SlideShare une entreprise Scribd logo
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de
sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace.
Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres
fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Un tel exemple est le malware Double Agent qui repose sur le mimétisme pour poursuivre son attaque. Ce
maliciel suit parfaitement le dicton « si vous ne pouvez pas les vaincre, joignez-vous à eux » en se faisant
passer pour un antivirus. Imaginez-vous le scénario suivant : vous êtes en train d’installer un antivirus afin de
renforcer le niveau de sécurité de votre ordinateur. Ce que vous ne le savez pas encore est que cet outil soi-
disant « de protection » ouvre une nouvelle porte aux pirates.
En effet, les créateurs de Double Agent ne fuient pas les antivirus comme les autres pirates, bien au contraire
ils s’en servent plutôt comme vecteur d’attaque. Découvert par une équipe de chercheurs de Cybellum, le
maliciel réussit à manipuler les antivirus les plus connus sur l’ensemble des systèmes d’exploitation Windows
(à partir de Windows XP jusqu’à au Windows 10 inclusivement). Sur la liste, vous trouverez des noms comme
Avast, AVG, Avira, Bitdefender, Trend Micro, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Norton –
pratiquement la plupart des antivirus existants sur le marché.
Le maliciel a pu passer inaperçu pour la majorité des logiciels de sécurité grâce à une vulnérabilité critique
découverte à peine il y a trois mois qui permet aux cyber-délinquants de prendre le contrôle total d’un
ordinateur à distance.
Un zero-day avec tolérance zéro
Pour toute nouvelle application que nous souhaitons utiliser, une procédure de vérification est réalisée par le
système Windows avant tout lancement proprement-dit de l’application. Ceci est le rôle de l’outil « Application
Verifier » (AP).
L’AP sert également aux développeurs pour identifier ou mettre à jour des applications défectueuses. La
procédure commence d’abord par charger une DLL (Dynamic Link Library ; en français « bibliothèque de liens
dynamiques ») fournie par Microsoft. Une fois enregistré sur la machine, Windows Loader intègre de manière
automatique la DLL dans tous les processus concernés. À partir de ce moment, le système d’exploitation
requiert le chargement automatique de la bibliothèque avant tout démarrage des applications qui en font
appel.
Mais que se passerait-il si quelqu’un arrive à remplacer une DLL officielle par une DLL malicieuse ? Dans ce
cas, elle sera intégrée directement dans tous les processus dépendants de cette bibliothèque sans se faire
détecter par le système. Il ne reste qu’un pas pour prendre le contrôle de l’application et la rendre malicieuse
(voir le PoC de l’attaque Double Agent sur GitHub ici).
En plus de détourner le bon fonctionnement des antivirus, cette technique donne la possibilité d’installer une
porte dérobée sur le système cible et d’extraire même les données personnelles de l’utilisateur.
Comment réagir face à la neutralisation de votre antivirus
Alors que les résultats trouvés par les analystes de sécurité sont sans doute effrayants, il faut souligner que
l’exploit nécessiterait des privilèges d’administrateurs pour mener l’attaque. C’est probablement pourquoi ce
vecteur est fortement surestimé par les géants fournisseurs d’antivirus.
En effet, nous pouvons toujours restreindre les privilèges locaux sur la machine, en utilisant le système
d’exploitation avec un compte d’utilisateur standard plutôt que d’administrateur. C’est une stratégie qui devrait
atténuer ou rendre extrêmement difficile l’exploitation réussie. Cependant, une attaque de type Double Agent
restera toujours possible, même si trop peu probable.
Pourquoi s’intéresser au sujet dans ce cas ? La réponse nous semble évidente : car il est de notre devoir de
considérer sérieusement même les situations les plus improbables.
En un mot, il faudra peut-être arrêter de croire aveuglément dans les capacités des solutions de sécurité
traditionnelles. Comme cela s’observe, même votre propre antivirus peut devenir d’un jour au lendemain un
malware féroce. Pour éviter cet effet indésirable, il faudra faire appel à des outils et à des procédures
complémentaires d’analyse (lire ici notre précédent article sur « Comment gérer les effets secondaires des
antivirus »).
Liens :
https://www.reveelium.com/fr/double-agent-tricks-antivirus/
https://www.itrust.fr/double-agent-zero-day/

Contenu connexe

Tendances

20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
LeClubQualiteLogicielle
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
e-Xpert Solutions SA
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Maxime ALAY-EDDINE
 
Ubuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFUbuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDF
Mohamed Ben Bouzid
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
ITrust - Cybersecurity as a Service
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01
Profasser
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité Thibault Tim
 

Tendances (9)

20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Ubuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDFUbuntu est il un système sécuritairement sain PDF
Ubuntu est il un système sécuritairement sain PDF
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01
 
Sensibilisation à la sécurité
Sensibilisation à la sécurité Sensibilisation à la sécurité
Sensibilisation à la sécurité
 

Similaire à Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité

L'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesL'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meubles
NRC
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
Zyxel France
 
Geek handbook
Geek handbookGeek handbook
Geek handbook
Samuel Beaurepaire
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011mesminlieg
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menaces
ITrust - Cybersecurity as a Service
 
forum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdfforum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdf
alidalikha
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
michelcusin
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
NatijTDI
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
RECOVEO
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
ssuser384b72
 
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
RECOVEO
 
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
RECOVEO
 
Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017
Bastien Bobe
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
ITrust - Cybersecurity as a Service
 

Similaire à Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité (20)

L'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meublesL'antivirus ne fait pas partie des meubles
L'antivirus ne fait pas partie des meubles
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
 
Geek handbook
Geek handbookGeek handbook
Geek handbook
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011
 
Passer de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menacesPasser de la détection d’anomalies à la détection de menaces
Passer de la détection d’anomalies à la détection de menaces
 
forum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdfforum_architectes_ibm_4_cybercriminalite_richard.pdf
forum_architectes_ibm_4_cybercriminalite_richard.pdf
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...
 
