MENACES DES LOGICIELS

MALVEILLANTS
S1-M1- SSI
INTRODUCTION AUX MALWARES
MENACES DES LOGICIELS MALVEILLANTS
INTRODUCTION AUX MALWARES
Les Malwares sont des logiciels malveillants qui endommagent ou
désactivent les systèmes informatiques tout en fournissant, au
créateur du malware, un contrôle total ou partiel du système
COMMENT UN MALWARE PEUT S’INTRODUIRE
DANS UN SYSTÈME
Les applications de messagerie Les bugs des applications de mail
instantanée et des navigateurs

IRC NetBios (partage de fichier)

Les périphériques amovibles Les faux programmes

Les sites et les logiciels gratuits

Les pièces jointes
non fiables

Logiciel légitime empaqueté par un Les fichiers, les jeux, les économiseurs
employé mécontent d’écran téléchargés à partir de sites web
LES TECHNIQUES UTILISÉES PAR L’ATTAQUANT POUR
DIFFUSER LE MALWARE SUR LE WEB
Optimisation
Optimisationdes
desmoteurs
moteursde
de Ingénierie sociale
recherche blackhate Click-Jacking
recherche blackhate
Inciter les utilisateurs à utiliser des pages Web
Classement élevé des pages de programmes
innocentes
malveillants dans les résultats de recherche

Malvertising Sites d’hameçonnage

Imiter des institutions légitimes dans une
Embarquer les malwares dans les bannières
tentative de vol d'informations d'identification
publicitaires qui s’affichent sur les sites
de connexion
légitimes ayant une forte activité

Site web légitime Drive-by Downloads

compromis
Exploiter les failles du logiciel de navigation
Héberger des malwares qui se propagent vers
pour installer des logiciels malveillants
les utilisateurs non méfiants
simplement en visitant une page Web
CONCEPT DE CHEVAL DE TROIE
MENACES DES LOGICIELS MALVEILLANTS
PERTES FINANCIÈRES DUES AUX CHEVAUX DE TROIE
Selon le rapport de l'enquête 2014 de Symantec, presque tous les types d'institutions financières sont
ciblées
POURQUOI LE HACKER UTILISE LES CHEVAUX DE
TROIE
Désactiver les
Effacer ou remplacer les
firewalls et les
fichiers critiques de l’OS
antivirus
Générer un faux traffic Créer des
afin d’effectuer une backdoors pour
attaque DOS des accès distant
Enregistrer des captures Infecter le PC de la
d’écran, des vidéos ou des sons victime tel un SRV proxy
à partir du PC de la victime pour relayer une attaque
Utilise le PC de la victime pour Utiliser le PC de la
spammer ou saturer un serveur victime tel qu’un botnet
mail pour une attaque DDOS
Télécharger des Voler des informations tel
spywares, adware ou que les Mdp, code de
des fichiers malicieux sécurité,… en utilisant des
keys loggers
PORTS GÉNÉRALEMENT UTILISÉS PAR LES CHEVAUX
DE TROIE
COMMENT INFECTER UN SYSTÈME EN UTILISANT UN
CHEVAL DE TROIE
Créer un nouveau paquet trojan en utilisant trojan horse construction kit

créer un dropper, qui fait partie d'un paquet trojanisé qui installe le code malveillant
sur le système cible
COMMENT INFECTER UN SYSTÈME EN UTILISANT UN
CHEVAL DE TROIE (SUITE)
Créer un emballage en utilisant un outil pour installer le trojan sur la machine victime

Propager le trojan

Exécuter le dropper (pour déguiser le malware)

Exécuter la charge virale (damage routine)

WRAPPER

Quand l’utilisateur
Le wrapper lie exécute le .exe
l’executable du trojan wrappé, il installe le
à une application trojan en arrière plan
.exe tel que office ou et exécute
un jeu l’application en
premier plan

