Les logiciels malveillants (malwares)

Avant d’identifier les types de malware existant l’important est de les connaître.

Un malware est un logiciel crée dans le but de prendre le contrôle, voler des informations de façon illégal ou de compromettre un système informatique.
Il en existe une grande diversité eux-mêmes classés selon plusieurs familles.

Parlons des virus, terme souvent employé à tord et à travers et qui tire, légitiment, son nom des virus biologiques qui ont la capacité de se propager et de se dupliquer en utilisant leur hôte.
Les virus rassemblent diverses familles de malwares cependant à ne pas confondre avec les vers.
Un ver utilise un réseau informatique afin de se propager, par le biais d’une intervention humaine ou non ; un virus lui nécessite un hôte.

Botnet, késako ?

A l’origine, les réseaux botnet sont issus de malwares désigné comme backdoor qui comme le nom l’indique:

porte dérobée

Dans le jargon informatique cela signifie l’ouverture d’un port au sein de la machine infecté ( sachant qu’il en existe 65.536 ).
Ce port choisit désormais ouvert, l’attaquant pouvait se connecté à celle-ci et avoir un accès total tout en contournant la procédure d’authentification.
En dépendant tout de même des droits attribués à la session infectée.

Suivi l’évolution et l’apparition du Botnet, qui lui permet lui de ralliés plusieurs machines infecté (ordinateurs, caméras de surveillance et autres) en un serveur central ( C&C, l’acronyme signifiant Command and Control ).
Lequel l’attaquant peut décider en quelques cliques de l’action qu’il souhaite effectué.

malware, botnet schema

Fonctionnement sur un principe de client/serveur, où le serveur est la machine infectée.
Cette infection est à l’origine souvent dû à l’exécution d’un fichier malveillant par un utilisateur et ça, soit directement soit indirectement.

Certains malwares, ou serveur dans le cas correspondant, peuvent être fusionnés avec un logiciel saint et qui se lance avant ou après ce dernier ; rendant ainsi le malware indétectable à l’œil.

Ils peuvent généralement être vus par les utilisateurs dans le gestionnaire des tâches, même si la plus part ne captent pas votre attention.
A savoir, il n’y a pas que Windows qui est susceptible d’être infecté, contrairement aux rumeurs, des logiciels malveillants sont également en capacité de fonctionner dans des environnements Linux, OSX et Android.

Des malwares peuvent aussi être exécutés par le biais d’exploits issus de votre navigateur.
D’où l’importance d’être vigilant à propos des mises à jours proposées par les éditeurs de vos programmes.

 

Le client lui étant l’attaquant.
Les progrès dans ce domaine ont rendu possible l’accès à ce type de manipulation de manière à être beaucoup plus facile d’acquisition même pour une personne ayant des connaissances dîtes superflues.
Ce qui veut dire que même un néophyte peut facilement comprendre le fonctionnement et prendre en main ce type de manipulations malveillantes.
Je vous invite à vous renseigner à propos des peines encourues à ce lien.

Revenons en à aux botnets, à l’origine des réseaux de robots IRC qui se sont étendus aux réseaux de machines infectés ou plus communément appelé aujourd’hui, réseau zombie.
Ils permettent principalement d’effectuer des attaques dites DDoS ( attaques par déni de service, distribué ) soit, brièvement – j’insiste sur ce terme car il existe différentes manière d’opérer une attaque- d’envoyer un nombre incalculable de requêtes dont le serveur ciblé en question n’est plus capable de gérer.
Et donc, devient inaccessible par la suite pour une durée qui reste variable.

malware, botnet schema

RAT

Permettant l’administration à distance de machines infectés, ces frameworks, dont les plus connus :

Spynet
Cybergate
Poison Ivy
Darkcomet
Bifrost
Turkojan

L’un d’eux vous a probablement marqué de son nom. Darkcomet.
Un RAT développé par DarkcometSC programmeur français, en Delphi ( langage informatique ).

Je souhaite prendre celui-ci en exemple car on peut clairement s’apercevoir des conséquences que peuvent avoir ce type de logiciel selon l’utilisation de l’attaquant.
En l’occurence, Darkcomet a été utilisé par les autorités Syrienne lors des révolutions arabes pour contrôler les machines des opposant aux régimes ; DarkCometSC a cessé le développement de son outil d’administration à distance.

Souvent payant, ceux-ci sont-même dans la majorité des cas eux-même dit backdoor par le développeur ou si vous préférez, infecté.
Blackshades en est l’exemple parfait.

malware, darkcommet

Ici l’interface de Darkcomet, cet outil permet le transfert de fichier, la capture d’écran, de webcam, l’exécution de fichier et le vol d’identifiants.

Stealer

Son utilisation dans le même principe que le Backdoor se connecte à un serveur central et reçoit les informations qui ont étaient choisis par l’attaquant.
Lors de l’exécution du fichier malveillant sur une machine tiers, celui-ci récupère toutes les données enregistrées dont le logiciel est capable de reconnaître et de trouver dans le système infecté et les envoient soit sur un serveur web ou mail, par exemple.

Comme le RAT, ce malware est capable de s’enregistrer dans le registre et de s’installer au démarrage du système d’exploitation, tout dépend de la configuration souhaité par l’attaquant.
Il reste cependant rare que l’attaquant décide d’agir ainsi, la plus part des malwares de ce type disparaissent après exécution et de l’envoi des données collectées ce qui rend la détection beaucoup plus compliquée.

Keylogger

A ne pas confondre avec les autres types de malwares cités au dessus.
Un keylogger comme le nom l’indique permet l’enregistrement des touches tapées par l’utilisateur à son insu et de les transmettre de la même façon que le stealer à un serveur souhaité, FTP, e-mail.
Un outil d’administration à distance peut avoir une fonction de keylogger intégré.

Rootkit

Un Rootkit n’est pas un malware.
Il reste cependant un danger pour les utilisateurs car il a la capacité de se dissimuler, de part, son activité en tant que processus ainsi que de supprimer son existence au sein du registre ainsi que de son activité dans les journaux du système.
Certains Rootkit sont en capacité de s’installér dans la MBR ( Master Boot Record ) et laissent une porte dérobée par laquelle l’attaquant se donne un accès à la machine.

Spyware

Ces logiciels d’espionnages ont comme but de récolter des informations privées afin de les transmettre aux sociétés qui les diffusent.
Que ce soit les sites que vous visitez, les mots clés que vous tapez ils peuvent même s’avérer dangereux car certains d’entre-eux récoltent vos informations bancaires.

Adware

Ces logiciels publicitaires ont la fâcheuse habitude de mettre leur nez dans vos données personnelles et de faire la promotion de produits selon vos centres d’intérêts.
Néanmoins, à la différence des Spyware, ils ne transmettent aucune des données récoltées.
Ils se cachent généralement par l’intermédiaire de CGU des logiciels que vous installez.
Présent dans la majorité des cas au sein des logiciels gratuits afin de rémunérer les développeurs.

Logiciels de phishing

Ces programmes simples de conception ne contiennent pas code malicieux.
Ils vous fond croire à des miracles et vous poussent à entrer vos informations personnelles pour ensuite être envoyés vers une boite mail, par exemple à votre insu.
Indétectables, sauf peut-être par le biais d’un pare-feu ; la technique utilisé est une forme d’ingénierie sociale.

6 comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *