IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un malware développé en Java exploite une faille de la plateforme


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Avatar de Francis Walter
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2012
    Messages
    2 315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2012
    Messages : 2 315
    Points : 26 889
    Points
    26 889
    Par défaut Un malware développé en Java exploite une faille de la plateforme
    Un malware développé en Java exploite une faille de la plateforme
    pour infecter des appareils Windows, Linux et Mac OS

    Des chercheurs ont décelé un malware capable d’infecter les ordinateurs fonctionnant sous Windows, Mac OS ou Linux. Les systèmes ayant installé la machine virtuelle Java d’Oracle sont concernés. Les chercheurs ont publié les informations concernant le malware dans un billet de blog de Kaspersky Lab.

    Le malware est entièrement développé en Java. Il exploite une faille de la plateforme Java 7 Update 21 et toutes les versions antérieures. Bien que la vulnérabilité ait été corrigée par la mise à jour de Java publiée en juin par Oracle, le nombre d'utilisateurs encore sur les versions antérieures reste assez important pour tirer la sonnette d'alarme.

    Les chercheurs expliquent que, pour rendre « l’analyse et la détection du malware plus difficile, ses développeurs ont utilisé l’obfuscateur Zelix Klassmater ». Les développeurs du malware ont utilisé différentes clés pour chaque classe utilisée, ce qui rend l’analyse beaucoup plus fastidieuse, d’autant plus qu’il faut « analyser toutes les classes dans l’ordre pour trouver les clés de décryptage ». De même, les constantes de type chaîne de caractères sont chiffrées. Un algorithme de déchiffrement des chaînes se présente comme suit :
    • prendre l'indice courant d'un caractère dans la chaîne cryptée ;
    • calculer le reste de sa division par 5 ;
    • choisir la clé courante en fonction du résultat ;
    • identifier le caractère décrypté en effectuant un module d’addition de 2 bits avec la clé sélectionnée.


    L’algorithme de déchiffrement des cas particuliers se présente comme suit :


    Le malware se copie dans le répertoire personnel de l’utilisateur, puis s’enregistre en tant que service système pour s’exécuter au démarrage du système. Pour l’exécution automatique au démarrage, les commandes suivantes sont utilisées en fonction de chaque OS :
    • Windows : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Mac OS : le service standard launchd est utilisé
    • Linux : /etc/init.d/

    Après s'être enregistré en tant que service système, le malware envoie un signal à ses propriétaires avec un identifiant enregistré dans le fichier jsuid.dat dans le répertoire personnel de l’utilisateur. Le malware utilise ensuite la plateforme PircBot pour établir une communication via le protocole IRC en attente d’instructions de ses propriétaires.

    Source : blog Kaspersky Lab

    Et vous ?

    Qu’en pensez-vous ?
    Avez-vous déjà rencontré ce malware ?
    Vous avez envie de contribuer au sein du Club Developpez.com ?

    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, ...etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre éclairé Avatar de Pilru
    Homme Profil pro
    Dev ASP.NET/jQuery ; Admin ORACLE
    Inscrit en
    Septembre 2007
    Messages
    491
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Dev ASP.NET/jQuery ; Admin ORACLE

    Informations forums :
    Inscription : Septembre 2007
    Messages : 491
    Points : 833
    Points
    833
    Par défaut
    Sauf si le malware provoque une élévation de privilège (ce qui n'est pas mentionné), l'infection de système Linux me parait douteuse.

    Si l'utilisateur n'est pas root, il est impossible d'aller placer un fichier dans /etc/init.d et de lui donner les droits d'exécution;

    Et copier un fichier dans /etc/init.d n'est pas suffisant pour qu'il soit éxécuté au boot...

  3. #3
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    L'obfuscation ... Moi qui ne connaissait absolument pas ce type de procédé, je suis plutot bien surpris !

    Pour ceux qui ne comprennent pas vraiment le fonctionnement, j'ai trouvé des lien biens sympa, dont un de dvlp:
    http://www.the-playground.dk/index.p...ing-encryption

    http://cyberzoide.developpez.com/securite/obfuscation/
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  4. #4
    Membre expert

    Développeur NTIC
    Inscrit en
    Janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 33

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Janvier 2011
    Messages : 1 670
    Points : 3 942
    Points
    3 942
    Par défaut
    Citation Envoyé par Pilru Voir le message
    Sauf si le malware provoque une élévation de privilège (ce qui n'est pas mentionné), l'infection de système Linux me parait douteuse.