L’attaquant peut
Les deux envoyer un vœux
programmes sont d'anniversaire qui
wrappés ensemble peut installer le trojan
dans un fichier pendant que
unique l’utilisateur regarde
une animation
DARK HORSE TROJAN MAKER
CHIFFREUR (FORME DE WRAPPER)
Sont des applications utilisés par les hackers pour cacher les virus, keyloggers ou
d’autres malwares dans n’importe quel type de fichier ce qui rend difficile leur
detection par les antivirus
CHIFFREUR (SUITE)
COMMENT L’ATTAQUANT DÉPLOIE UN CHEVAL DE
TROIE
 KIT D’EXPLOITATION
un kit d’exploitation ou un logiciel malveillant est une plate-forme permettant de fournir des exploits et
des charges utiles telles que chevaux de Troie, logiciels espions, etc. sur le système cible
KIT D’EXPLOITATION : INFINITY
KIT D’EXPLOITATION :
KIT D’EXPLOITATION
TECHNIQUES D’ÉVASION D’ANTIVIRUS
Diviser le fichier trojan en plusieurs fichiers et les compresser sous
forme d’un seul fichier

Toujours écrire votre propre trojan et l’embarquer dans une

application

Changer la syntaxe du trojan:

• Convertir un .exe en un script VB
• Changer l’extension .exe en .doc.exe (par défaut Windows cache les
extensions connues tel que .doc, .ppt ou pdf)

Changer le contenu du cheval de Troie en utilisant l'éditeur hexadécimal,

modifier le checksum et chiffrer le fichier

Ne pas utiliser les chevaux de Troie téléchargés à partir du web

(facilement détectables)
TYPES DE CHEVAUX DE TROIE
CHEVAUX DE TROIE COMMANDE SHELL
 Les chevaux de Troie shell commande permet le
contrôle à distance des commandes shell de la
machine de la victime
 Un serveur de chevaux de Troie est installé sur la
machine victime, ce qui ouvre un port permettant
à l’attaquant de se connecter. le client est installé
sur la machine de l'attaquant, qui sert à lancer les
commandes shell sur la machine victime
DEFACEMENT TROJAN
L’editeur de ressources permet de visualiser, d’editer et de
remplacer les chaines de caractères, bitmaps, logo et
icons à partir de n’importe que programme Windows

Il vous permet de visualiser et d’éditer presque tous les

aspects d’un programme Windows compilé, des menus
aux icônes en passant par les boîtes de dialogue.

ils appliquent des applications de personnalisation de style

utilisateur (UCA) pour altérer les applications Windows

Exemple de calc.exe altérée est présenté à coté

DEFACEMENT TROJAN : RESTORATOR
CHEVAUX DE TROIE BOTNET
 Un trojan botnet infecte un grand nombre d’ordinateurs à travers le
monde afin de créer un réseau botnet contrôlé à partir d’un centre de
contrôle et de commande

 Botnet est utilisé pour lancer différentes attaques incluant les attaques
de déni de service, spam, vol d’informations financières
CHEVAUX DE TROIE BOTNET BASÉE TOR
CHEVAUX DE TROIE BOTNET
CHEVAUX DE TROIE PROXY SERVER
Le trojan proxy est généralement une application
autonome qui permet à des attaquants distants
d'utiliser le PC victime tel un proxy pour se connecter
à Internet.

Lorsqu’il infecte une machine, il lance un serveur

proxy caché sur l’ordinateur de la victime

Des milliers de machines sont infectés à travers le

monde par ce type de chevaux de Troie
CHEVAUX DE TROIE :PROXY SERVER
W3bPr0xy Tr0j4n est un trojan proxy serveur qui supporte de
multiples connexions à partir de plusieurs clients et transmet les
adresses IP et N° de ports au propriétaire du trojan
CHEVAUX DE TROIE FTP

Le trojen ftp installe un

serveur ftp sur la machine
victime dont le port ftp est
ouvert

Un attaquant peut alors se

connecter à la machine
victime via le port ftp pour
télécharger les fichiers
existant sur celle-ci
CHEVAL DE TROIE VNC
VNC Trojan lance lance un demon serveur
VNC sur le système infecté

