La dernière menace : un virus fait juste pour vous

Le virus informatique Flashback a gagné en notoriété plus tôt cette année en tant que premier malware à faire des progrès contre le système d'exploitation relativement intact d'Apple, Mac OS X, infectant les machines de quelque 600 000 victimes au plus fort de l'épidémie.





Mais les informaticiens et les professionnels de la sécurité étaient plus préoccupés par un autre aspect du malware. Les auteurs de Flashback ont ​​utilisé une technique qu'Hollywood utilise souvent pour empêcher la copie de fichiers vidéo et musicaux : ils ont ajouté des fonctions qui liaient le virus à chaque système infecté. L'utilisation de cette technique a empêché les sociétés de sécurité d'exécuter le virus dans leurs laboratoires.

De nouvelles recherches montrent qu'un raffinement de la technique pourrait rendre l'analyse automatisée des logiciels malveillants presque impossible. Paul Royal, chercheur scientifique au Centre de sécurité de l'information du Georgia Institute of Technology , prévoit de révéler le travail au Conférence Black Hat à Las Vegas cette semaine.

Royal et ses collègues de Georgia Tech montrent qu'une forme de protection contre la copie appelée cryptage basé sur l'identité de l'hôte peut crypter des parties critiques d'un programme malveillant avec des clés basées sur des informations glanées sur le système d'une victime, rendant ainsi encore plus difficile l'analyse du spécimen sur un machine différente.



L'analyse des logiciels malveillants que les criminels utilisent pour infecter les ordinateurs des gens est une opération longue, mais nécessaire. Les fabricants de logiciels antivirus collectent régulièrement des échantillons de logiciels malveillants, puis utilisent une analyse automatisée pour générer une collection de caractéristiques d'identification, communément appelée signature.

Alors qu'un analyste individuel peut contourner les restrictions imposées par les auteurs de logiciels malveillants, de la même manière que les protections contre la copie de films peuvent être contournées par les pirates, empêcher les sociétés de sécurité de traiter automatiquement de gros volumes de fichiers nuirait à leur capacité à suivre les attaquants.

Pour le modèle antivirus, cela complique considérablement la prise de la quantité de logiciels malveillants dans les lances à incendie et sa réduction en un sous-ensemble pouvant être analysé de manière pratique par un analyste humain, explique Royal.



Étant donné que les logiciels antivirus dépendent de l'utilisation de telles signatures pour détecter les logiciels malveillants, les cybercriminels tentent régulièrement de rendre l'analyse plus difficile. Au cours de la dernière décennie, par exemple, les attaquants ont utilisé le polymorphisme - une technique pour changer les programmes chaque fois qu'ils sont copiés sur une nouvelle machine - pour rendre l'identification plus difficile. Cette tendance s'est accélérée ces dernières années (voir The Antivirus Era Is Over ).

La base de données des logiciels malveillants gérée par Symantec comprend environ 19 millions de signatures . Dans son rapport annuel sur les menaces de sécurité Internet publié plus tôt cette année, Symantec a déclaré que ses systèmes d'analyse automatisés avaient analysé 403 millions de variantes uniques de programmes malveillants en 2011, soit une augmentation de 41 % par rapport aux 286 millions analysés en 2010. Sans automatisation, cette tâche serait beaucoup plus Plus fort.

Si les logiciels malveillants peuvent arriver à un stade où, même si vous avez le [fichier], qu'il est lié à une machine particulière, cela nous complique la vie, dit Roel Schouwenberg , chercheur principal pour Kaspersky , une autre société de sécurité logicielle. Kaspersky a traité plus d'un milliard d'échantillons via ses systèmes automatisés en 2011.



Si Flashback est une indication de l'avenir et que l'automatisation ne peut plus éliminer l'assaut des fichiers à analyser, alors les sociétés antivirus pourraient voir leurs coûts monter en flèche.

De notre point de vue, nous analysons des centaines de milliers d'échantillons par jour, déclare Dean De Beer, directeur de la technologie de MenaceGRID , une société de services d'analyse de logiciels malveillants. Maintenant, ils lancent cette balle courbe, et nous devons nous asseoir et dire : « Que devons-nous faire pour nous assurer que nous pouvons collecter l'échantillon ? »

Les sociétés antivirus pourraient tenter de déjouer ces logiciels malveillants en créant une machine virtuelle qui semble identique au système de la victime. Mais cela pourrait soulever des problèmes de confidentialité parmi les utilisateurs. Pour rendre l'analyse plus difficile, les auteurs de logiciels malveillants pourraient créer des fonctions qui interprètent les commandes des serveurs de commande et de contrôle à l'aide d'une clé créée à partir d'informations sur l'emplacement réseau de l'ordinateur. Connue sous le nom de localisation de jeu d'instructions, cette technique rendrait les commandes destinées à une machine basée à San Francisco méconnaissables pour une machine basée à Boston.



Les sociétés antivirus espèrent que Royal maintient la discussion à un niveau élevé pour éviter de donner aux attaquants des conseils précis sur la façon d'améliorer leur capacité à verrouiller les logiciels malveillants sur les machines infectées. Le retour en arrière était pénible, dit Schouwenberg. Si la discussion porte sur la façon de rendre cela très facile pour l'attaquant, alors je n'attends pas cela avec impatience.

Royal espère que la présentation servira d'avertissement que les défenseurs doivent résoudre ce problème rapidement. Cette présentation n'est pas une raison pour jeter vos outils d'analyse des logiciels malveillants, dit-il. C'est censé être un avertissement. Nous devons tous nous préparer.

cacher