MGR850 Automne 2015 Logiciels malveillants École de technologie supérieure (ÉTS) Département de génie électrique 1
Plan Motivation Virus Vers Chevaux de Troie Portes dérobées Logiciels espions Logiciels publicitaires Roootkits Autre Classification 2
Motivation Source: http://rt.com/news/fbi-internet-dnschanger-shutdown-440/ 3
Motivation 4
Malware Les logiciels malveillants ou malware sont des logiciels développés pour des fins malicieuses Ils exploitent les vulnérabilités d'un autre programme ou la naïveté de l usager pour causer des dommages ou usurper des données.. Ils viennent sous diverses formes: Certains se reproduisent Certains détruisent des informations Certains volent des informations Certains dorment jusqu au moment propice 5
Malware Ils sont classés selon: Mode d exécution Mode de propagation Activités malicieuses Classification non parfaite Intersection de différentes classes 6
Malware Trojans (Chevaux de Troie) Worms (vers) Viruses Rootkits Backdoors (Portes dérobées) MALWARE Spyware (Logiciels espions) Logic Bomb (Bombe logique) Crimeware Bots (Ordinateurs zombies) Adware (Logiciel publicitaire) 7
Virus C est le Premier type de malware apparus Un virus s attache à un autre logiciel ou document légitime appelé «hôte» Il se déclenche lorsque le vecteur auquel il a été attaché clandestinement est activé Exemples: ILoveyou, Melissa, 8
Virus Propagation : transfert/copie du programme/document hôte d un système à un autre à travers tout moyen d'échange de données numériques (réseaux, cédéroms, clefs USB, etc.) Source:http://www.euro-reseau.fr/antivirus.php 9
Virus Un mécanisme d infection Comment le virus se reproduit et se propage? Un moyen de déclenchement (trigger) Comment le virus décide d exécuter sa charge utile? Une charge utile (payload) Qu est-ce que fait le virus autrement que de se reproduire et de se propager? 10
Vers Semblables aux virus mais ils sont autonomes Ils modifient le système d'exploitation hôte pour, au moins, faire partie des processus lancés au démarrage. Ils se reproduisent généralement automatiquement grâce à une vulnérabilité logicielle. Exemples des plus célèbres: Moris Worm, Slammer, Sasser, CodeRed, Blaster, 11
Vers Mode de propagation: Se propagent par le réseau vers d autres ordinateurs vulnérables. Utilisent l Ingénierie sociale pour inciter les utilisateurs à les exécuter. Classifications des vers Selon le moyen de déclenchement de l infection (automatique ou usager) Selon le moyen de propagation (Courrier Mass-mailer worms, messagerie instantanée, réseau poste-à-poste (peer-to-peer)) 12
Chevaux de Troie Semblables aux virus car ils sont exécutés en faisant partie d'un autre programme Attachés manuellement au logiciel hôte en apparence inoffensif Ils ne peuvent pas: Infecter d'autres logiciels comme font les virus Se reproduire. 13
Chevaux de Troie Les plus célèbres: Sub7, Back Orifice, Mode de propagation : Compte sur l intérêt des usagers aux logiciels hôtes (souvent de petits jeux ou utilitaires): les inciter à les télécharger (Ingénierie sociale) Exemples: faux antivirus! introduit plutôt des virus. 14
Les portes dérobées peuvent être des fichiers exécutables autonomes. Il peuvent fonctionner comme: Un ver, propagé par un ver le transportant comme charge utile. Un cheval de Troie Objectifs Portes dérobées Contourner les procédures d'authentification afin de fournir un accès à distance à l'ordinateur/réseau où le programme de porte dérobée est en marche. Fournir un contrôle presque total sur la machine attaquée, ce qui permet d'échanger des fichiers, modifier les paramètres système, tuer des processus, ouvrir / fermer le lecteur de CD-ROM, activer / désactiver le moniteur, exécutez un proxy, etc. 15
Un logiciel espion recueille et transmet des informations sur les utilisateurs: Données financières confidentielles, comme numéros de cartes de crédit Mots de passe PINs Toute donnée stockée comme les habitudes de navigation de l usager etc. Logiciels espions Fonctionnent et se propagent comme des chevaux de Troie. 16
Logiciels espions Le mécanisme d'infection: Ces mécanismes sont identiques à ceux des virus, des vers ou des chevaux de troie. Exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa Le mécanisme de collecte d'information: La collecte consiste par exemple à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa Le mécanisme de propagation: Ce mécanisme est généralement assuré via le réseau Internet. 17
Logiciels publicitaires Similaires aux logiciels espions Peuvent être installés sans que l utilisateur en soit conscient Parfois, ils affichent des bannières Leurs principaux buts Déterminer les habitudes d achat en ligne de l utilisateur Faire des publicités sur mesure Leur principal problème est qu ils ralentissent les ordinateurs 18
Rootkit Inséré après prise de contrôle du système. Contient souvent des fonctions permettant de cacher les traces de l'attaque: Supprimer les entrées journal (log) Dissimuler les processus de l'attaquant. Peuvent également inclure des backdoors: Reprendre l'accès plus tard Exploiter des logiciels pour attaquer d'autres systèmes. 19
Autres? La classification n est pas parfaite! Les malwares ne viennent pas avec des étiquettes! 20
Autre Classification Source: http://www.norman.com/security_center/security_center_archive/2010/112804/nl Une autre classification possible basée sur les motivations des créateurs de malware: Generation I: Montrer l intelligence des auteurs. Les auteurs étaient peu nombreux. Generation II: Répandre les logiciels malveillants autant que possible et aussi vite que possible (et dans une certaine mesure pour ruiner les systèmes). Les vers extrêmement répandues du début de ce siècle appartiennent à cette catégorie. 21
Autre Classification Source: http://www.norman.com/security_center/security_center_archive/2010/112804/nl Generation III: Motivations économiques. Utiliser les vulnérabilités de logiciels combinées à des techniques d'ingénierie sociale sont les principaux vecteurs de propagation. Generation IV: Malware, très sophistiqué, dirigée contre une ou plusieurs cibles particulières. Le malware qui appartient à cette catégorie n'est pas utilisé principalement pour gagner de l'argent, mais comme une arme (cyberweapon). 22
Bien comprendre le comportement des divers logiciels malveillants est essentiel pour: Déterminer les menaces qu ils représentent et évaluer les risques correspondants. Déterminer l efficacité des divers moyens de protection. Moyens de protection: Antivirus Conclusion Systèmes de détection d intrusion Basés sur des signatures Basés sur des comportements anormaux 23
DNSChanger: Videos http://www.youtube.com/watch?v=g1coswaf BN4 http://rt.com/news/fbi-internet-dnschangershutdown-440/ http://www.cbc.ca/news/technology/story/2012 /07/06/tech-dnschanger-july9.html 24
25