L’attaquant se connecte à la victime en utilisant

VNC viewer

Puisque ce programme est considéré comme un utilitaire, ce

cheval de Troie sera difficile à détecter en utilisant antivirus
CHEVAL DE TROIE VNC
 Hesperbot est un trojan bancaire qui présente des fonctionnalités communes tel
que le log des frappes clavier, capture de screenshot ou de vidéo et la mise en
place d’un proxy distant
 Il crée un serveur VNC invisible permettant à l’attaquant de se connecter à
distant
 Comme VNC ne déconnecte pas l'utilisateur, l’attaquant peut se connecter à la
machine de la victime pendant que l’utilisateur légitime est connecté
CHEVAL DE TROIE HTTP, HTTPS
Le trojan http peut bypasser n’importe quel firewall et
fonctionner dans le sens inverse du tunnel HTTP

ils sont exécutés sur l'hôte interne et engendrent un enfant

à une heure prédéterminée

Le programme enfant apparait au firewall tel un utilisateur

autorisé à accéder à internet
CHEVAL DE TROIE HTTP : RAT
CHEVAL DE TROIE SHTTPD
SHTTPD est un serveur HTTP léger pouvant être embarqué dans n’importe quel programme

Il peut être empaqueté dans n’importe quel programme authentique (jeu chess.exe), qui
une fois exécuté il transforme l’ordinateur en un serveur web invisible
TUNNEL ICMP
 Les canaux cachés sont des méthodes dans lesquelles l’attaquant
peut cacher des données dans un protocole
 Elle s’appuie sur des techniques appelées tunneling, qui permettent
de transférer un protocole sur un autre protocole
 Le tunnel ICMP utilise des requêtes et des réponses ICMP pour le
transport de la charge utile et l’accès ou le contrôle de la victime de
manière furtive
TROJAN D’ACCÈS DISTANT

 Ce trojan fonctionne
comme un accès bureau
distant
 Le pirate obtient un accès et
un contrôle complet de la
machine victime
EXEMPLE DE TROJAN
EXEMPLE (SUITE)
EXEMPLE (SUITE)
TROJEN COVERT CHANNEL CCTT
Le trojan Covert channel tunneling tool (CTT) présente divers techniques d’exploitation, création
de canal de transfert de données aléatoires dans le flux de données autorisé par le système de
contrôle d’accès réseau

Il permet à l’attaquant d’obtenir un serveur shell externe à partir du réseau interne et vis
versa

Il met un TCP/UDP/HTTP CONNECT |POST channel autorisant un flux de données TCP (SSH,
SMTP, POP,…) entre les serveurs internes et externes
TROJAN E-BANKING
 Les trojans e-Banking interceptent les informations du compte de la victime avant leur
chiffrement et les transmets au centre de commande et de contrôle du trojan
 Il vole les données de la victime tel que les numéros de la carte de crédit et les
transmets à l’attaquant via mail, ftp, IRC ou autre
FONCTIONNEMENT DU TROJAN E-BANKING
 Le trojan intercepte le numéro d’authentification de la transaction
(TAN) valide introduit par l’utilisateur
 Il remplace le TAN par un nombre aléatoire qui sera rejeté par la
banque
 L’attaquant peut abuser le TAN intercepté avec les détails dlogin de
l’utilisateur

 Le trojan va crée un faux champs sur les pages e-banking

 Des champs additionnels demande des informations
supplémentaires tel que N° de carte et date de naissance
 L’attaquant peut utiliser ces informations pour imiter et
compromettre le compte de la victime

 Le trojan analyse les demandes de publication et les réponses au

navigateur de la victime
 Il compromet le pad d’authentification virtuel
 Il peut intercepter les entrées du pad d’authentification virtuel tel
que le n° du client et son code d’accés
EXEMPLE ZEUS ET SPYEYE
TROJAN DESTRUCTEUR : M4ST3R
 TROJAN DE NOTIFICATION
 Les trojans de notification envoient l’emplacement de l’adresse IP de la victime à
l’attaquant
 Dès que l’ordinateur de la victime est connécté à internet, la notification est transmise à
l’attaquant
 TROJAN DE MASQUAGE DE DONNÉS (ENCRYPTED)
Le trojan de masquage
chiffre les fichiers de L’attaquant demandera une
données dans le système de rançon ou forcera la victime
al victime et rend les à faire des achats à partir de
informations inutilisables sa boutique en ligne en
contrepartie du mot de passe
de déchiffrement