Crédit : Dreamstime
L’esprit humain aime catégoriser les choses, et les logiciels malveillants ne font pas exception . Chez CSO, nous avons en fait fait notre part : notre explicateur de logiciels malveillants décompose les logiciels malveillants en fonction de la façon dont ils se propagent (vers auto-propagatifs, virus se superposant à d’autres codes ou chevaux de Troie sournoisement déguisés) en plus de ce qui c’est le cas pour les machines contaminées (rootkits, adwares, ransomwares, cryptojacking et malvertising, oh mon dieu).
Les OSC peuvent découvrir beaucoup de ce type de taxonomie technique, et il y a certainement une utilité à cela. En particulier, il peut être utile de séparer différents types de vecteurs d’infection par des logiciels malveillants plutôt que de les regrouper sous la forme d’une « infection », malgré l’utilisation populaire du terme. Nous pouvons également accorder trop d’importance à ces types de services.
» Une grande partie de la terminologie utilisée pour décrire les logiciels malveillants dans les années 90 et au début des années 2000 est encore techniquement précise, mais peut-être moins pertinente qu’elle ne l’était à l’époque. « , a déclaré Jacob Ansari, Security Supporter et Emerging Cyber Trends Expert pour Schellman, un évaluateur mondial indépendant de la conformité en matière de sécurité et de confidentialité.
» Alors que les logiciels malveillants des décennies précédentes s’installaient sur le système cible, puis s’exécutaient tout seuls sans intervention humaine , la majorité des projets d’attaque contemporains sont dirigés par des groupes d’individus, ce que nous appelons fréquemment des acteurs à risque.Les opposants tentent toujours d’éviter la détection et persistent indépendamment des défenses, et utilisent une gamme d’émissions ou de langages de script pour produire leur code hostile. «
Nous avons donc demandé à Ansari et à d’autres professionnels de la sécurité comment ils décomposent les classifications des logiciels malveillants qu’ils gèrent. En général, nous avons découvert qu’il existe 2 points de vue différents sur la taxonomie des logiciels malveillants : les utilisateurs peuvent considérer comment les infections font leur sale boulot (c’est-à-dire ce qu’elles nous font) ou à quel point elles conviennent à une communauté (c’est-à-dire ce qu’elles fournissent pour un agresseur).
9 types typiques de virus
- Macro virus
- Virus polymorphes
- Virus citoyens
- Virus de secteur d’amorçage
- Virus multipartites
- Droppers
- Beacon/payload
- Packers
- Commande et contrôle
Types d’infection spécifiés par ce qu’ils font aux entreprises
Si les OSC souhaitent un excellent point de vue sur les différents types de logiciels malveillants, ils pourraient faire pire que de parler à quelqu’un qui les compose pour gagner leur vie. C’est la tâche de Dahvid Schloss : il est responsable de la gestion des délits de sécurité au sein de la société de services d’experts en cybersécurité Tier Danger Cyber, où il travaille sur les logiciels malveillants indiqués pour imiter de véritables acteurs de danger afin d’exécuter des plates-formes de commande et de contrôle sur l’émulation contradictoire et les engagements de l’équipe rouge de son entreprise. . Il a décomposé les différents types d’infections avec lesquelles il travaille en fonction de leur fonction.
