Edition du 20/07/2010 - par Johanna Godet avec IDG News Services

La détection traditionnelle de codes malveillants par les antivirus ou les IPS utilise la signature de logiciels. Lors de la conférence Black Hat 2010,  une nouvelle approche est évoquée. Elle consiste à retrouver dans le code binaire les traces des outils employés par les hackers pour créer le malware. Ces outils sont la signature du hacker.

Si l'on regarde plus précisément la typologie des empreintes "numériques" laissées par les hackers qui ont écrit un code malveillant, on peut aboutir à la détermination de signatures ayant une durée de vie plus longue que celles utilisées par les programmes actuels de détection des intrusions. Cette approche a été discutée lors de la conférence Black Hat 2010. L'idée est d'identifier les outils employés par les hackers pour créer leurs propres codes malveillants.

Les incidents les plus connus des Black Hat
L'analyse des binaires des fichiers exécutables malveillants révèle des caractéristiques sur les intentions du code d'attaque, ce qui pourrait permettre d'avoir une défense des données plus efficace et plus efficiente, explique Greg Hoglund, Directeur Général de HBGary.

Greg Hoglund précise à ce titre que cette analyse met en évidence des marques liées aux outils utilisés - il s'agit de signes à propos des environnements dans lesquels le code a été écrit - que ce soit par un groupe de personnes ou par un individu seul, et avec quelles combinaison d'outils ils ont travaillé.

Ses recherches ont par exemple porté sur l'un des logiciels exécutables malveillants dont l'empreinte révélait l'utilisation de Back Orifice 2000, un logiciel d'accès à distance Ultra VNC pour le contrôle de PC de bureau, et un code du guide de programmation de Microsoft datant de 2002. Chaque programme était légèrement modifié, mais l'information disponible était équivalente à une empreinte numérique de bonne facture.

Le logiciel malveillant était un outil d'accès à distance (OAD) et les générateurs de ce type d'outils tels que Poison Ivy pourraient avoir créé un code unique d'OAD pour chaque utilisation, mais ce n'est pas ce que le hacker a choisi de faire. Ainsi, identifier cet outil sur d'autres logiciels malveillants pourrait permettre d'associer des groupes de codes malveillants à un même auteur ou à une même équipe d'auteurs, ajoute Greg Hoglund.

Au cours de ses recherches il a trouvé que les empreintes ont une durée de vie importante. Une fois écrits, les binaires ne sont pas souvent altérés. Ainsi, utiliser ces empreintes comme des signatures de logiciels malveillants serait ...

Page suivante (2/2) >