Annonce

Rduire
Aucune annonce.

Virologie oprationnelle - Partie I

Rduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Virologie oprationnelle - Partie I



    Bonsoir tous.

    Je me propose aujourd'hui de vous dlivrer un cours de virologie oprationnelle, c'est dire l'tude et l'analyse procdurale des virus informatiques dynamiques, opposs aux virus inertes.
    C'est un cours qui se veut relativement exhaustif dans la dimension pdagogique que je lui donne, c'est dire aborder les bases simples et avances en virologie oprationnelle.
    Pour que le cours soit digeste, je le diviserai en trois parties, chacune donnant lieu un post spcifique.

    Nous sommes donc ici dans la partie I, qui apporte les premires bases de comprhension ncessaires pour les prochains cours.



    I. Introduction

    La virologie oprationnelle est un champs d'tude appartenant a virologie gnrale qui comporte plusieurs branches : virologie thorique, virologie applique, virologie oprationnelle et virologie systmatique.

    La virologie oprationnelle est l'tude mthodique, procdurale et prdictive des virus informatiques (pris au sens global) dynamiques, c'est dire dont le coefficient de mobilit (facult se dplacer) est non-nulle et dont le potentiel de destruction est de type suprieur au DL-0, ou de mobilit nulle.

    Mais avant d'aller plus loin, il nous faut tout d'abord dfinir ce qu'est un virus, sans faire de distinction entre les diffrents types de virus. La dfinition la plus prcise d'un virus est la suivante :
    un virus est un automate programm potentiellement rplicatif, embarquant un ensemble de fonctions lui assurant son aptitude voluer au sein du systme infect et destin produire des effets, gnralement malveillants, sur l'hte.
    De manire plus simple, un virus est un objet informatique pouvant se rpliquer et causer des dommages, de tout type, un hte victime.

    Maintenant que quelques prcisions ont t apportes, nous allons passer l'tude des caractristiques d'un virus.

    NB : un virus, pris dans son terme gnral, est aussi appel malware.






    II. Les caractristiques du virus


    Coefficient de mobilit
    On le note C(v)m.
    Le coefficient de mobilit est la valeur qui va dfinir numriquement la facult du virus se dplacer plus ou moins rapidement. Ainsi, un coefficient nul (gal 0) signifie que le virus est inerte, c'est dire qu'il ne pourra se dplacer au sein du systme qu'il infecte.
    Les valeurs de C(v)m vont de 0 1, il peut donc tre gal 0,1 ou 0,2, ou 0,3 ou 0,33 ou 0,78...
    Un coefficient nul ne veut pas dire que le virus sera inefficace ou mal cod, seulement qu'il n'a pas t prvu pour se dplacer, et donc qu'il n'en a pas besoin pour raliser ses objectifs.


    Type de dommage
    On le note DL-X, (DL = dammage level) o X est une valeur numrique comprise entre 0 et 9.
    Le type de dommage est la valeur dfinissant le potentiel de destruction, PD(DL), du virus ; c'est dire sa facult altrer le systme infect.
    Le DL-0 est appel Type TEST, le virus est arm mais il n'occasionne aucun dommage. C'est avec ce type que l'on effectue nos tests en laboratoire, d'o son nom.
    Plus le DL volue vers la limite max, le DL-9, plus il est destructeur. Il n'existe actuellement aucun virus dont le potentiel de destruction serait suprieur 9. Pour information, Stuxnet et Flame sont de type DL-8.



    Classe oprative
    On la note C(X)v o X est une lettre comprise entre A et F.
    La classe oprative dsigne la fonction primaire du virus, ce pourquoi il est programm, son rle. On parle de fonction primaire car l'on verra qu'un virus peut avoir galement une fonction secondaire, tertiaire...
    C(A)v = destruction de donnes
    C(B )v = dtournement de donnes
    C(C)v = altration de donnes
    C(D)v = backdooring
    C(E)v = vol de donnes
    C(F)v = anti-immunit



    Camouflage ou silent-level
    On le note SL(X) o X est un chiffre compris entre 0 et 3.
    Le camouflage est la facult du virus se drober aux processus de contrle du systme dans lequel il volue.
    /!\ : cette notion n'est pas lie au cryptage !
    Un silent-level (niveau de silence) nul (gal 0) signifie que le virus est systmatiquement dtect par le systme (sans contrle tiers comme un antivirus) ds son entr dans celui-ci.
    SL(1) = virus n'est pas dtect par le systme
    SL(2) = virus n'est pas dtect par l'antivirus
    SL(3) = virus ne produit aucun effet notoire prouvant son existence



