Annonce

Réduire
Aucune annonce.

Virologie opérationnelle - Partie I

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Virologie opérationnelle - Partie I



    Bonsoir à tous.

    Je me propose aujourd'hui de vous délivrer un cours de virologie opérationnelle, c'est à dire l'étude et l'analyse procédurale des virus informatiques dynamiques, opposés aux virus inertes.
    C'est un cours qui se veut relativement exhaustif dans la dimension pédagogique que je lui donne, c'est à dire aborder les bases simples et avancées en virologie opérationnelle.
    Pour que le cours soit digeste, je le diviserai en trois parties, chacune donnant lieu à un post spécifique.

    Nous sommes donc ici dans la partie I, qui apporte les premières bases de compréhension nécessaires pour les prochains cours.



    I. Introduction

    La virologie opérationnelle est un champs d'étude appartenant à a virologie générale qui comporte plusieurs branches : virologie théorique, virologie appliquée, virologie opérationnelle et virologie systématique.

    La virologie opérationnelle est l'étude méthodique, procédurale et prédictive des virus informatiques (pris au sens global) dynamiques, c'est à dire dont le coefficient de mobilité (faculté à se déplacer) est non-nulle et dont le potentiel de destruction est de type supérieur au DL-0, ou de mobilité nulle.

    Mais avant d'aller plus loin, il nous faut tout d'abord définir ce qu'est un virus, sans faire de distinction entre les différents types de virus. La définition la plus précise d'un virus est la suivante :
    un virus est un automate programmé potentiellement réplicatif, embarquant un ensemble de fonctions lui assurant son aptitude à évoluer au sein du système infecté et destiné produire des effets, généralement malveillants, sur l'hôte.
    De manière plus simple, un virus est un objet informatique pouvant se répliquer et causer des dommages, de tout type, à un hôte victime.

    Maintenant que quelques précisions ont été apportées, nous allons passer à l'étude des caractéristiques d'un virus.

    NB : un virus, pris dans son terme général, est aussi appelé malware.






    II. Les caractéristiques du virus


    Coefficient de mobilité
    On le note C(v)m.
    Le coefficient de mobilité est la valeur qui va définir numériquement la faculté du virus à se déplacer plus ou moins rapidement. Ainsi, un coefficient nul (égal à 0) signifie que le virus est inerte, c'est à dire qu'il ne pourra se déplacer au sein du système qu'il infecte.
    Les valeurs de C(v)m vont de 0 à 1, il peut donc être égal à 0,1 ou 0,2, ou 0,3 ou 0,33 ou 0,78...
    Un coefficient nul ne veut pas dire que le virus sera inefficace ou mal codé, seulement qu'il n'a pas été prévu pour se déplacer, et donc qu'il n'en a pas besoin pour réaliser ses objectifs.


    Type de dommage
    On le note DL-X, (DL = dammage level) où X est une valeur numérique comprise entre 0 et 9.
    Le type de dommage est la valeur définissant le potentiel de destruction, PD(DL), du virus ; c'est à dire sa faculté à altérer le système infecté.
    Le DL-0 est appelé « Type TEST », le virus est armé mais il n'occasionne aucun dommage. C'est avec ce type que l'on effectue nos tests en laboratoire, d'où son nom.
    Plus le DL évolue vers la limite max, le DL-9, plus il est destructeur. Il n'existe actuellement aucun virus dont le potentiel de destruction serait supérieur à 9. Pour information, Stuxnet et Flame sont de type DL-8.



    Classe opérative
    On la note C(X)v où X est une lettre comprise entre A et F.
    La classe opérative désigne la fonction primaire du virus, ce pourquoi il est programmé, son rôle. On parle de fonction « primaire » car l'on verra qu'un virus peut avoir également une fonction secondaire, tertiaire...
    C(A)v = destruction de données
    C(B )v = détournement de données
    C(C)v = altération de données
    C(D)v = backdooring
    C(E)v = vol de données
    C(F)v = anti-immunité



    Camouflage ou silent-level
    On le note SL(X) où X est un chiffre compris entre 0 et 3.
    Le camouflage est la faculté du virus à se dérober aux processus de contrôle du système dans lequel il évolue.
    /!\ : cette notion n'est pas liée au cryptage !
    Un silent-level (niveau de silence) nul (égal à 0) signifie que le virus est systématiquement détecté par le système (sans contrôle tiers comme un antivirus) dès son entré dans celui-ci.
    SL(1) = virus n'est pas détecté par le système
    SL(2) = virus n'est pas détecté par l'antivirus
    SL(3) = virus ne produit aucun effet notoire prouvant son existence



