Malwares & Exploits

Les types de malwares et les exploits les plus courants utilisés par les hackers.

Les cybercriminels utilisent les e-mails pour envoyer des documents contenant des logiciels malveillants, ou malwares. En général, soit le logiciel malveillant est dissimulé directement dans le document lui-même, soit un script intégré le télécharge depuis un site Web externe.

Les malwares les plus courants sont les virus, les chevaux de Troie, les logiciels espions, les vers et les ransomwares.

Malwares

Malware ou Malicious Software est logiciel malveillant en français.

  • Un logiciel dont l’objectif principal est de nuire. Il va avoir comme cible tout type de système informatique, que ce soit des ordinateurs, des serveurs, des smartphones, des équipements réseaux, des objets connectés ou encore des systèmes industriels.
  • Il existe différents types de malwares et chaque type de malware va avoir un fonctionnement et un objectif de nuisance différent, voici ci-bas les principaux types de malwares:
  1. Virus
  2. Vers informatiques (Worms)
  3. Cheval de Troie (Trojan)
  4. Logiciel de rançon (Ransomware)
  5. Logiciel espion (Spyware)

Un virus informatique est un programme conçu pour s’introduire en infectant des programmes et ainsi se propager d’appareil en appareil, une fois le programme infecté, le virus va chercher à endommager, altérer ou supprimer des fichiers ou des données de votre ordinateurs, pour cela les virus vont injecter du code viral au sein du code du programme hôte, ce programme infecté devient alors l’hôte du virus.

Les vers informatiques ou Worms sont une catégorie de virus, car eux aussi peuvent se dupliquer, cependant ils n’affectent pas vos fichiers ou vos donnée, leurs objectifs d’abord et de se répondre souvent via l’exploitation d’une vulnérabilité pour ensuite se répliquer eux même sans cesse en boucle. Que ce soit sur un disque dur local, de partage réseau, etc., leur réplication en boucle va surcharger l’espace de stockage sur vos ordinateurs et cela va consommer beaucoup de ressources, du processeur, de la mémoire RAM ou de la bandes passante réseau jusqu’au plantage ou l’arrêt complet de vos ordinateurs et services.

Il s’agit de programmes malveillants qui se font passer pour des programmes légitimes, en effet, ils vont embarquer à l’insu de l’utilisateur du sous-programme malveillant. Ainsi quand l’utilisateur exécute le programme légitime, le sous-programme malveillant caché est lancé. L’impact d’un cheval de Troie dépond de la nature du sous-programme hébergé. Le cheval de Troie peut héberger une porte dérobé (Backdoor) ce qui permet aux cybercriminels de prendre le contrôle à distance de votre ordinateur, dans ce cas-là les cybercriminels vont en général chercher à dérober vos informations personnelles et confidentielles que ce soit vos emails, vos mots de passe, vos codes et informations bancaires, les données sur votre vie privé etc. le cybercriminel peut aussi prendre le contrôle de votre appareil pour réaliser des attaques vers d’autres cibles (attaques DDoS) ou tout simplement pour télécharger d’autres malwares comme les Spyware.

Les ransomwares sont des logiciels malveillants de rançon, il s’agit dans ce cas d’un logiciel de rançon, un malware qui va chiffrer toutes les données de l’appareil infecté, c-à-d il va rendre les données illisible et inaccessible pour l’utilisateur, le ransomware prend donc en otage vos données puis demander le paiement d’une forte rançon pour permettre le déchiffrement de vos données, c-à-d les rendre de nouveau lisible et accessible pour l’utilisateur.

Aujourd’hui les cyber-attaques deviennent de plus en plus sophistiquées en employant une combinaison de plusieurs malwares ce qui les rendent plus redoutable.

Un logiciel espion va collecter un maximum d’informations sur vous à votre insu, mots de passe, information de paiement, messages personnels, contacts, habitudes de navigation, informations sur votre ordinateur, bref le spyware va tout fouiller de fonte en comble et récolter un max d’information sur vous. On peut citer les keylogger qui est un type de Spyware qui permet d’enregistrer toutes les frappes sur vos touches de clavier, toutes ses données volées vont être par la suite exfiltrer et envoyer vers les cybercriminels.

APT

Le sigle APT pour Advanced Persistent Threat ou Menace avancée persistante est utilisé depuis 2006 par l’US Air Force aux États-Unis, pour décrire des types spécifiques d’adversaires, exploits et cibles utilisés à des fins de collecte de données stratégique. La cible est souvent une société ayant une activité dans un domaine fortement stratégique ou concurrentiel.

l’APT est donc une attaque informatique persistante ayant pour but une collecte d’informations sensibles d’une entreprise publique ou privée ciblée, par la compromission et le maintien de portes dérobées sur le système d’information.

Elles suivent un modus operandi qui varie peu mais qui s’avère d’une efficacité redoutable : investigation sur la cible potentielle, infection de postes de travail et de serveurs au moyen de chevaux de Troie, rebond à l’intérieur du réseau de l’entreprise ciblée jusqu’à atteindre les données souhaitées, maintien de portes dérobées opérationnelles sur le réseau de la victime afin de conserver un accès constant sur plusieurs mois et s’emparer à loisir des informations sensibles de l’entreprise. Ces attaques sont orchestrées par des groupes de taille variable, dotés généralement de moyens considérables, souvent plus conséquents que ceux dont disposent les professionnels de la sécurité protégeant les entreprises ciblées. Certains de ces groupes sont financés par des États.