    Dlai de survie ou crypting-delay
    On le note TTLv(C(X)) o X est une valeur entre 0 et 24h. TTL pour time-to-live et C pour crypting.
    Le dlai de survie est le dlai pendant lequel le maillage crypt du virus, c'est dire son taux de cryptage, ou crypting-rate, va bypasser la surveillance du systme et des antivirus. Les dlais de rfrence sont tablis en laboratoire avec des systmes de surveillance hautement sensibles. Sont gnralement retenues comme valeurs standards 0h, 12h et 24h.
    TTLv(C(0)) = le virus est dtect ds la premire seconde
    TTLv(C(12)) = le virus est dtect au bout de 12h
    TTLv(C(24)) = le virus est dtect au bout de 24h



    Taux de pntration
    On le note PR(X) o X est une valeur comprise entre 0% et 80%.
    Le taux de pntration est la valeur qui dsigne la capacit du virus percer les murs virtuels, c'est dire les IDS et les firewalls.
    Un PR(0%) signifie que le virus ne traversera jamais les dfenses mises en place. Un PR(80%) signifie que le virus traversera pratiquement chaque fois. Pour le moment, aucun virus ne dpasse les 80% de pntration, et une valeur thorique de 100% est relativement impossible atteindre.


    Voici pour les caractristiques principales. Il en existe encore quelques unes, mais qui ne sont pas primordiales, je vous pargne donc pour cette fois.





    III.Les diffrents types de virus

    Aprs avoir vu une dfinition du virus et ses caractristiques, nous allons maintenant commencer distinguer les diffrents types de virus existants.


    Le cheval de Troie ou Trojan
    Le trojan est un malware non-rplicatif, capacit de propagation nulle, dont le but est de maintenir un accs ouvert des infections ultrieures.
    Il possde un coefficient de mobilit maximum de 0,3 et un type de dommage DL-3 maximum. Leur classe primaire est C(D)v, c'est dire du backdooring, ils ne sont donc pas faits pour dtruire ou voler, contrairement ce que l'on pense.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Le tunneler
    Les relayeurs, ou tunnelers, sont des pseudo-virus non-rplicatifs qui tablissent des ttes de ponts entre l'hte infect et un pool d'autres virus. Une fois le tunnel tabli, les virus en attente peuvent emprunter cette voie pour librer leur charge virale. Il diffre du trojan en ce qu'il provoque une infection gnralise ds l'instant o le pont est cr.
    Il a un coefficient de mobilit nul, un DL-0 et est de classe C(D)v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Le Remote Administration Tool
    Les RATs sont initialement des outils non-rplicatifs servant aux administrateurs rseaux, ils ont ensuite t dtourns pour des objectifs malveillants.
    Les RATs s'tablissent sur la machine cible de manire silencieuse, et rcuprent toute donne sensible : IPs, mots de passe, logins, fichiers... pour les envoyer ensuite au pirate.
    Le RAT est propagation nulle, possde un coefficient de mobilit maximum de 0,1 et un potentiel de destruction pouvant varier entre DL-1 et DL-4, et sont de classes C(E)v. Mme crypts efficacement, leur crypting-delay est relativement faible cause de leurs interactions avec l'extrieur.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les Proxiers
    Les proxiers sont des virus non-rplicatifs effectuant du proxy ghosting, c'est dire transformant l'hte en proxy afin de diffuser du contenu gnralement illicite par l'intermdiaire de son identit. Modifient gnralement les fichiers HOST de Windows afin de rcrire les entres rseaux. Les proxiers sont propagation nulle, avec un coefficient de mobilit nul, un DL-0 et de classe C(B )v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les Keyloggers
    Ces virus ne sont plus prsenter... Ce sont des programmes silencieux non-rplicatifs enregistrant toute frappe de clavier effectue par l'utilisateur, et communicant par la suite le fichier d'enregistrement au pirate. De mme que pour le RAT, son TTL reste faible cause de ses interactions avec l'extrieur. Les keyloggers sont propagation nulle, avec un coefficient de mobilit nul, un DL-0 et de classe C(B )v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les packers ou droppers
    Les droppers sont des virus non-rplicatifs embarquant une charge virale utile, c'est dire que le virus en lui mme n'en est pas un, sa fonction principale tant d'installer les vrais virus contenus dans sa capside embarque. Les droppers embarquent donc un installeur natif, et gnralement un interprteur, qui leur permet de rassembler les parties virtuelles installer sur le systme. Une fois ceci fait, les virus installs sont arms (activs), et le dropper s'auto-efface.
    Les droppers sont propagation nulle, avec un coefficient de mobilit nul, un DL-0 et de classe C(C)v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les clickers
    Les clickers sont des virus non-rplicatifs rcrivant les fichiers HOST de Windows de manire grer de faon autonome le navigateur Internet ; gnralement l'ouvrir sur une page spcifique afin que l'utilisateur gnre du trafic. Les clickers les plus volus simulent des clics l'insu de l'utilisateur.
    Les clickers sont propagation nulle, avec un coefficient de mobilit nul, un DL-0 et de classe C(B )v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les ransomwares
    Les ransomwares sont des virus non rplicatifs rcrivant les descripteurs de permission de l'hte afin de le bloquer sur un cran unique qui restera en place tant que l'utilisateur n'aura pas pay la somme demand par le programme. Gnralement la liaison Internet est dvrouill de manire effectuer le paiement en ligne ; c'est donc un virus interfaage mixte entre un systme de micropaiement et un support systme.
    Les ransomwares sont propagation nulle, avec un coefficient de mobilit nul, un DL-0 et de classe C(B )v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les bombes
    Les bombes sont des virus non-rplicatifs cycliques, c'est dire que la charge qu'ils embarquent n'est efficace que si elle est boucle. Le but de ce virus est de paralyser le systme en inondant le CPU d'instructions de toute sorte ; des instructions vides freeze le systme beaucoup plus vite. Le reboot est souvent provoqu par le systme quand l'UC dclenche sa procdure de sauvegarde. A la libration de la RAM, le virus disparat dans sa totalit.
    Les bombes sont propagation nulle, avec un coefficient de mobilit nul, un taux de dommage pouvant atteindre le DL-6 et de classe C(C)v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les engineers
    Les engineers sont des virus rplicatifs embarquant des datasheet (fichiers constructeurs) de manire pouvoir modifier un systme physique en altrant leur firmware par injection. Ces virus sont extrmement dangereux dans le sens o ils sont capables de manipuler des systmes sensibles tels que des turbines hydrauliques, des aiguilleurs ferroviaires, des consoles de gestion arienne...
    Les engineers sont propagation positive, avec un coefficient de mobilit pouvant atteindre 0.9, un taux de dommage pouvant atteindre le DL-9 et de classe C(C)v.
    Leur mthode d'infection est incidente, c'est dire que l'action humaine est ncessaire.



