La détection des sites malveillants de plus en plus compliquée

Idelways · 23/08/2011, 00h43

La détection des sites malveillants de plus en plus compliquée
D'après un nouveau rapport de Google basé sur l'analyse des données de Safe Browsing

Google vient de publier un nouveau rapport, fruit de quatre ans de lutte antimalware via son service « Safe Browsing » implémenté par défaut sur Chrome et Firefox, et sur d'autres navigateurs via des plug-ins.

Cette étude démontre à quel point la détection des sites web et la prévention des attaques sont devenues compliquées, où les antivirus conventionnels s'avèrent inefficaces face aux nouvelles menaces.

Le processus de détection se complique en raison de la variété des techniques d'évasion employées par les pirates. Des techniques conçues pour prévenir la détection et la catégorisation des sites en tant que malveillants, explique les auteurs du rapport.

Les dix ingénieurs de Google, coopérateurs sur cette étude, se sont basés sur quatre années de données issues de l'analyse de 8 millions de sites et 160 millions de pages Web à partir de l'API (interface de programmation) Safe Browsing qui s'oppose à l'ouverture des sites suspects par des avertissements assez intrusifs.

Google emploie à son tour une variété de méthodes de détection, comme passer à l'épreuve les sites dans une machine virtuelle et noter son comportement, ou encore utiliser des émulateurs de navigateurs qui enregistrent les séquences d'attaque.
Ces émulateurs utilisent un parseur HTML et un moteur JavaScript open source modifié.

Mais une nouvelle sorte simplifiée d'ingénierie sociale implique très peu l'utilisateur et ne nécessite de sa part qu'un simple clic de souris qui déclenche la séquence de l'exploit ou exécute une attaque sur un navigateur non patché ayant une faille de sécurité connue.
Le code malveillant ne se trouve souvent même pas sur la page avant ce clic, ce qui rend impossible la détection classique du malware.

Une technique d'évasion que Google tente de contrecarrer en amenant ses machines virtuelles à cliquer intelligemment. Une solution pas aussi évidente qu'elle peut en avoir l'air.

Une autre technique très prisée par les pirates, connue sous le nom « d'IP cloaking », corse aussi pour beaucoup la tâche de Google. Les sites malicieux qui l'emploient refusent de délivrer du contenu malicieux à certaines plages d'adresses IP, notamment celles connues pour être utilisées par des chercheurs en sécurité.

En 2009, 200 000 sites répertoriés par Google employaient l'IP cloaking. Quelle solution ? Se procurer continuellement des adresses IP « non connues par l'adversaire ».

Quant aux antivirus, leurs éditeurs seraient complètement dépassés par les évènements à en croire Google.
Ces derniers, qui n'utilisent que les signatures des menaces comme moyen de détection, passent à côté des codes exécutables tassés, ou HTML/JS minifiés ou compressés pour passer inaperçus, et s'exécuter quand même.

Bien que de plus en plus sophistiquée, cette méthode ne pourrait être utilisée efficacement pour détecter les menaces en temps réel, ajouté à cela, le fait que les « adversaires peuvent utiliser les antivirus comme des oracles (sic) avant de déployer leur code malicieux dans la nature »

3 millions de ce genre d'alertes sont affichés par jour aux 400 millions d'utilisateurs qui utilisent un navigateur ou un plug-in compatible Safe Browsing.

Mais ce n'est certainement pas assez.

Le rapport détaillé est disponible en téléchargement (PDF, 300 Ko)

Source : Google

Freem · 23/08/2011, 10h07

La ou je rejoins l'article, c'est au sujet des antivirus...

Cela fait bien longtemps que je n'ai plus vu de virus du genre qui infecte un ficher pour se reproduire à l'action. Le dernier que j'ai vu était un pseudo virus qui activait l'attribut "caché" des fichiers et dossier, se dupliquait en donnant à sa copie le nom du fichier/dossier et faisait 2-3 manips dans windows, comme empêcher l'accès à certains trucs.
Le genre de bidules que je fait sauter à la main...

Et le truc marrant, c'est que tous les messages msn/mails infectés que j'ai pu recevoir sont envoyés par des gens qui utilisent un antivirus (le par défaut de la machine souvent) ce qui montre bien un certain dépassement.

Par contre, je suis pas entièrement d'accord sur le passage des antivirus.
Ils utilisent effectivement la détection de signature en arme principale, mais ce n'est pas la seule, cela ferait longtemps qu'ils auraient mis la clé sous la porte, notamment à cause des virus polymorphes et autres saletés auto-modifiées.
C'est d'ailleurs probablement ce qui explique la consommation de ressources de plus en plus extravagante de ces outils.

Dominique49 · 29/08/2011, 09h11

en effet, les moyens sont tellement multiples ... et difficilement détectable pour certains. Un site "d'apparence très bien" peu très bien récupérer les mots de passes que les gens entre pour s'inscrire, et comme la plupart des gens utilisent le même mot de passe ... ça devient d'une simplicité enfantine pour piraté une boite mail par exemple.
L’utilisateur lambda arrive, entre son mail et son mot de passe ...
Et dans 80% des cas, le mot de passe est le même que celui de la boite mail.

Et comment détecter n site de ce genre ?!
c'est pas facile du tout pour ne pas dire impossible ...

