Antivirus : contournement des « sandboxes »

Magazine
Marque
MISC
Numéro
61
Mois de parution
mai 2012
Domaines


Résumé

La reconnaissance de code malveillant par le biais d’une liste de signatures n’est plus considérée comme efficace face aux techniques d'encodage, de mutation (polymorphisme, métamorphisme, ...) ou d'obfuscation de codes malicieux. Un bon nombre d'éditeurs d'antivirus se sont vus forcés de compléter leurs mécanismes de détection traditionnels par des approches heuristiques et d'émulation de code (sandbox). Nous vous proposons dans cet article de mettre ces techniques de détection à l’épreuve et d’essayer, malgré tout, d’exécuter nos payloads Metasploit favoris.


1. Introduction

Metasploit [1] est un Framework de développement d’exploits contenant à ce jour plus de 750 exploits pour environ 230 payloads. Alors que l’exploit permet d’abuser de la vulnérabilité d’un hôte, le payload définit l’action à entreprendre (ou le code à exécuter) lorsque cette exploitation se réalise avec succès. L’utilisation d’un payload seul (sans exploit) comme outil de compromission est également possible en le générant sous format de fichier exécutable, C++, Perl, Ruby, etc. Enfin, afin d’empêcher la détection d’un payload par l’antivirus de la victime, Metasploit fournit également une suite d’encodeurs permettant l’obfuscation de celui-ci, dans l'espoir d'empêcher toute reconnaissance sur base d'une signature.

La raison qui nous a poussés à réaliser cette étude résulte du fait que malgré l’application de plusieurs encodages en série, nos payloads restent identifiables par un grand nombre d’antivirus,...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Introduction au dossier : Ransomwares : état de la menace

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.