Antivirus : contournement des « sandboxes »

Magazine
Marque
MISC
Numéro
61
Mois de parution
mai 2012
Spécialités


Résumé

La reconnaissance de code malveillant par le biais d’une liste de signatures n’est plus considérée comme efficace face aux techniques d'encodage, de mutation (polymorphisme, métamorphisme, ...) ou d'obfuscation de codes malicieux. Un bon nombre d'éditeurs d'antivirus se sont vus forcés de compléter leurs mécanismes de détection traditionnels par des approches heuristiques et d'émulation de code (sandbox). Nous vous proposons dans cet article de mettre ces techniques de détection à l’épreuve et d’essayer, malgré tout, d’exécuter nos payloads Metasploit favoris.


1. Introduction

Metasploit [1] est un Framework de développement d’exploits contenant à ce jour plus de 750 exploits pour environ 230 payloads. Alors que l’exploit permet d’abuser de la vulnérabilité d’un hôte, le payload définit l’action à entreprendre (ou le code à exécuter) lorsque cette exploitation se réalise avec succès. L’utilisation d’un payload seul (sans exploit) comme outil de compromission est également possible en le générant sous format de fichier exécutable, C++, Perl, Ruby, etc. Enfin, afin d’empêcher la détection d’un payload par l’antivirus de la victime, Metasploit fournit également une suite d’encodeurs permettant l’obfuscation de celui-ci, dans l'espoir d'empêcher toute reconnaissance sur base d'une signature.

La raison qui nous a poussés à réaliser cette étude résulte du fait que malgré l’application de plusieurs encodages en série, nos payloads restent identifiables par un grand nombre d’antivirus,...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Présentation des EDR et cas pratiques sur de grands parcs

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

Réduire le temps de détection d'une attaque et sa remédiation est un enjeu crucial. Une technologie apportant de nouvelles solutions fait parler d'elle, son nom : EDR pour Endpoint Detection and Response. Mais qu'est-ce qu'un EDR, comment l'évaluer, le déployer ? Comment se démarque-t-il des autres solutions du marché ?

Analyser une attaque utilisant l’outil d’intrusion commercial Cobalt Strike

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

2020 a confirmé que Cobalt Strike était bel et bien entré dans la boîte à outils de la plupart des groupes d’attaquants. D’Ocean Lotus au groupe derrière les attaques de Solar Winds, Cobalt Strike est partout. Que vous travaillez en SOC ou en threat intelligence, il est probable que vous allez rencontrer ce malware dans votre activité. Cet article fournit quelques clés afin d’analyser une attaque utilisant Cobalt Strike.

Introduction au dossier : EDR – Quel apport pour la sécurité de votre parc ?

Magazine
Marque
MISC
Numéro
116
Mois de parution
juillet 2021
Spécialités
Résumé

La supervision de la sécurité des terminaux est souvent le parent pauvre des directions informatiques. Pendant longtemps, l’alpha et l'oméga en matière de gestion de la sécurité des terminaux se sont résumé à un antivirus, avec dans le meilleur des cas une console centralisée, l’application des patch tuesday et une authentification via contrôleur de domaine sans droits d'administration pour les usagers.

Désamorcer des bombes logiques

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Spécialités
Résumé

Aujourd’hui, les développeurs de code malveillant sont capables de contourner les mesures de sécurité et les techniques d’analyse les plus poussées grâce à de simples mécanismes appelés « bombes logiques ». Un exemple significatif est le Google Play qui accepte toujours des applications malveillantes pouvant déjouer ses barrières de sécurité. Cette introduction aux bombes logiques permet de sensibiliser sur les différentes solutions pouvant être mises en place pour détecter ces artifices.