RootDev

Appearance

Malware

Rédigé le 05/04/2024

Comparaison

Les logiciels malveillants, abrégés en "malware", représentent une menace importante pour la sécurité informatique, car ils peuvent infecter les systèmes et exécuter diverses actions nuisibles, telles que le vol d'informations, la destruction de données ou la perturbation des opérations normales du système. Comprendre les types de malware et leur propagation est crucial pour les candidats à la certification Security Plus. Les malwares se composent généralement de deux composants : un mécanisme de propagation et une charge utile.

  • Mécanisme de propagation : C'est la manière dont le malware se propage d'un système à un autre. Il varie selon les différents types de malware.

  • Charge utile : C'est l'action malveillante que le malware exécute, telle que le vol de données, le chiffrement de fichiers ou la surveillance de l'activité utilisateur.

Types de Malwares :

  • Virus : Les virus se propagent par les actions des utilisateurs, comme l'ouverture de pièces jointes infectées par e-mail ou le clic sur des liens malveillants. L'éducation des utilisateurs est essentielle pour prévenir les infections virales.

  • Vers : Les vers se propagent de manière autonome, sans interaction de l'utilisateur, en exploitant les vulnérabilités du système. Maintenir les systèmes à jour avec les derniers correctifs est essentiel pour se défendre contre les vers.

  • Chevaux de Troie : Nommé ainsi en référence à l'histoire grecque du Cheval de Troie, ces objets malveillants se déguisent en logiciels légitimes. Lorsque les utilisateurs les installent et les exécutent, ils exécutent des actions malveillantes en arrière-plan. Le contrôle des applications est efficace pour prévenir les infections par des Chevaux de Troie.

Exemples notables :

  1. Ver RTM (1988) : La première épidémie notable de ver, créée par Robert Tappan Morris, a infecté une partie significative de l'internet naissant, mettant en évidence l'importance de la sécurité sur Internet.

  2. Ver Stuxnet (2010) : Un ver sophistiqué qui ciblait les installations d'enrichissement d'uranium en Iran, causant des dommages importants et attirant l'attention sur les capacités de la cyber-guerre.

Stratégies de défense :

  1. Éducation des utilisateurs pour prévenir les infections virales.
  2. Mise à jour régulière des systèmes pour se défendre contre les vers.
  3. Contrôle des applications pour prévenir les infections par des Chevaux de Troie.

Comprendre les différences entre ces types de malwares et mettre en œuvre des stratégies de défense appropriées est essentiel pour sécuriser les systèmes informatiques contre les menaces malveillantes. Cette connaissance est vitale pour la préparation à l'examen Security Plus.

Les charges utiles

Comme mentionné dans le point précédent, chaque type de malware possède deux caractéristiques distinctives : un mécanisme de propagation déterminant sa manière de se propager d'un système à un autre, et une charge utile qui livre un contenu malveillant aux systèmes infectés.

Publiciels (Adware) :

Les publiciels sont des logiciels malveillants qui ont pour but spécifique d'afficher des publicités. Contrairement à la publicité en ligne légitime, qui permet de générer des revenus pour les fournisseurs de contenu, les publiciels génèrent des revenus pour l'auteur du malware. Les publiciels peuvent utiliser divers mécanismes pour afficher des publicités indésirables, comme les redirections de recherche, les fenêtres publicitaires intempestives, ou le remplacement des annonces légitimes par celles qui bénéficient à l'auteur du malware.

Logiciels espions (Spyware) :

Les logiciels espions sont des logiciels malveillants qui recueillent des informations à l'insu de l'utilisateur, puis les transmettent à l'auteur du malware. Ces informations peuvent être utilisées à des fins de vol d'identité, de piratage de comptes financiers, voire d'espionnage. Les logiciels espions utilisent diverses techniques telles que les enregistreurs de frappe, la surveillance de la navigation web et la recherche de données sensibles sur les disques durs.

Rançongiciels (Ransomware) :

Les rançongiciels bloquent l'utilisation légitime d'un ordinateur ou de données jusqu'à ce qu'une rançon soit payée. Ils chiffrent généralement les fichiers avec une clé secrète et exigent le paiement d'une rançon pour obtenir la clé de déchiffrement. Un exemple célèbre est WannaCry, qui a infecté de nombreux systèmes connectés à Internet en 2017 en chiffrant des fichiers et en demandant une rançon en Bitcoin.