    Les vers ou worms
    Les worms sont des virus rplicatifs fonctions squentielles, c'est dire que leur action est dfinie par une squence de fonctions oprationnelles destines produire un ensemble d'effets divers sur la machine infecte. Ils sont globalement polymorphes, et peuvent voler des donner, les dtruire, les dtourner...
    Les worms sont propagation positive, avec un coefficient de mobilit pouvant atteindre 0.9, un taux de dommage pouvant atteindre le DL-9 et de classe C(*)v.



    Les morphers
    Les morphers sont des virus polymorphisme systmatique, auto-rplicants, dont le but est de copier la structure binaire des fichiers systmes, en les supprimant une fois ceci fait. Au bout d'un certain laps de temps, tous les fichiers systmes ont t remplacs par les morphers qui peuvent ensuite activer leur charge utile en provoquant un Big Crunch, c'est dire la suppression totale et synchrone du systme.
    Les morphers sont propagation positive, avec un coefficient de mobilit pouvant atteindre 0.9, un taux de dommage pouvant atteindre le DL-9 et de classe C(A/C)v.



    Les anti-immunitaires ou VIH-like
    Les virus anti-immunitaires sont des virus destins neutraliser tous les systmes de dfense oprationnelle de l'hte : antivirus, IDS, firewall, watch-dog, sentinelles... Pour ce faire, ils embarquent des injecteurs, ou fuzzers, comportant des squences binaires de neutralisations, et les injectent en en-tte des programmes de manire les dsactiver. Gnralement, ces virus sont le prlude d'une attaque d'ampleur plus massive, notamment par des engineers.
    Les VIH-like sont propagation nulle, avec un coefficient de mobilit pouvant atteindre 0.5, un taux de dommage nul et de classe C(F)v.



    Voil pour cette premire partie. La partie II ne tardera pas.

    -------------------------------------------------------------------

    Ex-membre Hackademiciens.

  • #2
    1re partie trs intressante, j'attends avec impatience la suite du cours


    Suivre Hackademics: Twitter, Google+, Facebook.

    Commentaire


    • #3
      j'avoue trs intressant sa me fait une bonne remise a niveau sur la virologie, j'adore , en cours de lecture pour le chapitre 2.

      Commentaire


      • #4
        Trs clair, bien prsent, imag, plaisant. Vraiment, trs bon dbut de tuto.

        Commentaire


        • #5
          Merci trs passionnant ! Trs bon tuto !

          Commentaire

          Chargement...
          X