfist, whistler.

II.5.5 Cheval de Troie E-Banking

C’est un cheval de Troie conçu pour intercepter, avant d’être cryptées, les informations bancaires de la victime et les envoyer à l’attaquant.

Fonctionnement :

  • Le cheval de Troie va s’emparer du numéro d’authentification de transaction.
  • Il fait de l’injection HTML, c’est-à-dire il crée un formulaire HTML avec de faux champs pour extraire le DOB, l’email, afin de les utiliser pour imiter la victime.
  • Il enregistre les saisies clavier et des clics souris lorsque l’utilisateur tape les numéros des clients et leurs codes d’accès personnels.
  • Il saisit en douce les informations de connexion de l’utilisateur une fois que celui-ci effectue une transaction en ligne.

Exemple d’outils : Zeus, Gootkit, gozi, ramnit.

II.5.6 Cheval de Troie serveur proxy

Il transforme l’ordinateur de la victime de serveur proxy afin de l’utiliser pour se connecter à Internet.

L’ordinateur victime peut ainsi être utilisé pour mener des actions illégales comme un achat avec une carte de crédit volée ou des attaques comme DoS.

De ce fait, cela va permettre à l’attaquant de rester dans l’anonymat.

Exemple : Linux.proxy, Proxy, PinkslipBot.

II.5.7 Cheval de Troie secret

Ce type de cheval de Troie permet d’avoir accès au Shell d’un serveur externe depuis l’intérieur du réseau interne et vice versa.

Il met en place une connexion TCP / UDP / HTTP pour le transfert des flux de données.

Exemple : BACHOSENS.

II.5.8 Cheval de Troie de défiguration

L’éditeur de ressource permet à un utilisateur de voir, de modifier, d’extraire et de remplacer des chaines de caractères, des bitmaps et des icônes de n’importe quel programme. C’est ce qui est utilisé par ce type de cheval de Troie pour modifier et défigurer les applications.

II.5.9 Cheval de Troie pour les services

Il va profiter de l’avantage qu’offrent les services tels que VNC pour se connecter à la victime en utilisant n’importe quelle visionneuse VNC, http / https pour inverser le Shell dans le tunnel http afin d’engendrer un enfant qui est indétectable par les pare-feu.

Le tunneling ICMP utilise les paquets ICMP Echo Request et ICMP Echo Reply pour transporter furtivement le payload qui permet d’avoir accès ou de contrôler la machine de la victime.

Exemple : icmpsend.

II.5.10 Cheval de Troie pour Mobile

Il essaie de tromper l’utilisateur pour installer une application malveillante pour voler des informations sensibles, crypter les données, verrouiller l’appareil de la victime, etc.*

Exemple d’outils : Hummer, Ghost push, Danpay, rootnik, androRAT.

II.5.11 Cheval de Troie pour l’IoT

Ce type de cheval de Troie cible uniquement les d’IoT.

Il permet de corrompre la capacité de stockage des appareils, de reconfigurer leurs noyaux, etc.

Exemple d’outils : Mirai, Hajime, LuaBot, Trojan.linux.pnscan.

II.5.12 Autres chevaux de Troie

On peut noter d’autres chevaux de Troie :

  • Les chevaux de Troie qui permet la désactivation des logiciels de sécurité ;
  • Les chevaux de Troie destructeurs ;
  • Les chevaux de Troie pour le déni de service distribué (DDoS) ;
  • Les chevaux de Troie Shell.

III. Introduction aux virus


III.1 Définition

Un virus informatique est un petit programme doté d’une capacité :

  • D’infection : cette capacité lui permet de s’attacher à des programmes ou fichiers tels que les fichiers téléchargés, les disques durs, les disquettes, les clés USB, etc., en s’y introduisant pour faciliter sa propagation.
  • De duplication : un virus est capable de se reproduire dans les médias où il s’est introduit. Cette duplication facilite l’infection.
  • De possession d’un contenu nuisible (payload) : comme les autres malwares, un virus a un but précis. Il est conçu pour exécuter une tâche nuisible comme engendrer des dégâts en transformant ou en cryptant les données, utiliser dans le cyber terrorisme, obtenir un accès sur un système distant, l’effacement du contenu de la machine de la victime, la corruption de ses données, etc. Ces tâches peuvent être programmées pour s’exécuter à une date précise et sont codées dans le payload.

Le virus va passer sur ces différentes étapes :

  • Conception
  • Duplication
  • Lancement
  • Détection
  • Incorporation
  • Exécution des dommages de routine.