Zero-Day

Les exploits par malwares avancées constituent des menaces de type « zero-day » : des attaques encore jamais rencontrées et qui ne correspondent à aucune signature de malware connue. Elles peuvent exploiter une vulnérabilité logicielle jusqu’alors inconnue ou utiliser une nouvelle variante de malware envoyée par des moyens classiques. Ces attaques de type « zero-day » sont impossibles à détecter via les solutions classiques basées sur les signatures. Les malwares de ce type sont également appelés « 0Day ».

Buffer Overflow

Un exploit par Buffer Overflow (ou Débordement de tampon en français) est un Bug informatique dont l’objectif est de créer un plantage totale ou en partie d’un système informatique, ce crash système permettra ensuite d’ouvrir les entrées nécessaires à l’accès et au maintien de portes dérobées sur le système cible.

La technique de cet exploit consiste à insérer des données dans une application, d’une taille supérieure à ce qui est attendu et ensuite faire exécuter le code que l’on a inséré par la même application. Un buffer overflow est plus précisément une vulnérabilité qu’on appelle « applicative », exploitée lorsqu’un processus ou un programme inscrit plus de données que prévu dans un tampon, une zone mémoire d’un ordinateur. À partir de là, les données insérées vont aller écraser des données existantes dans des zones mémoire qui sont proches, d’où le terme « débordement ». Les buffers de mémoire sont des zones pré-réservées et qui ont toujours une limite en taille.

Injection de code

Injection de code dans les application Web

L’injection de code est un modus operandi d’attaque par injection de code arbitraire, de commandes systèmes ou de scripts dans les applications Web vulnérables.
La technique consiste à injecter des bouts de code au sein d’un formulaire disponible dans une application web pour qu’il soit exécuter ensuite et modifier ainsi le comportement du serveur web. Parmi les techniques d’injections on trouve :

  • L’injection SQL
  • Attaque XSS (Cross Site Scripting)
  • Attaques Brute Force et Rainbow Table
  • Upload de fichier (File upload)
  • Vulnérabilité RFI (Remote File Inclusion)
  • Attaque XSRF ou CSRF (Cross Site Request Forgery)

DNS

Les serveurs DNS (Domain Name System)

Les serveurs DNS sont des éléments essentiels dans l’infrastructure réseau d’Internet car elles permettent d’accéder à un site web ou d’échanger des messages électroniques.

Cependant, les serveurs DNS vulnérables peuvent êtres utiliser par les pirates informatiques pour lancer des cyberattaques. Parmi les attaques les plus communes, on trouve principalement :

  • Empoisonnement du cache DNS : Le but de l’empoisonnement DNS est d’acheminer les utilisateurs vers un faux site Web. Par exemple, un utilisateur écrit « bank.com » dans son navigateur Web avec pour objectif d’aller consulter son compte bancaire. Le serveur DNS ayant été empoisonné, ce n’est pas la page « bank.com » qui s’affiche mais une page frauduleuse crée par l’attaquant, dans le but par exemple de récupérer les informations d’identification pour l’accès à son compte bancaire. Les utilisateurs saisissant le nom de domaine correct, ils ne se rendent pas compte que le site Web qu’ils visitent est un faux, une sorte d’arnaque par ingénierie sociale.

Le hacker tentera de manipuler le cache (mémoire temporaire) de la base de données du serveur DNS, le serveur de nom renvoie donc une fausse adresse IP aux requêtes DNS des utilisateurs, ce qui a comme effet le transfert vers un faux site web, ou une machine malveillante.

Les vulnérabilités DNS sont aussi exploitables pour amplifier des attaques de déni de service distribué DDoS à l’insu des utilisateurs.

Signaux d’alertes

  1. Comportement anormal de votre l’appareil, par exemple l’ouverture de fenêtre non désirée et notamment des Pop-up publicitaires. Des demandes de mots de passe sont raison ou des messages d’alertes réguliers de votre appareil.
  2. Il peut avoir aussi un ralentissement de votre appareil. En effet, les malwares peuvent consommés beaucoup de ressources en arrière-plan et par conséquent on va avoir un processeur qui chauffe continuellement ou le ventilateur de votre PC qui tourne souvent à fond, il se peut que votre appareil tombe régulièrement en panne ou alors redémarre souvent sans arrêt et sans raison.
  3. Ou alors vous retrouvez une des données altérées que ce soit par exemple vous trouvez des documents supprimés ou des mots de passe modifiés voir des paramètres de sécurité désactivés.
  4. Parfois, Il se peut que votre ordinateur soit infecté par un malware bien que ce dernier fonctionne bien et tout semble normale, les malwares les plus récents sont plus discret, parce que vos données personnelles ont beaucoup de valeur que ce soit pour les utiliser contre vous, soit pour vous faire du chantage, ou simplement les faire vendre au marché noir.