    Si l'utilisateur n'est pas root, il est impossible d'aller placer un fichier dans /etc/init.d et de lui donner les droits d'exécution;

    Et copier un fichier dans /etc/init.d n'est pas suffisant pour qu'il soit éxécuté au boot...
    bash + cron mais bon si il est pas root ...

    Question qui n'a rien à voir : Tu fais de l'ASP .Net sous Debian ?
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  5. #5
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 528
    Points
    2 528
    Par défaut
    "Il exploite une faille de la plateforme Java 7 Update 21"

    Il y a donc une solution toute trouvée : mettre à jour à la dernière version, qui est l'update 51.

  6. #6
    Membre confirmé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 648
    Points
    648
    Par défaut
    [Troll]
    Write once, run anywhere
    [/Troll]

    Effectivement je comprends pas l'infection sous Linux... si un expert passe par là, on est 2

  7. #7
    Membre habitué
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    53
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 53
    Points : 168
    Points
    168
    Par défaut
    sur windows seven, pareil, il faut autoriser l'installation de l'appli en tant qu'admin.
    donc en clair, il faut avoir oublié de faire la màj java depuis des mois et ensuite autoriser l'appli à s'exécuter avec un niveau d'autorisation admin.
    Et après, si tu as un firewall, il faut que t'autorises les appels sortants de cette appli
    Ca fait beaucoup de si, non ?

  8. #8
    Membre confirmé Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2013
    Messages
    180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Janvier 2013
    Messages : 180
    Points : 529
    Points
    529
    Par défaut
    Je pense qu'il faut ce posé la bonne question avant de dire que sous linux, c'est impossible qu'on sois infecté par ce malware, dans cette article il manque quelque chose de primordiale comment ce malware s'installe t'il ?

  9. #9
    Nouveau membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2013
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Septembre 2013
    Messages : 19
    Points : 38
    Points
    38
    Par défaut bizarretés
    Bonjour,

    D'après cet article :
    pour rendre l’analyse et la détection du malware plus difficile, ses développeurs ont utilisé l’obfuscateur Zelix Klassmater
    Nul doute que ce cryptage complique son analyse, mais sa détection ? je ne vois pas en quoi ça la complique, si ce codage est indépendant de la plate-forme où il est réalisé : une fois la chaîne à chercher connue, l'antispyware devrait être en mesure de la trouver ? Mais bon, ce sont peut-être juste mes lacunes en cryptographie qui s'expriment là.
    Par ailleurs beaucoup de lignes sont consacrées à décrire cet aspect du malware, alors qu'il n'est qu'anecdotique par rapport à comment s'en protéger, ou comment l'éliminer, par exemple.

    Après s'être enregistré en tant que service système, le malware envoie un signal à ses propriétaires avec un identifiant enregistré dans le fichier jsuid.dat dans le répertoire personnel de l’utilisateur.
    Autre bizarrerie : pourquoi enregistrer l'ID dans « le répertoire personnel de l’utilisateur » si le process s'exécute avec des privilèges ? Quel utilisateur ? celui qui a installé le bot ? Alors il doit exister un autre fichier de conf' quelque part ? Ou bien c'est ce chemin qui est crypté dans le code ? Alors autant y coder la clef directement... Bref, tout ça n'est pas très clair mais encore une fois je suis assez ignare en crypto.

  10. #10
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par Francis Walter Voir le message
    identifier le caractère décrypté en effectuant un module d’addition de 2 bits avec la clé sélectionnée.
    Hum, je sais que je suis pas un expert en sécurité, mais un module d'addition de 2 bits... même si je m'imagine le module d'un nombre imaginaire j'ai du mal à faire le lien... Parlerait-on d'une addition modulo 2 avec les bits de la clé ?
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

Discussions similaires

  1. Réponses: 2
    Dernier message: 01/11/2011, 04h11
  2. Réponses: 6
    Dernier message: 04/02/2011, 15h23
  3. Réponses: 6
    Dernier message: 04/02/2011, 15h23
  4. Réponses: 4
    Dernier message: 30/03/2010, 12h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo