Lutte Anti-Virus Limites des techniques de détection d d'éradication



Documents pareils
Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Installation et mise en sécurité des postes de travail Windows

Indicateur et tableau de bord

Sécurité des Postes Clients

Notions de sécurités en informatique

ISEC. Codes malveillants

Dossier sécurité informatique Lutter contre les virus

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

escan Entreprise Edititon Specialist Computer Distribution

Bilan 2008 du Cert-IST sur les failles et attaques

Introduction aux antivirus et présentation de ClamAV

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Désinfecte les réseaux lorsqu ils s embrasent

NETTOYER ET SECURISER SON PC

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Les attaques APT Advanced Persistent Threats

Télécharger et installer un antivirus gratuit. Aujourd'hui, aucun ordinateur n'est à l'abri du risque d'infection lié aux virus informatiques.

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

tuto Avira-Antivir tesgaz 8 septembre 2006

Managed VirusScan et renforce ses services

Résultats test antivirus ESIEA

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Besoin de protection? Nous avons

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

SOPHOS - Endpoint Security and Control.doc

Sécurité des systèmes informatiques Introduction

Module de sécurité Antivirus, anti-spam, anti-phishing,

Décompresser, créer une archive au format «ZIP»

Comment Repérer les Faux Logiciels Antivirus Par l équipe FortiGuard Labs de Fortinet.

Pourquoi choisir ESET Business Solutions?

Feuille de données Outpost Antivirus Pro 2009 Antivirus de haute vitesse qui vous tient à la tête du jeu

Artica. VIPTrack avec la Messagerie. Révision Du 21 Mars version

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Les méthodes utilisées pour compresser, puis décompresser un fichier pour en faire une archive, pour les débutants.

PPE 1 : GSB. 1. Démarche Projet

TREND MICRO. Le spécialiste de la lutte contre les codes malicieux. Pierre MORENO Responsable Partenaire Trend Micro France

Protection Sophos contre les menaces sur les systèmes d extrémité

SECURIDAY 2013 Cyber War

Les dossiers compressés (ou zippés)

Positionnement produit

Menaces et sécurité préventive

Document de présentation technique. Blocage du comportement

Gestion des Incidents SSI

Nouveaux outils de consolidation de la défense périmétrique

Comment protéger ses systèmes d'information légalement et à moindre coût?

Guide d administration basique. Panda Security

Sécurité des réseaux Les attaques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Une nouvelle approche globale de la sécurité des réseaux d entreprises

MailCube MC 2. 2,5 jours / homme / an. 33 milliards de kwh. 17 millions de. 3,1 millions de. nouvelle génération. Le spam en quelques chiffres :

Présenté par : Mlle A.DIB

NETTOYER ET SECURISER SON PC

SÉCURITE INFORMATIQUE

Configurer Avast 7. La version 7 apporte quelques nouveautés : - Le Cloud. Étape 1 : Téléchargement

Avira Professional Security Migrer vers Avira Professional Security version HowTo

Filtrage de messagerie et analyse de contenu

SECURITE DES DONNES. Comment éviter d irrémédiables dégâts. Dr. Jacques Abbeels

La protection des données sensibles et confidentielles

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Jean-Pierre Lovinfosse. En finir. avec les virus. Groupe Eyrolles,2004 ISBN

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Protection pour site web Sucuri d HostPapa

Auto réparation des postes de travail Comprendre et déployer les mises à jours de TSC avec OfficeScan Corporate 5.5

Fiche Technique. Cisco Security Agent

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

COMMENT EFFECTUER UNE ANALYSE VIRALE EN LIGNE

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Guide de démarrage rapide

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS

Marshal Gateway Security

Virus GPS. Un Ver dans la Tempête

Guide de l utilisateur

Console de gestion Messagerie SMTP/IMAP/POP3

Nouvelle approche pour la protection complexe des réseaux d entreprise. Kaspersky. OpenSpaceSecurity

POURQUOI AVG EST MEILLEUR POUR VOUS


La protection des systèmes Mac et Linux : un besoin réel?

s é c u r i t é Conférence animée par Christophe Blanchot

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Sophos Computer Security Scan Guide de démarrage

La Pédagogie au service de la Technologie

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Avantages. Protection des réseaux corporatifs de gestion centralisée

Configuration de Trend Micro Internet Security (PC-cillin version 11)

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Symantec MessageLabs Web Security.cloud

Transcription:

Industrie Service Tertiaire Groupe On-x Lutte Anti-Virus Limites des techniques de détection d et d'éradication Philippe.Bourgeois (à) cert-ist.com Jerome.Rochcongar (à) edelweb.fr Agenda Les faiblesses connues des anti-virus Cas des archives malformées : Etude Cert-IST Eradication de virus persistants : Retour d expérience et recommandations Recommandations Cert-IST Nota : "Virus" est utilisé ici pour désigner tout type de code malveillant : virus, ver, trojan, rootkit, page 2

Faiblesses connues des anti-virus Fonctionnent essentiellement par signature Reconnaissent facilement les virus déjà connus Mais sont souvent aveugles face à des variantes de ces attaques Faiblesse intrinsèque (par conception) Doivent traiter de multiples formats et encodages Archives (ZIP, RAR, TGZ, etc ) Encodage Mime Ne sont pas exempts de bugs (ex : Buffer overflow) Les antivirus ne sont que des logiciels Certains bugs impactent la sécurité : Mise en défaut de l'antivirus (non détection de virus) Ou même mise en danger de la plate-forme hôte (exécution de code) Faiblesse de construction page 3 Faiblesses connues des anti-virus Les antivirus sont une cible d'attaque pour les codes malveillants : Désactivation des anti-virus Dissimulation au moyens de «rootkits» ou de fonctions avancées de la plate-forme (exemple : ADS) Cible activement attaquée Synthèse des "stratégies" d'attaques : Neutralisation (stopper l'antivirus) Contournement (échapper à la détection) Tremplin (utiliser l'anti-virus pour infecter le système) page 4

Evolution du nombre d avis Cert-IST sur les produits anti-virus Une augmentation Emission spectaculaire d'une pré-alertes Cert-IST depuis : mi 2004 CERT-IST/DG-2005.006 (07/10/05) Les anti-virus intéressent les "chercheurs" de failles? Virus utilisant les archives malformées : Sober-X 30 Etudes Systèmatiques 25 : BlackHat 2005 (BoF) Archives malformés 20 (contournement) 15 Failles "traditionnelles" : ZipOfDeath 10(DOS) Entêtes MIME incorrectes (contournement) 5 0 1999 2000 2001 2002 2003 2004 2005 2006 Avis distincts Avis multi-produits Extrapolation sur 2006 page 5 Recherches connues sur la vulnérabilité des anti-virus (1/2) Etude 2005 par des chercheurs de ISS : Première étude systématique dans ce domaine (reverse engineering de code) Vulnérabilités de type «Buffer/Heap overflow» identifiées dans les anti-virus : Computer Associate, ClamAV, F-Secure, Kaspersky, McAfee, Panda, Sophos, Symantec, Trend Micro Etudes sur les archives malformées (Liste) IDefense (octobre 2004) : CAN-2004-0932 à CAN-2004-0936, CVE-2004-2442 Indiquer une taille de zéro dans l'entête ZIP froggz (octobre 2005) ; CVE-2005-3210 à CVE-2005-3235 Ajouter un marqueur "MZ" en tête d'un fichier d'archive (RAR, CAB, ARJ) Andrey Bayora (octobre 2005) : The Magic of magic byte Ajouter un marqueur "MZ" en tête de fichiers ".hmtl", ".bat" ou ".eml" page 6

