Annonce

Réduire
Aucune annonce.

Virologie opérationnelle - Partie II

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Tutoriel Virologie opérationnelle - Partie II




    Bonsoir à tous.

    Après avoir vu une introduction, les caractéristiques principales des virus, et les différents types de virus dans la partie I, je vous propose d'étudier dans cette partie II une introduction sur les stratégies virales, et la partie concernant les stratégies d'infection. Nous verrons le reste des stratégies (propagation; contrôle, camouflage, communication) dans les deux dernières parties, les parties III et IV.



    I. Introduction

    L'analyse des virus via la virologie opérationnelle passe par l'étude de la mise en œuvre et de l'effectivité des stratégies virales employées par ceux-ci.
    Une stratégie virale se définie comme ceci :
    La stratégie virale est la politique de direction structurée et hiérarchisée mise en place par un virus dans le but d'évoluer de manière efficace et performante au sein du système numérique dans lequel il évolue.
    Nous pouvons d'ores et déjà distinguer trois types de stratégies selon leurs modes de génération :

    A. La stratégie pré-programmée
    La première catégorie se nomme la stratégie pré-programmée, c'est à dire qu'elle résulte en une suite d'instructions et d'opérations pré-définies par le programmeur que le virus suivra à la lettre. Ce type de stratégie a pour point positif d'être stable et de fournir une rapidité d'exécution virale (rapidité avec laquelle le virus opère) relativement haute. Toutefois sa pré-définition la rend prédictible, et une analyse par rétro-ingénierie du virus permet de connaître précisément ces instructions.


    B. La stratégie par apprentissage mixte
    Cette stratégie résulte de l'existence d'un pool (stock) d'instructions minimales de références (standard instructions) prévu par le programmeur qui servira au virus de base de référence. Celui-ci intègre également un module d'apprentissage, c'est à dire qu'en fonction des éléments du contexte extérieur il fabriquera de façon autonome une partie de sa stratégie qu'il hybridera avec les instructions pré-définies contenues dans le pool. Le point positif de cette stratégie est de faire chuter le taux de prévision statistique car une partie du comportement viral devient aléatoire, tout en permettant au virus de mieux s'adapter aux conditions du système. Le point négatif est la possibilité de tromper l'apprentissage du virus en injectant de fausses informations dans le système, ou encore de le fuzzer afin de changer directement les instructions contenues dans son pool d'apprentissage.


    C. La stratégie par autonomie neuronale
    Cette stratégie tire son nom de la faculté d'apprentissage totalement autonome que l'on retrouve dans les intelligences artificielles par réseaux neuronaux. Dans cette stratégie, il n'existe aucune instruction pré-définie par le programmeur, seulement un module d'apprentissage autonome par procédure de tests, c'est à dire que le virus va mettre en œuvre toute une politique complexe de tests afin d'en tirer des « leçons » qui complèteront son apprentissage. Cette stratégie ne fonctionne que par intégration positive dans le sens où le virus ne retient uniquement que les test qui lui apportent des solutions bénéfiques. Le point positif est que la prédictibilité devient nulle car le virus devient totalement imprévisible et lui permet une adaptation maximale au système dans lequel il évolue. Le point négatif reste toujours la faculté de le tromper en injectant des paramètres erronés.



    Voici donc les trois catégories de stratégies virales employées par l'ensemble des virus, concernant tout autant les stratégies d'infection, que de propagation ou de communication. Il est intéressant de remarquer que les deux dernières catégories font intervenir la mise en place d'une intelligence artificielle que l'on retrouve très souvent de manière évoluée chez les virus de types engineers ou anti-immunitaires.





    II. Stratégies d'infection

    La stratégie d'infection virale est le processus utilisé par le virus dans le but d'infecter son hôte, et plus particulièrement la manière dont il rentre dans la machine, phase appelée docking, et dont il crée ou maintient l'ouverture, phase appelée holding.
    Étudions successivement ces deux phases.


    A. Phase de pénétration ou docking
    Cette phase est définie comme le segment transitoire, c'est à dire l'étape, où le virus passe d'un élément extérieur au système à un élément solidaire du système, donc l'étape de pénétration du virus dans son hôte. Au sein de cette phase, l'on distingue trois catégories de méthodes d'infection utilisables selon le type de virus rencontré.