Virus de macro
» Cette classification est probablement la méthode de malware la plus courante dans le monde, » dit Schloss. » Environ 92 % des attaques externes commencent par du phishing, et les macros sont au cœur du problème. Une macro est une exécution automatique de frappes au clavier ou d’actions de la souris qu’un programme peut effectuer sans interaction de l’utilisateur. En général, nous parlons de Microsoft Word. /Les macros Excel, qui peuvent automatiser les tâches récurrentes sur la feuille de calcul ou le fichier. «
Les macros sont un type de logiciel malveillant extrêmement courant. » L’approche de livraison est crédible, surtout quand elle semble associée au travail « , a déclaré Schloss. » Le langage de codage (Visual Basic, dans le cas de Microsoft) est assez simple. Par conséquent, les macro-infections réduisent la capacité technologique requise pour les composer. «
Lauren Pearce, responsable de la réponse aux incidents chez Cloud Security Business , d’accord. « Nous continuons de constater des dommages considérables causés par des logiciels malveillants non sophistiqués », a-t-elle déclaré. » La macro de document easy Workplace règne en maître en tant que vecteur d’infection préliminaire. «
Infections polymorphes
» Bien que la macro infection soit la plus facile à coder, cette Le type [l’infection polymorphe] serait le plus complexe car le virus est précisément ce que son nom indique : polymorphe », a déclaré Schloss. » Chaque fois que le code s’exécute, il s’exécute légèrement différemment, et normalement chaque fois qu’il est transféré sur une nouvelle machine, son code sera un peu différent. «
Les OSC doivent traiter tous leurs enfants ( ou opposants) de la même manière, mais Schloss a avoué que » cette classification des virus est ma préférée, car elle est élaborée et très difficile à investiguer et à identifier. «
Virus résidents
Il s’agit d’une catégorie particulièrement pernicieuse : une infection désincarnée qui n’existe pas dans le cadre d’un fichier. « Le virus lui-même fonctionne vraiment dans la RAM de l’hôte », a déclaré Schloss.
» Le code du virus n’est pas conservé dans l’exécutable qui l’a appelé ; il est plutôt généralement stocké sur un site Web ou un conteneur de stockage accessible. L’exécutable qui appelle le code résident est généralement écrit comme non malveillant dans l’intention d’éviter d’être détecté par une application antivirus. «
Le terme infection résidentesuggère la présence d’une infection non résidente, évidemment. Schloss précise cela comme « un virus qui est inclus dans le exécutable qui l’appelle. Ces virus se propagent le plus souvent en abusant des services d’entreprise. «
Virus de secteur d’amorçage
» J’aime appeler cette classification le « cocktail d’état-nation », » a expliqué Schloss. » Ces types d’infections sont destinés pour fournir à l’acteur du hasard une persistance illimitée et profonde. Ils infecteront toute la méthode jusqu’à l’enregistrement de démarrage principal (MBR) de l’ordinateur, indiquant que même si les utilisateurs ré-imagent les machines, le virus continuera et aura la capacité de s’exécuter dans la mémoire de l’hôte au démarrage.
» Ces types de virus sont rares à voir au-delà des étoiles de danger des États-nations et dépendent presque toujours d’un exploit zero-day pour pouvoir atteindre le niveau du MBR ou se propagent via des supports physiques tels que des virus infectés USB ou disques durs. »
Virus multipartites
Alors que certains concepteurs de logiciels malveillants peuvent se spécialiser, d’autres adoptent une technique « tout ce qui précède », attaquant partout à une fois.
« Ces types d’infections sont normalement les plus difficiles à comprendre et à traiter », a déclaré Schloss. » Ils infecteront de nombreuses parties d’un système, comprenant la mémoire, les fichiers, les exécutables et même le secteur de démarrage. Nous voyons de plus en plus de virus de cette variété, et ces types d’infections se propagent de toutes les manières possibles, généralement en exécutant plusieurs techniques pour maximiser la propagation. «
Types de logiciels malveillants définis par ce qu’ils fournissent à l’adversaire
Une autre méthode pour considérer les différents logiciels malveillants que les utilisateurs rencontreront est comment ils conviennent à la plus grande photo d’une attaque générale. Rappelez-vous ce qu’Ansari de Schellman a dit ci-dessus : les logiciels malveillants modernes sont déployés par des groupes, et les virus eux-mêmes peuvent également être considérés comme un groupe.