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...
 
Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
L’IoT et le soulèvement des machines
L’IoT et le soulèvement des machinesL’IoT et le soulèvement des machines
L’IoT et le soulèvement des machines
 

Plus de ITrust - Cybersecurity as a Service

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
ITrust - Cybersecurity as a Service
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
ITrust - Cybersecurity as a Service
 
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
ITrust - Cybersecurity as a Service
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
ITrust - Cybersecurity as a Service
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
ITrust - Cybersecurity as a Service
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
ITrust - Cybersecurity as a Service
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
ITrust - Cybersecurity as a Service
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
ITrust - Cybersecurity as a Service
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
ITrust - Cybersecurity as a Service
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
ITrust - Cybersecurity as a Service
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
ITrust - Cybersecurity as a Service
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
ITrust - Cybersecurity as a Service
 
Reveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FRReveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FR
ITrust - Cybersecurity as a Service
 
Reveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet ENReveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet EN
ITrust - Cybersecurity as a Service
 

Plus de ITrust - Cybersecurity as a Service (20)

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
 
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécuritéL’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
L’Intelligence Artificielle : un ‘booster’ pour la cybersécurité
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
 
ITrust Company Overview FR
ITrust Company Overview FRITrust Company Overview FR
ITrust Company Overview FR
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
 
Reveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FRReveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FR
 
Reveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet ENReveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet EN
 

Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité

  • 1. Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus… Un tel exemple est le malware Double Agent qui repose sur le mimétisme pour poursuivre son attaque. Ce maliciel suit parfaitement le dicton « si vous ne pouvez pas les vaincre, joignez-vous à eux » en se faisant passer pour un antivirus. Imaginez-vous le scénario suivant : vous êtes en train d’installer un antivirus afin de renforcer le niveau de sécurité de votre ordinateur. Ce que vous ne le savez pas encore est que cet outil soi- disant « de protection » ouvre une nouvelle porte aux pirates. En effet, les créateurs de Double Agent ne fuient pas les antivirus comme les autres pirates, bien au contraire ils s’en servent plutôt comme vecteur d’attaque. Découvert par une équipe de chercheurs de Cybellum, le maliciel réussit à manipuler les antivirus les plus connus sur l’ensemble des systèmes d’exploitation Windows (à partir de Windows XP jusqu’à au Windows 10 inclusivement). Sur la liste, vous trouverez des noms comme Avast, AVG, Avira, Bitdefender, Trend Micro, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Norton – pratiquement la plupart des antivirus existants sur le marché. Le maliciel a pu passer inaperçu pour la majorité des logiciels de sécurité grâce à une vulnérabilité critique découverte à peine il y a trois mois qui permet aux cyber-délinquants de prendre le contrôle total d’un ordinateur à distance. Un zero-day avec tolérance zéro Pour toute nouvelle application que nous souhaitons utiliser, une procédure de vérification est réalisée par le système Windows avant tout lancement proprement-dit de l’application. Ceci est le rôle de l’outil « Application Verifier » (AP). L’AP sert également aux développeurs pour identifier ou mettre à jour des applications défectueuses. La procédure commence d’abord par charger une DLL (Dynamic Link Library ; en français « bibliothèque de liens dynamiques ») fournie par Microsoft. Une fois enregistré sur la machine, Windows Loader intègre de manière automatique la DLL dans tous les processus concernés. À partir de ce moment, le système d’exploitation requiert le chargement automatique de la bibliothèque avant tout démarrage des applications qui en font appel. Mais que se passerait-il si quelqu’un arrive à remplacer une DLL officielle par une DLL malicieuse ? Dans ce cas, elle sera intégrée directement dans tous les processus dépendants de cette bibliothèque sans se faire détecter par le système. Il ne reste qu’un pas pour prendre le contrôle de l’application et la rendre malicieuse (voir le PoC de l’attaque Double Agent sur GitHub ici). En plus de détourner le bon fonctionnement des antivirus, cette technique donne la possibilité d’installer une porte dérobée sur le système cible et d’extraire même les données personnelles de l’utilisateur.
  • 2. Comment réagir face à la neutralisation de votre antivirus Alors que les résultats trouvés par les analystes de sécurité sont sans doute effrayants, il faut souligner que l’exploit nécessiterait des privilèges d’administrateurs pour mener l’attaque. C’est probablement pourquoi ce vecteur est fortement surestimé par les géants fournisseurs d’antivirus. En effet, nous pouvons toujours restreindre les privilèges locaux sur la machine, en utilisant le système d’exploitation avec un compte d’utilisateur standard plutôt que d’administrateur. C’est une stratégie qui devrait atténuer ou rendre extrêmement difficile l’exploitation réussie. Cependant, une attaque de type Double Agent restera toujours possible, même si trop peu probable. Pourquoi s’intéresser au sujet dans ce cas ? La réponse nous semble évidente : car il est de notre devoir de considérer sérieusement même les situations les plus improbables. En un mot, il faudra peut-être arrêter de croire aveuglément dans les capacités des solutions de sécurité traditionnelles. Comme cela s’observe, même votre propre antivirus peut devenir d’un jour au lendemain un malware féroce. Pour éviter cet effet indésirable, il faudra faire appel à des outils et à des procédures complémentaires d’analyse (lire ici notre précédent article sur « Comment gérer les effets secondaires des antivirus »). Liens : https://www.reveelium.com/fr/double-agent-tricks-antivirus/ https://www.itrust.fr/double-agent-zero-day/