    1) L'infection incidente
    L'infection incidente est la résultante d'une action manuelle humaine initiant le processus d'infection. Typiquement l'utilisateur lance un exécutable en lequel il a confiance, mais qui embarque en fait un virus qui déclenchera sa charge virale au moment de la lecture exécutive (executive reading) du PE de l'exécutable. Dans les premiers temps, le virus s'armait lors de la lecture précise d'un point d'instruction au sein du fichier, mais les programmeurs ont déplacé ce point au niveau du PE afin de rendre l'infection virale plus rapide et plus efficace.


    2) L'infection synchrone ou colinéaire
    L'infection synchrone est la stratégie qu'utilise un virus pour infecter un système conjointement à l'introduction d'un programme de confiance, on nomme également cette technique la radar scamming strategy (stratégie d'arnaque des radars) en référence au fait de coller le train d'une voiture devant nous sur la route afin de passer pour un élément unique devant le flash d'un radar de contrôle. L'exécution d'un fichier bindé fait partie de ce type d'infection synchrone, au même titre que l'installation/téléchargement silencieux ; quand vous lancez une installation, un descripteur de sécurité spécifique à l'installeur Windows est ouvert pour créer une file assignant un ID unique au programme en cours d'installation, le virus lie ce descripteur afin de s'auto-assigner le même ID et d'être ainsi « installé » sans problème.


    3) L'infection maligne
    Cette méthode tire son nom des virus biologiques profitant de l'action d'un autre virus pour infecter un hôte. Typiquement ceci est permis par l'action des tunnelers, des trojans et des anti-immunitaire. Le virus utilise donc la porte ouverte par un virus précédent pour pénétrer le système cible dont les défenses ont généralement été neutralisées.




    B. Phase de création et maintient de l'ouverture ou holding
    Cette phase est définie comme l'étape procédurale concernant l'architecture et la stabilisation d'un vecteur d'entrée dans le système hôte. C'est à dire l'ouverture, le passage virtuel, à l'aide de laquelle de futurs virus pourrons infecter la machine. Encore ici, nous distinguons trois catégories.

    1) Backdooring
    La création d'une porte parallèle, ou backdoor, est la prérogative particulière des Chevaux de Troie. Une backdoor est une balise, anchor (ancre), laissé par le premier virus à pénétrer le système et ayant plusieurs fonctions. La première est de permettre un tracking de l'hôte, c'est à dire d'émettre des trames particulières permettant aux futurs virus de remonter jusqu'à cet hôte (très utile lors de la phase de propagation). La deuxième est d'inonder d'instructions invalides le système hôte par période (présence d'un timer) afin de paralyser le CPU ou les systèmes de défense opérationnelle (firewall, antivirus...) ; particulièrement utile dans les cas d'infections synchrones. Généralement c'est le virus même qui agit comme backdoor, cependant les virus les plus évolués embarquent des micro-compilateurs et peuvent donc produire du code à la volée, et notamment créer des balises de toute pièce.


    2) Tunneling
    La création d'un tunnel d'entrée est la prérogative particulière des Tunnelers. Un tunnel est un segment virtuel architecturé, basé sur un protocole standard (TCP, UDP, SSH...) permettant le transit sécurisé d'information et supposant l'absence de contrôle systématique durant le transfert. Typiquement, le tunneling se matérialise par le détournement de la carte réseau afin de créer un réseau virtuel secondaire (type VPN), et donc un tunnel bidirectionnel sur support TCP/IP afin de faire passer des trames non-sécurisées, voire des fichiers complets par transfert non-contrôlés, notamment dans le cas des virus par auto-download.
    Le pont ou viral bridge, diffère du tunnel dans le sens où ce n'est pas un segment dédié uniquement aux futurs virus, les programmes « normaux » pouvant également l'emprunter. Le tunneler ne fait que neutraliser les points de contrôle (notamment la neutralisation ICMP) d'un pont pré-existant afin de permettre le transit des futurs virus.


