A Black Hat 2010, on veut détecter les traces des outils employés par les hackers
La détection traditionnelle de codes malveillants par les antivirus ou les IPS utilise la signature de logiciels. Lors de la conférence Black Hat 2010, une nouvelle approche est évoquée. Elle consiste à retrouver dans le code binaire les traces des outils employés par les hackers pour créer le malware. Ces outils sont la signature du hacker.
Si l'on regarde plus précisément la typologie des empreintes "numériques" laissées par les hackers qui ont écrit un code malveillant, on peut aboutir à la détermination de signatures ayant une durée de vie plus longue que celles utilisées par les programmes actuels de détection des intrusions. Cette approche a été discutée lors de la conférence Black Hat 2010. L'idée est d'identifier les outils employés par les hackers pour créer leurs propres codes malveillants.
Les incidents les plus connus des Black Hat
L'analyse des binaires des fichiers exécutables malveillants révèle des caractéristiques sur les intentions du code d'attaque, ce qui pourrait permettre d'avoir une défense des données plus efficace et plus efficiente, explique Greg Hoglund, Directeur Général de HBGary.
Greg Hoglund précise à ce titre que cette analyse met en évidence des marques liées aux outils utilisés - il s'agit de signes à propos des environnements dans lesquels le code a été écrit - que ce soit par un groupe de personnes ou par un individu seul, et avec quelles combinaison d'outils ils ont travaillé.
Ses recherches ont par exemple porté sur l'un des logiciels exécutables malveillants dont l'empreinte révélait l'utilisation de Back Orifice 2000, un logiciel d'accès à distance Ultra VNC pour le contrôle de PC de bureau, et un code du guide de programmation de Microsoft datant de 2002. Chaque programme était légèrement modifié, mais l'information disponible était équivalente à une empreinte numérique de bonne facture.
Le logiciel malveillant était un outil d'accès à distance (OAD) et les générateurs de ce type d'outils tels que Poison Ivy pourraient avoir créé un code unique d'OAD pour chaque utilisation, mais ce n'est pas ce que le hacker a choisi de faire. Ainsi, identifier cet outil sur d'autres logiciels malveillants pourrait permettre d'associer des groupes de codes malveillants à un même auteur ou à une même équipe d'auteurs, ajoute Greg Hoglund.
Au cours de ses recherches il a trouvé que les empreintes ont une durée de vie importante. Une fois écrits, les binaires ne sont pas souvent altérés. Ainsi, utiliser ces empreintes comme des signatures de logiciels malveillants serait ...
... plus utile à long terme. « Les voyous ne changent pas leur code si souvent », s'exclame Greg Hoglund.
Une plate-forme d'anti-virus traditionnelle identifie des variantes de programmes malveillants. Cette recherche peut ancrer une nouvelle forme de détection d'intrusions qui analyse profondément les programmes malveillants pour trouver les empreintes et pour les assigner à un groupe d'attaquants en se basant notamment sur les objectifs du programme, ajoute-t-il.
Par exemple, si le programme malveillant est conçu pour voler les numéros de cartes bancaires de particuliers, une entreprise pourrait le classer comme une menace nettement moins importante qu'un logiciel malveillant qui chercherait à voler la propriété intellectuelle de la société.
« Vous n'allez pas réussir à garder les voyous hors de votre réseau », note Greg Hoglund. « Mais si vous pouvez les détecter le plus tôt possible vous êtes en mesure d'empêcher les pertes ».
Le fait d'utiliser ces empreintes comme des signatures par lesquelles le programme malveillant est détecté, permettrait aux programmes de détection des intrusions de se focaliser davantage sur le fait de les filtrer plutôt que de se concentrer sur les contenants (« wrappers ») dans lesquels ils sont envoyés. Ce qui permettrait de développer une bibliothèque de signatures plus stable, étant donné que les hackers changent rarement leurs codes. Ces signatures seraient plus efficaces sur de longues périodes.
Pour le faire, ces systèmes de détection de signatures doivent être placés sur les terminaux (PC de bureau, serveurs, passerelles, smartphones, ...) là où le code s'exécute et peuvent être lus dans la mémoire du PC comme un texte lisible par un être humain. Dans le réseau, un ensemble exécutable ne révèlerait pas ces caractéristiques.
Lors de la conférence, Greg Hoglund a présenté un outil appelé Fingerprint, qui analyse et compare les ressemblances parmi les objets sous-jacents trouvés à différents endroits du logiciel malveillant. Les entreprises pourraient utiliser cet outil pour déterminer quel hacker identifiable a écrit le code et quelles sont les actions prévues.
Cela peut à son tour donner à l'entreprise une idée sur le fait qu'ils soient ou non attaqués de façon concertée par un groupe ou si c'est juste une attaque isolée, au hasard. En utilisant ce type d'analyse, Greg Hoglund précise qu'il a trouvé qu'un seul pirate identifiable était responsable pour avoir pris pour cible la défense nationale tout comme une base militaire cinq ans auparavant.
Les résultats montraient que le hacker était le même, et utilisait un environnement de développement en chinois, indiquant que les attaques venaient de cette zone. Certains des codes sources utilisés étaient exactement des copies de code de hackers chinois commercialisés dans ce pays.