» De nombreux projets de logiciels malveillants consistent en un éventail d’éléments, souvent chacun développé indépendamment et même provenant d’autres acteurs du risque », a déclaré Ansari. Il décompose quelques-uns des différents joueurs :
Droppers : » Ce logiciel malveillant est destiné à déposer d’autres logiciels malveillants sur le système infecté « , a déclaré Ansari. » Les victimes peuvent être contaminées par un compte-gouttes à partir d’un lien, d’un accessoire, d’un téléchargement hostile, etc. catégorie de compte-gouttes », a ajouté Pearce de Redacted. » C’est le logiciel malveillant qui a produit la seule fonction de télécharger et d’exécuter des logiciels malveillants supplémentaires. «
Balise/charge utile : Ces types de logiciels malveillants constituent la phase suivante de l’attaque. « Fréquemment installé par un compte-gouttes, une balise ou une charge utile, le malware renvoie à l’étoile du danger ses méthodes d’accès nouvellement mises en place », a déclaré Ansari. » À partir de là, un attaquant peut accéder aux systèmes victimes via les méthodes développées par la balise et accéder au système, aux données qu’il contient ou à d’autres systèmes sur le réseau. «
Packers : Ces éléments planifient d’autres composants, utilisant des stratégies cryptographiques comme moyen d’échapper à la détection. « Certaines campagnes de logiciels malveillants avancés utilisent une série de packers, intégrés comme une poupée empilable », a déclaré Ansari. » Chacun comprend un autre produit emballé, jusqu’à ce que la dernière charge utile soit capable de s’exécuter. «
Commande et contrôle : Chaque équipe a besoin d’un leader, qui est la fonction de commande et de contrôle des paris sur ces collaborations éléments malveillants.
» Ces systèmes, souvent appelés C&C, CNC, ou C2, fonctionnent au-delà de l’environnement de la victime et permettent à l’acteur du risque de communiquer avec les autres composants du projet malveillant mis en place sur le système cible », a déclaré Ansari. » Lorsque la police cible un acteur dangereux, elle utilise généralement les systèmes de commandement et de contrôle dans le cadre de ses efforts pour arrêter la menace. «
Classification des virus informatiques
Au final, quelle que soit la taxonomie utilisée, elle ne doit pas être extrêmement rigide, mais doit plutôt simplifier la communication d’informations cruciales sur les risques cyber. Ce qui suggère d’adapter le langage au public, a déclaré Ori Arbel, directeur technique de CYREBRO, une entreprise de sécurité.
» Si j’écris pour les RSSI, ils y penseront du point de vue des risques », a-t-il déclaré : » alors que le public comprendrait beaucoup mieux les noms généralement utilisés dans les actualités. Ces catégorisations de virus sont présentées du point de vue de ce qui sera le plus rapidement compris – mais en faisant cela, cette méthode ne communique pas nécessairement les meilleures actions pour les experts en sécurité à prendre.
» Si j’écris pour un groupe de professionnels du renseignement sur les dangers, j’utiliserais des termes liés à la géolocalisation et à l’inspiration de l’agresseur au lieu de ce que fait réellement l’infection. «
Nous terminerons par une dernière façon de catégoriser les virus, une qui a vraiment du sens du point de vue des chasseurs d’infections eux-mêmes : les virus qui sont de dignes ennemis et ceux qui ne le sont pas.
« En tant que rétro-ingénieur, je tire satisfaction du puzzle de l’inversion », a déclaré Pearce de Redacted. « Les macros présentent un risque important pour un réseau, mais elles ne sont pas particulièrement agréables à inverser. Je prends plaisir à inverser des échantillons qui utilisent des techniques d’anti-analyse pour lutter activement contre l’inversion.
» Les logiciels malveillants peuvent utiliser des stratégies d’anti-débogage qui découvrent et répondent à un débogueur grâce à des techniques telles que la somme de contrôle ou les attaques temporelles . L’utilisation de stratégies anti-analyse indique un auteur de logiciels malveillants compétent et sert à augmenter le délai entre la détection d’un échantillon et l’extraction d’indicateurs bénéfiques pour le contrer. «
Ce n’est pas parce que les ennemis sont des malfaiteurs impliquent que les OSC ne peuvent pas les respecter pour avoir mis de la fierté dans leur travail.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