    3) Anti-immunité
    La neutralisation des systèmes de défense opérationnelle (SDO) est la prérogative particulière des Anti-immunitaire ou VIH-like. Sont considérés comme SDO les systèmes suivants : firewall, antivirus, IPS, IDS, network analyzers et scanners. Le but des virus anti-immunitaires est donc de désactiver l'ensemble ou la majorité de ces systèmes afin de permettre une infection massive par la suite, notamment en ouvrant la voie aux Engineers. Pour cela, ils embarquent des charges virales transmissibles, ou active virus charges, qu'ils injectent en en-tête des SDO. Ces charges virales sont des séquences complexes numériques composées de ce que l'on nomme des percuteurs d'offsets, ou offsets hammers ; ce sont des instructions auto-réplicantes s'intercalant au sein même des en-têtes et entrainant des décalages d'offsets neutralisant totalement les SDO. Si ces derniers disposent de modules auto-réparateurs, le délai gagné par les anti-immunitaire est variable.




    Voilà pour les stratégies d'infection. La partie III traitera des stratégies de propagation et de contrôle. Si vous avez des questions, n'hésitez pas.

    ---------------------------------------------------------------

    Ex-membre Hackademiciens.

  • #2
    Très bon tuto ! merci !
    Juste j'ai une question, vu que dans la plupart des cas l'action humaine est nécessaire, si l'on active un virus à travers un trojan ou autre, et qu'une fois chose faite, on se déconnecte d'internet, si le but du virus était de récupérer des infos, étant donné qu'il n'y aura plus de co internet, le programmeur n'y aura pas accès ?
    Autre chose, si on se rend compte qu'un virus est dans notre système d'exploitation, un reboot complet de l'ordinateur permetterait-il de le delete ?
    Merci (:
    "L'intelligence artificielle n'est rien comparée à la stupidité naturelle"

    Commentaire


    • #3
      Réponse :
      1)oui mais à la prochaine connexion, c'est reparti.
      2)non, c'est bien le but d'ailleurs.

      Commentaire


      • #4
        Ah ouai ok..
        Sur mon ordinateur portable, lors du démarrage, (Skype était même pas lancé, c'est pour dire..)
        au moins 7/10pages internet s'ouvraient instantannémment, quell galère, je les fermaient toutes, maintenant j'ai compris que je me suis fait infecté, mais je remarque que mon ordi est un peu plus lent que d'habitude, est-ce possible qu'il se soit fait infecté ?
        Autre chose, plus inquiétante..
        Certaines fois lors du démarrage de l'ordinateur, je ne suis même pas sur le bureau, l'écran devient noir et blanc, comme une télé qui bug, tu sais, avec les flocons blancs et les points noirs.. là c'est le même principe sauf que ce sont des petits traits blancs et bleus..
        Ca peut être du a quoi ?
        Une infection ?
        "L'intelligence artificielle n'est rien comparée à la stupidité naturelle"

        Commentaire


        • #5
          Le tout n'est pas de savoir si ton pc est infecté, mais comment le soigner manuellement.
          Faut que tu prennes conscience que les virus se fixent dans la base de registre pour être démarré au lancement de Windows. Si tu connais un peux le domaine, je pense que tu seras en mesure d'évaluer si un logiciel est potentiellement dangereux et être capable de le localiser sur ton disque dur pour l'éliminer proprement (conseillé) ou sauvagement (avec beaucoup de prudence). Bref même si tu ne trouves pas de bug sur ton ordinateur, il faut quand même le nettoyer régulièrement (Avec msconfig, regedit et taskmgr).

          A lire sur le forum Avast

          Exemple de virus
          Dernière modification par Yarflam, 10 avril 2013, 13h21.
          ~ Yarflam ~

          ❉ L'Univers se dirige vers son ultime perfection ❉

          Commentaire


          • #6
            Re: Virologie opérationnelle - Partie II

            Quelqu'un se dévoue à écrire les parties manquantes ?
            Mon blog : http://rootsheep.info

            Commentaire


            • #7
              Merci pour cette partie deux 😊

              Commentaire

              Chargement...
              X