Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

McAfee passe au crible 30 ans d’évolution de techniques d’évasion

juin 2017 par McAfee

McAfee publie son nouveau rapport sur les tendances en matière de menaces ; malware, ransomware, malware mobile, etc. ; répertoriées au cours du premier trimestre 2017. Intitulé ‘McAfee Labs Threat Report : June 2017’, il rend compte également de 30 ans d’évolution des techniques d’évasion utilisées, telles que la stéganographie, et examine les origines et le fonctionnement du malware voleur de mot de passe : Fareit.

« Il y a des centaines, si ce n’est des milliers, de techniques d’évasion employées par les auteurs de malwares pour déjouer les mesures de sécurité, dont la plupart peut être achetée directement sur le Dark Web », explique Vincent Weafer, Vice-Président de McAfee Labs. « Le rapport de ce trimestre nous rappelle que l’évasion a évolué depuis la dissimulation d’une menace opérant à un endroit unique vers des menaces ciblant un environnement élargi sur une longue période. Ce qui est notamment le cas avec des techniques d’évasion conçues pour contrer les protections basées sur le machine learning. »

30 ans d’évolution de techniques d’évasion utilisées par les malwares Les développeurs de malware ont commencé à expérimenter les premières techniques d’évasion dans les années 80, lorsqu’un programme malveillant s’est défendu en cryptant partiellement son propre code, rendant le contenu illisible par les agents sécurité. Le terme de “technique d’évasion” regroupe toutes les méthodes utilisées par les malwares pour éviter leur détection, analyse et compréhension.

Le McAfee Labs les répertorie en trois catégories :

• Les techniques anti-sécurité. Elles sont utilisées pour éviter la détection par les outils anti-malware, les firewalls, les mises en quarantaine ou tout autre outil de protection.
• Les techniques anti-sandbox. Elles permettent de détecter les analyses automatiques et d’éviter les outils capables de signaler le comportement du malware. Le fait d’analyser les clés de registre, fichiers ou processus relatifs aux environnements virtuels permet au malware de savoir s’il évolue dans un sandbox.
• Les techniques anti-agents. Elles sont utilisées pour détecter ou tromper les agents sécurité, par exemple en décelant les outils de gestion tels que Process Explorer ou Wireshark par exemple.

Le dernier rapport du McAfee Labs examine certaines techniques d’évasion parmi les plus puissantes ainsi que le marché noir associé. Il revient sur la manière dont plusieurs familles de malwares utilisent les techniques d’évasion, ainsi que les tendances à venir en matière d’évasion basée sur le machine learning et le hardware.

Caché à la vue de tous : la menace dissimulée de la stéganographie La stéganographie est l’art de la dissimulation de messages secrets. Dans le monde digital, c’est une pratique consistant à cacher des messages au sein d’images, de pistes audios, de clips vidéo ou de fichiers texte. Souvent, la stéganographie digitale est utilisée par les auteurs de malware pour éviter la détection par les systèmes de sécurité. La première utilisation de la stéganographie dans une cyberattaque remonte à 2011 avec le malware Duqu. Des informations secrètes sont insérées par un algorithme incorporé à une image. Celle-ci est transmise au système visé puis le malware s’installe et extrait les informations. L’image modifiée est souvent difficile à détecter à l’œil nu ou par les technologies de sécurité.

Les chercheurs du McAfee Labs estiment que la stéganographie réseau est la forme la plus récente de cette discipline, comme les champs inutilisés au sein des en-tête de protocoles TCP/IP servant à cacher des données. Cette méthode connaît un véritable essor car elle permet aux attaquants d’envoyer un flux important d’information à travers le réseau.

Fareit : le voleur de mot de passe le plus notoire

Fareit est apparu en 2011 et a depuis évolué de manière plurielle, notamment avec de nouvelles attaques vectorielles, une architecture améliorée et de nouveaux moyens d’éviter la détection. Le voleur de mot de passe le plus notoire à ce jour a sans doute été utilisé lors de l’attaque contre le Comité National Démocrate avant l’élection présidentielle américaine de 2016.