Citation:

Le genre de bidules que je fait sauter à la main...

c'est ce que je me disais, jusqu'au jour ou je me suis fait infecter par un virus de ce genre, qui m'a tout bloqué, même l'anti-virus et le gestionnaire des tâches ! Je ne sait pas comment il s'y est pris, sans doute un applet java qi m'a balancé un virus, toujours est-il que j'ai cliqué sur un lien Google, un lien où il étant question de thermodynamique (d'allure honnête quoi).
j'avais à peine cliqué que je me suis retrouvé sur une capture vidéo de l'explorateur window ... je me suis laissé prendre au piège en me demandant où j'étais, et pendant ce temps, le virus à bousillé Avira Antivir, puis toutes les applications ... j'ai réussi à m'en sortir en redémarrant plusieurs fois, jusqu'à ce que je puisse ouvrir le gestionnaire des tâches avant que le virus ne se lance ...

tout ça pour dire qu'on est jamais à l'abri ...

23/08/2011, 00h43	#1
Idelways Coordinateur publications Développeur Ruby on Rails / iOS et journaliste Inscription : juin 2010 Messages : 1 105 Détails du profil Informations professionnelles : Activité : Développeur Ruby on Rails / iOS et journaliste Informations forums : Inscription : juin 2010 Messages : 1 105 Points : 24 231 Points : 24 231	La détection des sites malveillants de plus en plus compliquée La détection des sites malveillants de plus en plus compliquée D'après un nouveau rapport de Google basé sur l'analyse des données de Safe Browsing Google vient de publier un nouveau rapport, fruit de quatre ans de lutte antimalware via son service « Safe Browsing » implémenté par défaut sur Chrome et Firefox, et sur d'autres navigateurs via des plug-ins. Cette étude démontre à quel point la détection des sites web et la prévention des attaques sont devenues compliquées, où les antivirus conventionnels s'avèrent inefficaces face aux nouvelles menaces. Le processus de détection se complique en raison de la variété des techniques d'évasion employées par les pirates. Des techniques conçues pour prévenir la détection et la catégorisation des sites en tant que malveillants, explique les auteurs du rapport. Les dix ingénieurs de Google, coopérateurs sur cette étude, se sont basés sur quatre années de données issues de l'analyse de 8 millions de sites et 160 millions de pages Web à partir de l'API (interface de programmation) Safe Browsing qui s'oppose à l'ouverture des sites suspects par des avertissements assez intrusifs. Google emploie à son tour une variété de méthodes de détection, comme passer à l'épreuve les sites dans une machine virtuelle et noter son comportement, ou encore utiliser des émulateurs de navigateurs qui enregistrent les séquences d'attaque. Ces émulateurs utilisent un parseur HTML et un moteur JavaScript open source modifié. Mais une nouvelle sorte simplifiée d'ingénierie sociale implique très peu l'utilisateur et ne nécessite de sa part qu'un simple clic de souris qui déclenche la séquence de l'exploit ou exécute une attaque sur un navigateur non patché ayant une faille de sécurité connue. Le code malveillant ne se trouve souvent même pas sur la page avant ce clic, ce qui rend impossible la détection classique du malware. Une technique d'évasion que Google tente de contrecarrer en amenant ses machines virtuelles à cliquer intelligemment. Une solution pas aussi évidente qu'elle peut en avoir l'air. Une autre technique très prisée par les pirates, connue sous le nom « d'IP cloaking », corse aussi pour beaucoup la tâche de Google. Les sites malicieux qui l'emploient refusent de délivrer du contenu malicieux à certaines plages d'adresses IP, notamment celles connues pour être utilisées par des chercheurs en sécurité. En 2009, 200 000 sites répertoriés par Google employaient l'IP cloaking. Quelle solution ? Se procurer continuellement des adresses IP « non connues par l'adversaire ». Quant aux antivirus, leurs éditeurs seraient complètement dépassés par les évènements à en croire Google. Ces derniers, qui n'utilisent que les signatures des menaces comme moyen de détection, passent à côté des codes exécutables tassés, ou HTML/JS minifiés ou compressés pour passer inaperçus, et s'exécuter quand même. Bien que de plus en plus sophistiquée, cette méthode ne pourrait être utilisée efficacement pour détecter les menaces en temps réel, ajouté à cela, le fait que les « adversaires peuvent utiliser les antivirus comme des oracles (sic) avant de déployer leur code malicieux dans la nature » 3 millions de ce genre d'alertes sont affichés par jour aux 400 millions d'utilisateurs qui utilisent un navigateur ou un plug-in compatible Safe Browsing. Mais ce n'est certainement pas assez. Le rapport détaillé est disponible en téléchargement (PDF, 300 Ko) Source : Google
	20

23/08/2011, 10h07	#2
Freem Membre Expert Développeur informatique Inscription : décembre 2008 Messages : 428 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : décembre 2008 Messages : 428 Points : 1 482 Points : 1 482	La ou je rejoins l'article, c'est au sujet des antivirus... Cela fait bien longtemps que je n'ai plus vu de virus du genre qui infecte un ficher pour se reproduire à l'action. Le dernier que j'ai vu était un pseudo virus qui activait l'attribut "caché" des fichiers et dossier, se dupliquait en donnant à sa copie le nom du fichier/dossier et faisait 2-3 manips dans windows, comme empêcher l'accès à certains trucs. Le genre de bidules que je fait sauter à la main... Et le truc marrant, c'est que tous les messages msn/mails infectés que j'ai pu recevoir sont envoyés par des gens qui utilisent un antivirus (le par défaut de la machine souvent) ce qui montre bien un certain dépassement. Par contre, je suis pas entièrement d'accord sur le passage des antivirus. Ils utilisent effectivement la détection de signature en arme principale, mais ce n'est pas la seule, cela ferait longtemps qu'ils auraient mis la clé sous la porte, notamment à cause des virus polymorphes et autres saletés auto-modifiées. C'est d'ailleurs probablement ce qui explique la consommation de ressources de plus en plus extravagante de ces outils.
	20

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email