    Délai de survie ou crypting-delay
    On le note TTLv(C(X)) où X est une valeur entre 0 et 24h. TTL pour time-to-live et C pour crypting.
    Le délai de survie est le délai pendant lequel le maillage crypté du virus, c'est à dire son taux de cryptage, ou crypting-rate, va bypasser la surveillance du système et des antivirus. Les délais de référence sont établis en laboratoire avec des systèmes de surveillance hautement sensibles. Sont généralement retenues comme valeurs standards 0h, 12h et 24h.
    TTLv(C(0)) = le virus est détecté dès la première seconde
    TTLv(C(12)) = le virus est détecté au bout de 12h
    TTLv(C(24)) = le virus est détecté au bout de 24h



    Taux de pénétration
    On le note PR(X) où X est une valeur comprise entre 0% et 80%.
    Le taux de pénétration est la valeur qui désigne la capacité du virus à percer les « murs virtuels », c'est à dire les IDS et les firewalls.
    Un PR(0%) signifie que le virus ne traversera jamais les défenses mises en place. Un PR(80%) signifie que le virus traversera pratiquement à chaque fois. Pour le moment, aucun virus ne dépasse les 80% de pénétration, et une valeur théorique de 100% est relativement impossible à atteindre.


    Voici pour les caractéristiques principales. Il en existe encore quelques unes, mais qui ne sont pas primordiales, je vous épargne donc pour cette fois.





    III.Les différents types de virus

    Après avoir vu une définition du virus et ses caractéristiques, nous allons maintenant commencer à distinguer les différents types de virus existants.


    Le cheval de Troie ou Trojan
    Le trojan est un malware non-réplicatif, à capacité de propagation nulle, dont le but est de maintenir un accès ouvert à des infections ultérieures.
    Il possède un coefficient de mobilité maximum de 0,3 et un type de dommage à DL-3 maximum. Leur classe primaire est C(D)v, c'est à dire du backdooring, ils ne sont donc pas faits pour détruire ou voler, contrairement à ce que l'on pense.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Le tunneler
    Les relayeurs, ou tunnelers, sont des pseudo-virus non-réplicatifs qui établissent des têtes de ponts entre l'hôte infecté et un pool d'autres virus. Une fois le tunnel établi, les virus en attente peuvent emprunter cette voie pour libérer leur charge virale. Il diffère du trojan en ce qu'il provoque une infection généralisée dès l'instant où le pont est créé.
    Il a un coefficient de mobilité nul, un DL-0 et est de classe C(D)v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Le Remote Administration Tool
    Les RATs sont initialement des outils non-réplicatifs servant aux administrateurs réseaux, ils ont ensuite été détournés pour des objectifs malveillants.
    Les RATs s'établissent sur la machine cible de manière silencieuse, et récupèrent toute donnée sensible : IPs, mots de passe, logins, fichiers... pour les envoyer ensuite au pirate.
    Le RAT est à propagation nulle, possède un coefficient de mobilité maximum de 0,1 et un potentiel de destruction pouvant varier entre DL-1 et DL-4, et sont de classes C(E)v. Même cryptés efficacement, leur crypting-delay est relativement faible à cause de leurs interactions avec l'extérieur.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les Proxiers
    Les proxiers sont des virus non-réplicatifs effectuant du proxy ghosting, c'est à dire transformant l'hôte en proxy afin de diffuser du contenu généralement illicite par l'intermédiaire de son identité. Modifient généralement les fichiers HOST de Windows afin de réécrire les entrées réseaux. Les proxiers sont à propagation nulle, avec un coefficient de mobilité nul, un DL-0 et de classe C(B )v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les Keyloggers
    Ces virus ne sont plus à présenter... Ce sont des programmes silencieux non-réplicatifs enregistrant toute frappe de clavier effectuée par l'utilisateur, et communicant par la suite le fichier d'enregistrement au pirate. De même que pour le RAT, son TTL reste faible à cause de ses interactions avec l'extérieur. Les keyloggers sont à propagation nulle, avec un coefficient de mobilité nul, un DL-0 et de classe C(B )v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les packers ou droppers
    Les droppers sont des virus non-réplicatifs embarquant une charge virale utile, c'est à dire que le virus en lui même n'en est pas un, sa fonction principale étant d'installer les vrais virus contenus dans sa capside embarquée. Les droppers embarquent donc un installeur natif, et généralement un interpréteur, qui leur permet de réassembler les parties virtuelles à installer sur le système. Une fois ceci fait, les virus installés sont armés (activés), et le dropper s'auto-efface.
    Les droppers sont à propagation nulle, avec un coefficient de mobilité nul, un DL-0 et de classe C(C)v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les clickers
    Les clickers sont des virus non-réplicatifs réécrivant les fichiers HOST de Windows de manière à gérer de façon autonome le navigateur Internet ; généralement l'ouvrir sur une page spécifique afin que l'utilisateur génère du trafic. Les clickers les plus évolués simulent des clics à l'insu de l'utilisateur.
    Les clickers sont à propagation nulle, avec un coefficient de mobilité nul, un DL-0 et de classe C(B )v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les ransomwares
    Les ransomwares sont des virus non réplicatifs réécrivant les descripteurs de permission de l'hôte afin de le bloquer sur un écran unique qui restera en place tant que l'utilisateur n'aura pas payé la somme demandé par le programme. Généralement la liaison Internet est dévérouillé de manière à effectuer le paiement en ligne ; c'est donc un virus à interfaçage mixte entre un système de micropaiement et un support système.
    Les ransomwares sont à propagation nulle, avec un coefficient de mobilité nul, un DL-0 et de classe C(B )v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les bombes
    Les bombes sont des virus non-réplicatifs cycliques, c'est à dire que la charge qu'ils embarquent n'est efficace que si elle est bouclée. Le but de ce virus est de paralyser le système en inondant le CPU d'instructions de toute sorte ; des instructions vides freeze le système beaucoup plus vite. Le reboot est souvent provoqué par le système quand l'UC déclenche sa procédure de sauvegarde. A la libération de la RAM, le virus disparaît dans sa totalité.
    Les bombes sont à propagation nulle, avec un coefficient de mobilité nul, un taux de dommage pouvant atteindre le DL-6 et de classe C(C)v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les engineers
    Les engineers sont des virus réplicatifs embarquant des datasheet (fichiers constructeurs) de manière à pouvoir modifier un système physique en altérant leur firmware par injection. Ces virus sont extrêmement dangereux dans le sens où ils sont capables de manipuler des systèmes sensibles tels que des turbines hydrauliques, des aiguilleurs ferroviaires, des consoles de gestion aérienne...
    Les engineers sont à propagation positive, avec un coefficient de mobilité pouvant atteindre 0.9, un taux de dommage pouvant atteindre le DL-9 et de classe C(C)v.
    Leur méthode d'infection est incidente, c'est à dire que l'action humaine est nécessaire.