III.2 Indications

Voici quelques indications qui pourront vous informer sur la présence d’un virus sur votre ordinateur :

  • Les processus prennent plus de temps
  • L’ordinateur de la victime émet un bip sans afficher quelque chose
  • Les étiquettes des lecteurs sont modifiées
  • Le navigateur se bloque
  • L’antivirus lance des alertes constamment
  • Il y une manque de fichiers et de dossiers
  • Le système d’exploitation est impossible d’être chargé

III.3 Les moyens possibles d’être infecté

De nos jours, il est très facile d’être infecté par un virus.

On peut être infecté seulement en :

  • Ouvrant une pièce jointe infectée d’un email ;
  • Cliquant sur des publicités malveillantes en ligne ;
  • Installant des logiciels cracks ou piratés ;
  • Ne faisant pas de mises à jour vers de nouvelles versions de vos applications ;
  • Utilisant des supports portatifs.

III.4 Les Canulars de virus et les faux Antivirus

Les canulars sont de fausses alarmes qui demandent des rapports sur un virus inexistant. Ils contiennent en générale des pièces jointes infectées de virus. Il ne faut pas y prêter attention, car il y a un risque très élevé de contamination.

Un faux antivirus est comme un malware, il peut endommager le système cible car une fois installer, il peut vous demander de supprimer certaines applications ou programmes nécessaire pour le bon fonctionnement de votre système.

Exemple de faux antivirus : ScanGuard, TotalAV.

III.5 Les Rançongiciels (Ransomware)

Un rançongiciel interdit à l’utilisateur l’accès à ses propres données en les cryptant et exige le paiement d’une rançon avant de les décrypter et de vous laisser y avoir accès.

Exemple de rançongiciels : Locky,Wannacry, Petya.

III.6 Les Types de virus

Il existe différents types de virus dans le monde informatique :

  • Virus qui agit sur un fichier
  • Virus conçu pour un Shell
  • Virus pour cryptage de données
  • Virus de cluster
  • Virus métamorphique
  • Virus pour les extensions de ficher
  • Virus d’intrusion
  • Virus pour le camouflage
  • Virus qui agit sur les secteurs de démarrage
  • Virus polymorphe
  • Virus d’email
  • Virus pour le système de fichier FAT
  • Virus à bombe logique
  • Virus complémentaire

III.7 Création de virus

Comment créer un virus ?

  1. Ecrire le programme du virus
  2. Utiliser les outils de fabrications= de virus tels que DELmE’s Batch virus maker, Deadly virus maker, Bhavesh Virus maker pour créer l’application du virus.

III.8 Les Vers (Worms)

Les Vers sont des malwares qui se répliquent et s »exécutent sans intervention humaine.

Ils se propagent sur le réseau via les connexions créées.

Les Vers peuvent être utilisés dans la création de réseaux de machines zombies pour mener d’autres attaques.

Exemple de vers : KjW0rm, SONAR.ProHijack!g15, INTERNET WORM MAKER THIING (open source, il est livré avec un compilateur qui le transforme en .exe pour lui permettre d’échapper aux antivirus), Batch Worm Generator, C++ WOrm generator.

III.9 Méthodes de détections de virus 

Pour détecter un virus, il faut faire :

  • Du scanning : en utilisant votre propre outil développé pour rechercher des signatures, par exemple ;
  • De la vérification d’intégrité : Lecture du disque entier et enregistrement des données d’intégrité ;
  • Une interception : contrôle des demandes de système d’exploitation ;
  • Une émulation de code : ici, l’antivirus exécute du code malveillant dans un environnement de simulation ;
  • Une analyse heuristique : l’antivirus va analyser le format de fichier et effectuer une émulation de code pour déterminer si le code est viral ou pas.

IV. Analyse de logiciel malveillant


IV.1 Description 

C’est un processus de rétro ingénierie qui consiste à prendre un morceau du malware et essayer de trouver son origine, ses fonctionnalités et ses impacts potentiels.

Cela consiste à :

  • Déterminer ce qui se passe avec le virus ;
  • Déterminer l’intention malveillante ;
  • Indiquer les indicateurs de compromis ;
  • Déterminer le niveau de complexité de l’intrus ;
  • Connaitre les vulnérabilités exploitées ;
  • Savoir l’étendue des dommages causés par l’intrusion ;
  • Attraper l’auteur de l’installation du malware.