Recherches connues sur la vulnérabilité des anti-virus (2/2) Thierry Zoller : 17/10/05 : RAR - Evasion of Anti Virus Detection 03/11/05 : F-Prot/Frisk Anti Virus bypass - ZIP Version Header 28/12/05 : New AV-Evasion Methods - Summary New Methods of Evasion : 5 AV Products currently affected : 22 Gateway Solutions affected : 2 19/01/06 : F-Secure AV - Anti-virus Bypass and Buffer Overflow page 7 Agenda Les faiblesses connues des anti-virus Cas des archives malformées : Etude Cert-IST Eradication de virus persistants : Retour d expérience et recommandations Recommandations Cert-Ist page 8

Principe d'une archive malformée Un fichier archive "normal" est légèrement déformé Ex : ajouter "MZ" en tête d'un fichier "ZIP" (Illustration) Le fichier malformé contient un virus : Il n'est plus détecté comme infecté par l'anti-virus (du fait de la malformation) Mais l'outil de décompression (WinZip, WinRar) est capable d'extraire le virus (il n'est pas gêné par la malformation) Risque? Permet de contourner une protection périmétrique (passerelle antivirus) Mais sera normalement stoppé sur le poste utilisateur lorsque le virus sera extrait de l'archive malformée (analyse "à l'accès") page 9 Etude réalisée par le Cert-IST Prolongement d'une étude publiée par "Froggz" en octobre 2005 Construction d'un jeu de test systématique Trois malformations : MZ, MZ+, Null Seize formats d'archive : 7Z, ACE, ARJ, BZ2, CAB, CPIO, ISO, JAR, LHA, LZH, RAR, TAR, TGZ, UUE, XXE, ZIP Test de : Sept antivirus : Avast, ClamWin, F-Secure, Kaspersky, McAfee, Sophos, Trend Micro Quatre outils de manipulation d'archive WinZip 9.0, PowerArchiver 9.26.02, WinRAR 3.51, Windows XP page 10

Résultats de l'étude Résultats : 92 anomalies identifiées 15 anomalies sont préoccupantes. Exemple : Fichier ZIP malformé extractible par WinZip (Détails) Les autres anomalies sont mineures. Exemple : Fichier LZH malformé extractible par WinRar. Conclusion : Il est facile de trouver des anomalies qui permettent de contourner une protection antivirale périmétrique; page 11 Recommandations Cert-IST Pourquoi l'antivirus est-il mis en échec? Hypothèse 1 : L'AV fait entièrement confiance aux octets d'entête pour déterminer la nature du fichier MZ = Exécutable le fichier n'est pas une archive ZIP. Quid des archives auto-extractibles, alors? Hypothèse 2 : L'AV ne comprend pas la structure du fichier et décide qu'il n'est pas dangereux Pourquoi ne pas émettre un avertissement : fichier non compris = fichier suspect Comment améliorer la détection? Emettre un avertissement (ou mise en quarantaine) sur détection d'une anomalie Contradiction entre l'entête du fichier ("MZ") et son extension (".ZIP") Ou toute autre anomalie dans la structure du fichier page 12

Réaction des éditeurs anti-virus Résultats mitigés 3 ont corrigé les anomalies dans le mois qui suivait le rapport d'anomalie. 2 ont corrigé dans les 6 mois suivants, après relances. 2 n'ont pas pris en compte les anomalies signalées (ils sont toujours vulnérables). page 13 Agenda Les faiblesses connues des anti-virus Cas des archives malformées : Etude Cert-IST Eradication de virus persistants : Retour d expérience et recommandations Recommandations Cert-IST page 14