    Les vers ou worms
    Les worms sont des virus réplicatifs à fonctions séquentielles, c'est à dire que leur action est définie par une séquence de fonctions opérationnelles destinées à produire un ensemble d'effets divers sur la machine infectée. Ils sont globalement polymorphes, et peuvent voler des donner, les détruire, les détourner...
    Les worms sont à propagation positive, avec un coefficient de mobilité pouvant atteindre 0.9, un taux de dommage pouvant atteindre le DL-9 et de classe C(*)v.



    Les morphers
    Les morphers sont des virus à polymorphisme systématique, auto-réplicants, dont le but est de copier la structure binaire des fichiers systèmes, en les supprimant une fois ceci fait. Au bout d'un certain laps de temps, tous les fichiers systèmes ont été remplacés par les morphers qui peuvent ensuite activer leur charge utile en provoquant un Big Crunch, c'est à dire la suppression totale et synchrone du système.
    Les morphers sont à propagation positive, avec un coefficient de mobilité pouvant atteindre 0.9, un taux de dommage pouvant atteindre le DL-9 et de classe C(A/C)v.



    Les anti-immunitaires ou VIH-like
    Les virus anti-immunitaires sont des virus destinés à neutraliser tous les systèmes de défense opérationnelle de l'hôte : antivirus, IDS, firewall, watch-dog, sentinelles... Pour ce faire, ils embarquent des injecteurs, ou fuzzers, comportant des séquences binaires de neutralisations, et les injectent en en-tête des programmes de manière à les désactiver. Généralement, ces virus sont le prélude d'une attaque d'ampleur plus massive, notamment par des engineers.
    Les VIH-like sont à propagation nulle, avec un coefficient de mobilité pouvant atteindre 0.5, un taux de dommage nul et de classe C(F)v.



    Voilà pour cette première partie. La partie II ne tardera pas.

    -------------------------------------------------------------------

    Ex-membre Hackademiciens.

  • #2
    1ère partie très intéressante, j'attends avec impatience la suite du cours


    Suivre Hackademics: Twitter, Google+, Facebook.

    Commentaire


    • #3
      j'avoue très intéressant sa me fait une bonne remise a niveau sur la virologie, j'adore , en cours de lecture pour le chapitre 2.

      Commentaire


      • #4
        Très clair, bien présenté, imagé, plaisant. Vraiment, très bon début de tuto.

        Commentaire


        • #5
          Merci très passionnant ! Très bon tuto !

          Commentaire

          Chargement...
          X