Cryptomalware :

Le cryptomalware est un type de malware qui utilise la capacité informatique d'un système pour miner des cryptomonnaies telles que le Bitcoin, générant ainsi des revenus pour l'auteur du malware. Contrairement au rançongiciel qui demande une rançon, le cryptomalware exploite simplement les ressources du système infecté pour son propre bénéfice.

Pour prévenir les infections par les malwares, il est essentiel d'installer et de maintenir à jour un logiciel antivirus, d'appliquer rapidement les correctifs de sécurité et de sensibiliser les utilisateurs aux dangers des malwares. Les charges utiles de malware peuvent varier dans leur intention spécifique, mais elles compromettent toutes la sécurité des systèmes.

Backdoors et bombes logiques

Les virus, les vers, les chevaux de Troie, les publiciels, les logiciels espions et les rançongiciels ont tous une chose en commun : ce sont des programmes indépendants écrits par des développeurs de malwares pour livrer une charge utile malveillante. Cependant, certains malwares ne suivent pas ce schéma; au lieu d'être des programmes indépendants, ce sont des morceaux de code insérés dans d'autres applications dans un but malveillant. Parlons de deux types de malwares qui entrent dans cette catégorie : les portes dérobées (backdoors) et les bombes logiques (logic bombs).

Backdoors

Une porte dérobée se produit lorsqu'un programmeur fournit un moyen de se donner ou de donner à d'autres un accès futur à un système. Ils le font généralement avec de bonnes intentions. Ils peuvent simplement essayer de faciliter la programmation pour ne pas avoir à se connecter constamment avec des identifiants d'utilisateur, ou ils peuvent fournir un mécanisme pour permettre l'accès ultérieur si un client se verrouille de son propre système. Mais ces portes dérobées peuvent avoir des effets secondaires non intentionnels. Le client peut ne pas vouloir que le vendeur ait accès au système une fois installé, et les portes dérobées peuvent tomber entre de mauvaises mains, surtout si elles sont publiées dans le manuel de l'utilisateur. Les portes dérobées se produisent à travers plusieurs mécanismes différents. Parfois, ce sont des comptes codés en dur où il y a un nom d'utilisateur et un mot de passe spécifiques qui accorderont toujours l'accès à un système. Dans d'autres cas, il y a des mots de passe par défaut que les utilisateurs pourraient ne pas se rappeler ou savoir changer. Et enfin, il peut y avoir des canaux d'accès inconnus où il y a un moyen d'accéder à un système sans passer par le processus d'authentification normal.

Les bombes logiques

Une bombe logique est un malware qui est configuré pour exécuter une charge utile lorsque certaines conditions sont remplies. Cela peut être une date et une heure spécifiques, la modification du contenu d'un fichier pour contenir des informations de déclenchement spécifiques ou les résultats d'un appel API. Dans un exemple concret de bombe logique, en 2003, une bombe logique a frappé de nombreux systèmes informatiques gouvernementaux en Corée du Sud. Les bombes logiques remontent aux premiers jours de l'informatique, lorsque, en 1989, la bombe logique du vendredi 13 est restée dormante sur les systèmes jusqu'à ce que le calendrier indique qu'il était à la fois le 13e jour du mois et un vendredi avant de délivrer sa charge utile.

Les portes dérobées et les bombes logiques représentent tous deux des risques significatifs pour la sécurité des applications. En plus des contrôles anti-malwares standard, il faut régulièrement changer les mots de passe par défaut, désactiver les comptes inutilisés et surveiller les bulletins de sécurité pour être informé des bombes logiques et des portes dérobées dans les logiciels utilisés par une organisation.

Malwares avancés

Rootkits

Les rootkits, initialement conçus pour l'élévation de privilèges, sont des logiciels malveillants qui s'infiltrent dans les systèmes et fournissent un accès super-utilisateur non autorisé. Ces programmes sont utilisés par les pirates informatiques pour dissimuler leur présence sur un système et exécuter diverses activités malveillantes, telles que l'installation de portes dérobées ou de logiciels espions. Les rootkits peuvent fonctionner soit en mode utilisateur, soit en mode noyau, ce dernier étant plus difficile à détecter en raison de ses privilèges étendus. Par conséquent, les rootkits présentent un défi important pour les professionnels de la sécurité en raison de leur capacité à échapper à la détection et à contourner les défenses traditionnelles contre les malwares.