IV.2 Procédures d’analyse de logiciel malveillant 

Pour faire une analyse réussie, il faut suivre une démarche spécifique :

  • Etape 1 : affecter le système physique au Lab d’analyse ;
  • Etape 2 : installer une machine virtuelle sur le système ;
  • Etape 3 : installer un système d’exploitation invité sur la machine virtuelle ;
  • Etape 4 : séparer le système du réseau en s’assurant que la carte réseau est en mode «  host only » ; 
  • Etape 5 : simuler les services d’Internet en utilisant des outils tels qu’iNetSim ;
  • Etape 6 : désactiver le partage de dossiers et l’isolement d’invité ;
  • Etape 7 : installer les outils d’analyse de malware ;
  • Etape 8 : générer une valeur de hachage pour chaque outils et système d’exploitation ;
  • Etape 9 : copier le malware vers le système d’exploitation invité

IV.3 Types d’analyse 

On distingue deux types d’analyse de malware :

  • Analyse statique de malware : c’est une analyse par code et cela consiste à passer par le code binaire du malware, sans l’exécuter, pour arriver à sa fin.
  • Analyse dynamique de malware : c’est une analyse comportementale et cela consiste à exécuter le code du malware pour voir son comportement et son impact sur le système infecté.

Il est recommandé de faire toutes les deux analyses.

IV.3.1 Analyse statique 

Comme mentionné au-dessus, ce type d’analyse consiste à analyser le code binaire pas le code du malware. Cela donne d’importantes informations sur le malware, à savoir : sa fonctionnalité, sa signature réseau, la présentation de son exploit, les dépendances, etc.

Il existe diverses techniques pour faire l’analyse statique :

  • Empreint de fichier :

C’est un processus qui permet de calculer la valeur de hachage du code binaire d’un donné.

Cette valeur peut être utilisée pour voir n’importe quel changement durant l’analyse.

Les outils qui pourront aider dans le calcul de cette valeur de hachage sont : HashMyfile, Hashtab, Hashcalc.

  • Scan local et en ligne d’un malware :

Ce processus utilise un outil bien connu installé localement (un antivirus) pour scanner le code binaire.

Il existe aussi des outils en ligne, comme VirusTotal, pour faire le scan en ligne.

Autres outils de scan : Jotti, Online virus scanner, IObit Cloud.

  • Effectuer une recherche par chaine de caractère :

Les chaines communiquent les informations du programme à leur utilisateur.

Cela consiste à analyser les chaines du texte lisible incorporées à l’intérieur de fichier exécutable des programmes.

Exemple : Chaînes de mise à jour d’état, chaînes d’erreur, etc.

Les outils comme BinText, FLOSS, strings, FREE EXE DLL Resource extract pourront être utilisés pour extraire les chaines incorporées sur les fichiers exécutables.

  • Identification des méthodes d’emballage / d’obscurcissement :

Cela consiste à identifier les méthodes d’emballage qu’ utilisent les attaquants pour compresser, crypter ou modifier un fichier exécutable de malware pour éviter la détection. Ces emballages utilisés par les attaquants ont pour objectif de compliquer la tâche de retro ingénierie qui permet de trouver la véritable logique du programme.

Des outils sont disponibles pour mener ce travail : PEid, cryptors, compilers, UPX, ASpack.

  • Trouver les informations exécutables portatives :

Le format de ces exécutables à trouver est le même format de fichier exécutable utilisé sous Windows.

L’analyse de leurs métadonnées permettra de connaitre la date de compilation, les fonctions importées et exportées par le programme, les bibliothèques liées, la version.

Les outils tels que PE Explorer, Portable executable scanner, Resource hacker et PEview peuvent être utilisés pour extraire les informations mentionnées plus haut.

  • Identification des dépendances de fichier :

Pour fonctionner correctement, certains malwares ont besoin de travailler avec des fichiers système internes.

Les programmes stockent les fonctions d’importation et d’exportation dans le fichier kernel32.dll.

Les fonctions de librairie permettent de deviner ce qu’un malware peut faire.

Exemple d’outils utilisables : Dependency walker, Dependency check, Snyk, hakiri, retireJS.

  • Démontage du malware :

Cette technique consiste à démonter le code binaire et analyser le code d’assemblage.

En se basant sur la reconstruction du code d’assemblage, il est possible d’inspecter la logique du programme.

Outils utilisables : WINDBG, PROCDUMP, KD.