Fareit se propage à la manière d’un email de phishing, d’une contamination du DNS ou d’un exploit. La victime peut recevoir un email de spam contenant un document Word, JavaScript ou un document d’archive. Une fois que l’utilisateur ouvre la pièce jointe, Fareit infecte le système, envoie les informations d’identification volées sur son serveur de contrôle et télécharge ensuite de nouveaux malwares. La faille de sécurité du DNC en 2016 a été attribuée à la campagne de malware : Grizzly Steppe. Le McAfee Labs a identifié les hashes de Fareit dans la liste des indicateurs de compromission publiée par le rapport du gouvernement américain. La souche de Fareit semble être spécifique à l’attaque du DNC et avoir été diffusée par des documents Word envoyés depuis des emails de phishing.

Le logiciel malveillant référencie de multiples adresses de serveur de contrôle qui ne sont pas communément observés dans les échantillons du Fareit original. Il a surement été utilisé simultanément avec d’autres techniques dans la cyberattaque du DNC afin de subtiliser email, FTP et autres informations d’identification. Le McAfee Labs estime également que Fareit a téléchargé d’autres menaces plus avancées telles qu’Onion Duke et Vawtrak sur les systèmes de ses victimes afin de continuer à lancer d’autres attaques.

« Avec des particuliers, entreprises et gouvernements de plus en plus dépendants aux appareils et systèmes protégés par mots de passe, les informations d’identification sont fragilisées, faciles à subtiliser et constituent une cible intéressante pour les cybercriminels », commente Vincent Weafer. « Le McAfee Labs pressent que les attaques utilisant des tactiques de vol de mots de passe auront tendance à augmenter tant que la double authentification (carte à puce ou méthode biométrique) ne sera pas généralisée. La campagne Grizzly Steppe offre un avant-goût des futures tactiques qu’adopteront les hackers. »

Statistiques sur les menaces du premier trimestre 2017

Le réseau Global Threat Intelligence de McAfee Labs a enregistré une tendance notable de l’augmentation des menaces et des cyberattaques au cours des premiers mois de l’année.
• Nouvelles menaces. Au premier trimestre, il y avait 244 nouvelles menaces détectées chaque minute, soit plus de 4 par secondes.
• Incidents de sécurité. Le McAfee Labs a compté 301 incidents de sécurité rapportés publiquement, soit une augmentation de 53 % par rapport au dernier trimestre 2016. Le secteur public, ainsi que les domaines de la santé et de l’éducation comptabilisent plus de 50 % des incidents référencés.
• Malware. Les échantillons de nouveaux malwares ont atteint les 32 millions sur les premiers mois de l’année. Leur nombre total a augmenté de 22 % au cours des quatre derniers trimestres, atteignant 670 millions. Ces nouveaux logiciels ont retrouvé le niveau moyen par trimestre sur les quatre dernières années.
• Malware mobile. Les malwares mobile en Asie ont doublé, contribuant à une augmentation de 57 % du taux d’infection global. Au total, ceux-ci ont atteint 16,7 millions d’échantillons, soit une évolution de 79 % au cours des douze derniers mois. Le programme potentiellement malveillant détecté en Inde, Android/SMSreg, en est le plus gros contributeur.
• Malware Mac OS. De nouveaux malwares ciblant le système d’exploitation Mac OS ont été boostés par une saturation des adwares. Bien qu’ils soient moins significatifs que les menaces Windows, le nombre total d’échantillons de malware ciblant Mac OS a augmenté de 53 % au cours du premier trimestre 2017.
• Ransomware. De nouveaux échantillons de ransomware ont émergé en raison de l’attaque sur les appareils Android OS par le ransomware Congur. Le nombre total d’échantillons identifiés s’élève à 9,6 millions, soit une augmentation de 59 % sur les quatre derniers trimestres.
• Spam botnets. En avril, le cerveau derrière le botnet Kelihos a été arrêté en Espagne. Kelihos était responsable de millions de spams transmettant des malwares et ransomwares bancaires. Le ministère de la Justice américain a salué et reconnu la coopération internationale menée entre les Etats-Unis, les autorités étrangères, la Fondation Shadow Server et les industriels.




Voir les articles précédents

    

Voir les articles suivants