Virus sans fichier (fileless viruses)

Les virus sans fichier représentent une évolution dans les tactiques des malwares, évitant la détection en n'écrivant jamais de données sur le disque. Au lieu de cela, ils s'exécutent entièrement dans la mémoire de l'ordinateur, ce qui les rend particulièrement difficiles à détecter pour les logiciels antivirus traditionnels. Ces malwares peuvent être introduits dans un système via diverses méthodes, telles que l'exécution de code JavaScript téléchargé à partir d'un site Web. De plus, ils peuvent maintenir leur persistance en enregistrant une copie d'eux-mêmes dans le registre Windows, assurant ainsi leur réapparition en mémoire après chaque redémarrage du système. En raison de leur nature insaisissable, les virus sans fichier posent un défi supplémentaire pour les professionnels de la sécurité, nécessitant des stratégies de défense avancées pour prévenir les infections et protéger les systèmes contre les attaques malveillantes.

Les Botnets

Les botnets, ou réseaux de zombies, sont des collections d'ordinateurs infectés utilisés à des fins malveillantes. Ils représentent un réseau d'ordinateurs compromis par des hackers pour diverses activités néfastes. Un hacker créant un botnet commence par infecter un système avec un malware, délivré par diverses techniques telles que les vers, les chevaux de Troie ou les virus. Une fois le contrôle du système obtenu, il le relie au botnet. Le système reste alors dormant, en attente d'instructions ultérieures de l'opérateur du botnet.

Généralement, les hackers qui créent des botnets ne les utilisent pas eux-mêmes. Ils les vendent ou les louent à d'autres personnes qui les utilisent pour envoyer du spam, mener des attaques par déni de service distribué, miner des cryptomonnaies ou effectuer des attaques par force brute contre des mots de passe. Les hackers doivent contrôler leurs botnets d'une manière ou d'une autre. Ils utilisent des mécanismes de commande et de contrôle indirects, tels que les canaux IRC, les comptes Twitter ou les communications pair à pair au sein du botnet lui-même, pour cacher leur emplacement réel.

Fonctionnement des botnets

  1. Le hacker infecte de nombreux systèmes dans le monde entier avec un logiciel malveillant.
  2. Ces systèmes infectés deviennent des bots dans un botnet.
  3. Ils peuvent ensuite propager cette infection à d'autres systèmes, augmentant ainsi la taille du botnet.
  4. Ces systèmes se connectent à un réseau de commande et de contrôle conçu par le propriétaire du botnet et reçoivent des instructions.
  5. Ils exécutent ensuite ces instructions, souvent en envoyant du spam ou en menant des attaques par déni de service sur Internet.

Scripts malveillants

Les scripts sont simplement une séquence d'instructions qu'un développeur fournit à un ordinateur, lui indiquant comment exécuter une série d'actions.

Les types de scripts

  1. Scripts Shell

    Les scripts Shell sont conçus pour être exécutés en ligne de commande et sont généralement intégrés au système d'exploitation, permettant au développeur de manipuler des fichiers et d'effectuer d'autres tâches système.

  2. Scripts d'application

    Les scripts d'application sont intégrés à une application logicielle et permettent une interaction avec cette application de manière programmatique.

  3. Langages de programmation polyvalents

    Les langages de programmation polyvalents nous permettent d'écrire des scripts pour effectuer virtuellement n'importe quelle tâche.

Les risques des scripts malveillants

Les attaquants peuvent écrire des scripts qui créent des portes dérobées pour leur permettre d'accéder, de modifier les autorisations des fichiers ou d'exploiter de nombreuses autres vulnérabilités.

Les langages de scripts à connaître

  • Bash: Utilisé sur les systèmes Linux et Mac pour l'automatisation de tâches système.
  • PowerShell: Joue un rôle similaire sur les systèmes Windows, permettant l'automatisation des tâches Windows.
  • Macros: Exécutées au sein d'un environnement d'application, elles permettent l'automatisation des tâches au sein de cette application.
  • Visual Basic for Applications (VBA): Principalement utilisé par la suite bureautique Microsoft Office.
  • Python: Langage polyvalent permettant d'écrire du code pour effectuer virtuellement n'importe quelle tâche, populaire parmi les développeurs logiciels.

Sources

Ce cours s'inspire du cours sur Linkedin eLearning de Mike CHAPPLE :

https://www.linkedin.com/learning/comptia-security-plus-sy0-601-cert-prep-1-threats-attacks-and-vulnerabilities?contextUrn=urn%3Ali%3AlyndaLearningPath%3A57bdd64992015ae4c0cb990e&dApp=36524473&leis=LAA&u=98048682

Vous, et uniquement vous, êtes responsable de vos actes.

Copyright © 2024 - RootDev.fr par Guilyan - contact@rootdev.fr