IV.3.2 Analyse dynamique 

Avec ce type d’analyse, il est question d’exécuter le malware sur un système afin de comprendre son comportement après infection. Mais cela nécessite d’avoir un environnement sûr comme Sandboxing, VMs.

L’analyse se fait en deux étapes :

  • Etablissement des lignes de base du système : prendre des clichés instantanés pour avoir des références de comparaison, inclure des détails au début de l’analyse sur le système de fichier, les registre, les ports ouverts, etc.
  • Contrôle de l’intégrité de l’hôte : surveiller le comportement pour détecter les changements du système.

L’analyse dynamique comprend :

  • Contrôle de port :

Des outils comme netstat, TCPview, etc. permettent d’avoir des informations sur l’ensemble des ports ouverts.

  • Contrôle de processus :

Les malwares se camouflent sous Windows comme de véritables services tels qu’explorer.exe.

Il est nécessaire de surveiller les processus en recherchant ceux suspects.

Outils : MOnit, system explorer.

  • Contrôle de registre :

Un registre stocke le système d’exploitation et les fichiers de configurations des programmes tels que les paramètres, les options.

Les malwares stockent leurs entrées malveillantes dans le registre.

Donc il est nécessaire de faire un contrôle sur le registre.

Des outils comme jv16 Power Tools 2017 permettent d’examiner les changements du registre.

Outils : Regshot, Reg Organizer, Registry viewer.

  • Contrôle des services de Windows :

Le gestionnaire d’utilisateur des services Windows (SrvMan) permet de retrouver la trace des services malveillants initiés par le malware.

Le malware va masquer ces services pour qu’ils ressemblent à ceux de Windows.

Outils : Process hacker, Service manager tray for win, Netwrix service monitor.

  • Contrôle des programmes de démarrage :

Certains malwares lancent parfois des programmes de démarrage. Sous Windows, il est possible d’utiliser Autoruns et Winpatrol pour détecter ces programmes suspects.

Cela se fait en différentes étapes :

  1. D’abord il faut vérifier les programmes de démarrage dans l’éditeur de registre ;
  2. Ensuite vérifier les pilotes des périphériques chargés automatiquement  (C:\Windows\System32\drivers) ;
  3. Vérifier aussi les entrées boot.ini ou bcd (bootmgr) ;
  4. Puis exécuter services.msc–> sort by startup type ;
  5. Enfin, vérifier le dossier de démarrage (C:\ProgramData\Microsoft\Windows\Start\Menu\Programs\Startup).
  6. Analyse / contrôle des journaux des événements (Logs) :

Cela consiste à faire une analyse des activités et enregistrements générés par la machine pour identifier les événements malveillants.

Il existe des outils d’analyse de logs tels que loggly, Logfusion, Netwrix event pour faire ce travail.

  • Contrôle d’installation :

L’installation et la désinstallation de programme laisse des traces dans un système.

Le contrôle de ces traces peut aider à détecter des installations non autorisées.

On peut utiliser les outils comme Mirekusoft install monitor, SysAnalyzer, Comodo programs manager pour surveiller ces installations.

  • Contrôle de dossiers et de fichiers :

Les malwares modifient les dossiers et les fichiers du système après l’avoir infecter.

Pour trouver ces changements, il est possible d’utiliser des vérificateurs d’intégrité tels que TripWire and Netwrix Auditor, Netwrix, Verisys, SIGVERIF.

  • Contrôle des pilotes des périphériques :

Les pilotes provenant de sources non fiables peuvent intégrer des malware. Il est possible de vérifier cela en exécutant msfinfo32–>Software Environment–>System Drivers.

Utiliser l’outil Driver View tool pour controller les pilotes suspects.

  • Contrôle du traffic réseau :

Les outils de scan du réseau peuvent être utilisés pour surveiller l’ensemble des trafics passant par des Backdoors vers un attaquant.

Wireshark, capsa network analyzer et Nessus sont des outils de capture et d’analyse de trafic réseau.

  • Contrôle DNS :

DNS CHANGER est un malware qui permet à un attaquant de changer les paramètres d’un serveur DNS.

Donc il faut vérifier et identifier les types de connexion sur les serveurs DNS en utilisant les outils comme DNS CHANGER, DNSstuff, DNSlookup tool, sonar.

  • Contrôle d’API :

Les APIs (Application Programming Interfaces) font partie des systèmes d’exploitation Windows et permettent aux applications externes d’avoir accès aux informations du système d’exploitation tels que les threads, les erreurs, le registre, le noyau du système d’exploitation, etc.