Qu est-ce qu un virus persistant? Tout type de code malveillant (virus, ver, troyen, ) Utilise des techniques de furtivité pour se cacher Utilise des techniques sophistiquées afin d empêcher sa suppression DIFFICULTES de DETECTION et d ERADICATION page 15 Exemple du ver Brontok (1/3) Ver apparu fin 2005 Propagation par messagerie (pièce jointe au mail) copie sur les partages réseau et supports USB Caractéristiques Processus non interruptibles par les moyens propres au système : lancés au démarrage (même en mode sans échec) utilisent le nom de processus systèmes (smss, lsass,...) considérés comme légitimes, critiques et ininterruptibles par Windows Utilisation de la ligne de commande et de Regedit impossible Fichiers infectés et clés de registre recréés en permanence page 16

Exemple du ver Brontok (2/3) Difficultés d éradication Avec un anti-virus en mode scan Brontok détecte le lancement d un antivirus et effectue un redémarrage du poste Avec des outils spécifiques fournis par des éditeurs Inefficaces sur la version du ver testée Manuellement Impossible par les moyens standard Windows car : - éditeur de registre désactivé - pas d accès à la ligne de commande - processus non interruptibles via taskmgr ou mode sans échec -... page 17 Exemple du ver Brontok (3/3) Solutions d éradication Utilisation d outils tiers Arrêt des processus Modification des valeurs de la base de registre Rq: Le lancement de certains outils tiers entraîne un reboot Utilisation de la console de récupération de Windows Accès au système sans que les processus du ver ne soient lancés Suppression des fichiers infectés Réinstallation du poste page 18

Bilan sur les virus persistants Impacts Indisponibilité des postes (mise en quarantaine) Interventions sur les postes infectés (éradication ou réinstallation) Remise en état du SI coûteuse Tendance Développement de ce type de codes page 19 Prévention Recommandations : Prise en compte de ce type de code intégrer les évolutions des virus persistants à la veille antivirale et aux tests des capacités d éradication des logiciels antivirus Protection Mettre en oeuvre une Protection multi-niveaux du SI Utiliser des Moyens de protection différents et complémentaires (plusieurs antivirus, filtrage, contrôle d intégrité, paramétrage des systèmes, des applications,...) Réaction Adapter la gestion de crise et les procédures / scénarios critiques (ex: association code de type Blaster et capacités de persistance) page 20

Prise en compte de la menace liée au code malveillant page 21 Recommandations :Prise en compte de la menace liée au code malveillant Mise en oeuvre d une politique antivirale identification des besoins, des moyens, des responsabilités Veille technique Anticiper les principales crises Application régulière des correctifs Diminuer la vulnérabilité des postes Contrôles multi-niveaux (Passerelles HTTP, SMTP, Messagerie interne, Serveurs de données, postes de travail) Antivirus, Firewall, contrôle d intégrité, NIPS, HIPS Assurer l administration et l exploitation des moyens déployés Contrôle des ordinateurs portables et supports page 22

Agenda Les faiblesses connues des anti-virus Cas des archives malformées : Etude Cert-IST Eradication de virus persistants : Retour d expérience et recommandations Edelweb Recommandations Cert-IST page 23 Constat Le poste utilisateur est devenu la cible Nº 1 des attaques Opportunistes (constitution de "botnets") Ou ciblées (espionnage industriel) L'anti-virus est une protection indispensable, mais pas infaillible Il ne protège que contre une menace déjà identifiée Il peut être parfois contourné Ses capacités de désinfection peuvent être mises en défaut De plus en plus de "chercheurs" s'intéressent aux failles des anti-virus Nota : la "mode" n'est plus à publier des avis de sécurité sur Bugtraq, mais plutôt à garder secret ses trouvailles. page 24

Conclusion Pas de solution miracle Mais une prise de conscience commune permet de maintenir/renforcer les défenses Pour les organismes de veille et les experts Vigilance pour identifier les nouvelles menaces Adapter les outils et procédures à ces menaces Pour les éditeurs de solutions anti-virus Réceptivité (vigilance) face aux "nouvelles" attaques Réactivité Pour l'entreprise : une défense en profondeur Ne pas se limiter à une protection périmétrique Sensibiliser les utilisateurs Protéger l'information au sein de l'entreprise page 25

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back