mercredi 19 octobre 2016

Antivirus, cryptolocker et analyse heuristique

Pour le contexte, ce billet est une pure fiction : toute ressemblance avec des faits réels serait fortuite. De plus, les propos tenus ici n’engagent que moi et en aucun cas mes employeurs, présents, passés ou futurs.

Imaginons…

Imaginons qu’une personne dans une entreprise reçoive par mail une pièce jointe suspecte et que cette personne, ignorant toutes les consignes de sécurité qui ont pu être communiquées précédemment, décide d’ouvrir cette pièce jointe. Imaginons que cette pièce jointe ne soit pas une simple photo de vacances comme le laissait présumer le mail, mais soit en réalité un loader de cryptolocker (via un raccourci Windows (.lnk) qui exécute du code powershell pour télécharger et exécuter le code malveillant).

Tant que nous sommes dans l’imagination, ajoutons à cette entreprise plusieurs partages réseau, des ordinateurs sous Windows et protégés par un antivirus légèrement alcoolisé.

Vous avez saisi l’idée ?

Alors que devrait-il se passer ?

Réponse attendue : Rien, l’antivirus détecte la pièce jointe comme suspecte, la détruit et tout le monde continue comme si de rien n’était.

Vous vous doutez bien que si on est ici, c’est que ce n’est pas le cas.

Réponse correcte : L’antivirus détecte bien un truc bizarre mais, pour une raison encore inexpliquée à ce jour, permet malgré tout le téléchargement du code malveillant.

Oui, mais c’est nouveau !

Donc oui, le virus en question, dans le cas présent un ransomware ou cryptolocker, est particulièrement récent pour ne pas être reconnu par les antivirus. Typiquement, une des variantes récupérées montre qu’un nombre très réduit d’antivirus est capable de le détecter.

vir.png
Virus Total le 18 octobre

Oui, mais c’est pas grave, il y a une analyse heuristique !

Eh oui, tous les vendeurs d’antivirus se proclament meilleurs que leurs copains car ils ont une analyse dite heuristique. Pour citer Wikipedia : « Les logiciels antivirus exécutent le code ou le script de fichier à analyser dans un environnement virtuel, tout en analysant les instructions du programme. Cela permet de connaître le comportement du programme tout en isolant le code du fichier suspect de la machine réelle. Si l’antivirus détecte des instructions suspectes comme la suppression de fichiers ou le lancement de processus multiples, le fichier sera reconnu comme un virus et l’utilisateur sera alerté. »

Donc, même si la base virale n’est pas avec la dernière version, l’antivirus va exécuter ce fichier, voir qu’il a un comportement suspect et le bloquer.

Eh ben non…

Dans ce doux rêve que vous venez de suivre, l’antivirus ne sera pas du tout choqué par un programme qui décide de :

  • Accéder à Internet (le ransomware communique avec un serveur pour obtenir/envoyer la clef de chiffrement) ;
  • Lire et supprimer tous (ou quasiment tous) les fichiers en local sur votre machine ;
  • Écrire plein de fichiers dans vos dossiers ;
  • Faire de même sur les partages réseau.

La douche et le réveil

Lorsque l’on se réveille de ce rêve, il est généralement un peu tard car beaucoup de données ont été chiffrées. Après la douche froide, on prend des mesures radicales, typiquement générer une grosse interruption du SI pendant plusieurs jours le temps de s’assurer que tout soit ok, quitte à mettre la production de l’entreprise au ralenti, voire en stand-by total (de toute façon, les données sont sûrement chiffrées, donc illisibles).

Et l’antivirus n’aura donc servi à rien à part à mettre en confiance deux groupes de personnes : les utilisateurs et les décideurs.

Enfin… heureusement vous faites des sauvegardes, hein ?

dimanche 21 février 2016

Installer CyanogenMod sur le Wileyfox Swift (Crackling)

Ayant fait la récente acquisition du Wileyfox Swift, je vais expliquer dans ce billet comment installer CyanogenMod dessus (sans les Google Apps). Avant toute chose, il faut savoir que cela peut : Faire sauter la garantie du téléphone ; Rendre le téléphone inutilisable ; Provoquer une guerre  […]

Lire la suite

jeudi 7 janvier 2016

Forcer un disque à réallouer des secteurs défectueux

Pour me souhaiter une bonne année, un disque dur a décidé de me faire une surprise avec des secteurs défectueux. Voici donc une méthode pour forcer le disque à se « réparer », mais d’abord, un peu d’histoire.Au commencement…Au tout début de l’informatique, on utilisait du support papier pour écrire  […]

Lire la suite

dimanche 3 janvier 2016

11111100000

Bonne année 2016…Je vous souhaite une bonne année 2016. On va espérer qu'elle soit moins dramatique que la précédente, tant sur la partie terrorisme que sur les dérives sécuritaires qui se mettent en place en France (et dans le reste du monde), même si ça semble être utopique… Donc, n’oubliez pas de  […]

Lire la suite

mercredi 23 décembre 2015

Linux Presentation Day

Une idée qui vient d’un LUG allemand (BeLUG) est d’organiser, deux fois dans l’année, une rencontre/présentation de Linux (et du logiciel libre) nommée “Linux Presentation Day”.L’idée est d’avoir un équivalent de Libre en Fête, mais au lieu de rester dans les frontières franco-françaises, ces deux  […]

Lire la suite

- page 1 de 7

Haut de page