Donc les malwares peuvent utiliser ces APIs pour accéder à ces informations et causer beaucoup de dégâts.

V. Analyse de cheval de Troie ZEUS / ZBOT


ZEUS et ZBOT sont des chevaux de Troie bancaire qui permettent de voler des informations confidentielles.

ZEUS est difficile à détecter. Il se propage par le biais des téléchargements qui se font à l’insu de la personne et par les procédés de l’hameçonnage.

ZEUS comporte 3 fichiers .dll :

  • Kernel.dll : ce fichier permet de manipuler et d’accéder aux fichiers mémoires ;
  • Advapi32.dll : il permet d’accéder et de manipuler le gestionnaire de registre et de service
  • User32.dll : il permet d’afficher et de manipuler des graphiques.

VI. Les contremesures


VI.1 Contremesures pour les chevaux de Troie

Pour éviter d’être infecter par un cheval de Troie, il faut :

  • Eviter d’ouvrir des emails provenant d’expéditeurs inconnues ;
  • Bloquer tous les ports inutilisés et non nécessaires ;
  • Eviter d’accepter les messages instantanés ;
  • Désactiver les protocoles et services inutiles ;
  • Contrôler le trafic du réseau interne ;
  • Eviter de faire des téléchargements sur des sources non fiables ;
  • Installer des correctifs et des mises à jour de sécurité pour le système d’exploitation et les applications ;
  • Scanner les clés USB et DVD avec un antivirus avant de les utiliser ;
  • Utiliser un antivirus basé sur l’hôte, un pare-feu, un IDS/IPS.

VI.2 Contremesures pour les Backdoors

Pour éviter d’être infecter par un Backdoor, il faut :

  • Eviter les logiciels non fiables ;
  • Utiliser des antivirus comme McAfee et Norton ;
  • Inspecter les paquets transitant le réseau ;
  • Ne pas se diriger vers les sites non fiables ;
  • Suivre les projets open source qui entrent dans l’entreprise.

VI.3 Contremesures pour les Virus

Pour éviter d’être infecter par un virus, il faut :

  • Utiliser régulièrement de l’antivirus ;
  • Elaborer une politique d’antivirus ;
  • Faire attention aux instructions sur Internet ;
  • Effectuer des sauvegardes régulièrement ;
  • Rester informé sur l’arrivée de nouveaux types de virus ;
  • Effectuer un nettoyage du disque et un scan de registre une fois par semaine ;
  • Exécuter l’antivirus une fois par semaine ;
  • Ne pas ouvrir de fichier contenant plus d’une extension de type de fichier ;
  • Eviter d’ouvrir des emails provenant d’expéditeurs inconnues.

VI.4 Les logiciels antivirus et anti-cheval de Troie

Voici quelques antivirus et anti-cheval de Troie conseillés : KASPERSKY INTERNET SECURITY, BITDEFENDER INTERNET SECURITY, MCAFEE, NORTON SECURITY PREMIUM, AVG ANTIVIRUS FREE, AVIRA, PANDA ANTIVIRUS PRO.

VII. Les étapes d’un test de pénétration anti-malware


Pour faire un test de pénétration, il faut suivre successivement les étapes :

Etape 1 : rechercher des ports ouverts, en utilisant netstat.

Etape 2 : rechercher des processus en exécution, avec l’outil process monitor.

Etape 3 : rechercher des entrées de registre, avec jv16 Power tools 2017.

Etape 4 : rechercher des services Windows en cours d’exécution, avec SrvMan et advance win service man.

Etape 5 : rechercher des programmes de démarrage Windows, avec Autoruns ou winpatrol.

Etape 6 : rechercher des logs, en utilisant Loggly, solarwinds, event manager.

Etape 7 : rechercher des programmes installés, avec Mirekusoft install monitor, sysanalyzer.

Etape 8 : rechercher des dossiers et des fichiers, en utilisant SIGVERIF & TRIPWIRE.

Etape 9 : rechercher des pilotes de périphérique, avec Driverview, driver reviver.

Etape 10 : rechercher des activités sur le réseau, en utilisant Capsa network analyzer, Wireshark.

Etape 11 : rechercher des paramètres de serveur DNS, avec DNSQuerysniffer.

Etape 12 : rechercher des API, avec API monitor.

Etape 13 : effectuer des scans anti-malware, avec Anti malware scanning.

Etape 14 : élaborer un document constitué de solutions pour contrer les malware.