Discussion :

[tarikbenmerar]

Frankenstein : le virus qui s'assemble à partir de logiciels légitimes
Pour 'se fondre dans la foule'


Victor Frankenstein cousait les parties des corps de ses victimes entre elles pour créer des monstres. Désormais, on s'en inspire pour créer un virus informatique dévastateur, difficile à détecter.



Ce virus a été nommé Frankenstein par ses créateurs Vishwath Mohan et Kevin Hamlen de l'université du Texas. Après l'infection d'un ordinateur, il pioche dans des logiciels communs (et légitimes), tels que Internet Explorer ou Notepad, des fragments de codes appelés gadgets, qui servent à exécuter un type précis de tâches. Ensuite, Frankenstein qui comporte des modèles préécrits exécutant certaines tâches, remplace ces derniers avec les gadgets récupérés.

Cette opération se répète à chaque infection, ce qui signifie que le logiciel malveillant apparaît toujours différemment aux yeux de l'antivirus, tout en assurant le même impact sur la machine infectée.

Hamlen explique que « les deux algorithmes de test que nous avons choisi sont plus simples qu'un logiciel malveillant complet, mais ils représentent une logique maîtresse qu'un vrai malware pourrait utiliser pour se déballer ». Il affirme : « Nous considérons ceci comme une forte indication qu'on peut élargir le concept à un malware complet ».

Le projet de recherche a été financé par l'US Air Force, et Hamlen affirme que Frankenstein peut être particulièrement utile pour les agences de sécurité nationale, pour infiltrer des systèmes informatiques bardés de défenses Antivirus non identifiés.

Il peut ainsi déduire les défenses mises en place à partir des fichiers existants sur le système pour « se fondre dans la foule ».


Source : New Scientist

Et vous ?

Que pensez-vous de ce genre de nouveau concept de Virus ?
Est-il si puissant ce Frankenstein ?

[messinese]

Article trés intéréssant !

En effet, quand on y pense en s'inspirant des techniques d'exploitation de BoF par ROP (construction de gadget pour bypasser les protections actuelles) cela semble tout a fait réalisable !

C'est trés bien pensé de la part des auteurs.

Donc aux questions je répondrai:

Que pensez-vous de ce genre de nouveau concept de Virus ?
Que c'est assez "simple" bien que particulier cela dis trés bien pensé et demande beaucoup de recherche et de temps.
J'en félicite les auteurs tout en me disans que ce nouveau genre peut etre trés largement diffusable et donc dévastateur!

Est-il si puissant ce Frankenstein ?

Je pense qu'il peut l'etre et qu'avec quelques évolution ça peut etre une arme redoutable à l'heure de la guerre des systèmes de l'information.

[Freem]

Marrant cette news après les virus qui ont touchés certain pays...

[hotcryx]

Intéressant mais il y aurait quand même moyen de les détecter: ils changent de "forme" (le code change). Donc toute vérification avant et après, permettront de les identifier.

Maintenant, si le code ne change que sur l'ordinateur infecté, et je crains que ce soit le cas pour plus d'efficacité, effectivement ce sera difficile de les détecter.

[Freem]

Intéressant mais il y aurait quand même moyen de les détecter: ils changent de "forme" (le code change). Donc toute vérification avant et après, permettront de les identifier.

Maintenant, si le code ne change que sur l'ordinateur infecté, et je crains que ce soit le cas pour plus d'efficacité, effectivement ce sera difficile de les détecter.

Ça dépends, si c'est, comme je le pense, la nouvelle copie qui est différente, alors ce système outrepasse ce souci.
Que la nouvelle copie soit sur le même système ou pas ne change rien.

[kolodz]

L'important dans cette technique est de séparé le point d'entré et l'utilisation finale du hack.
Si le défenseur doit vérifier la non présence de point d'entré, cela devient plus complexe que de vérifier la non-présence d'un programme (fichier).

Ce type d'attaque est selon moi très efficace contre un système mise à jour régulièrement depuis des sources extérieurs diverses. Car chaque programme qui dispose d'un système de mise à jour dispose d'un point d'entré légitime.
Pour un système fermé, où il existe une source fiable (et unique de préférence) des programmes. La réalisation d'un anti-virus consisterai simplement à vérifier la correspondance entre le programme sur la machine et sa version "source". Cela veux aussi dire qu'un programme non à jour serai considéré comme non licite et donc à ré-installer avec la nouvelle version de la source.*1 La

Que pensez-vous de ce genre de nouveau concept de Virus ?

Le concept n'est pas nouveau, mais son implémentation l'est. L'ensemble est basé sur le nombre de point d'accès différent qu'est capable de crée un même virus.
Mais si ce virus crée l'ensemble de ces oint d'accès lors de l'infection d'une machine, alors une simple observation du virus permettra de listé ces points d'entré. L'infection serai plus étendu, mais la relativement simple.

Est-il si puissant ce Frankenstein ?

Le principe l'est, mais tout dépend de la réalisation. Si un virus est capable de crée 10 type d'entré différente. Et que celui-ci n'en crée deux nouvelles sur chaque ordinateur infecté. Il vous faudra étudier un peu plus de 10 ordinateurs infectés avec ce virus pour trouver l'ensemble des portes à bloquer.*2
Ce virus ne serai pas in-stop-able, mais lourd à contrer.
Mais cela se base sur un type de défense très perfectible en de nombreux points.

Note 1 : la réalisation d'un sha1 ou d'un md5 sur les fichiers d'un programme serai suffisant à l'établissement d'une identification simple d'une version d'un programme et donc à sa non corruption. Cela prend en hypothèses que seul des personnes mettant à jour la source peuvent modifier un programme...
Note 2 : Je prends en hypothèse qu'on n'ai pas accès à la génération des points d'entrée.

[messinese]

Et bien a priori il faut juste comparer ce type de 'polymorphisme' (si je puis dire) avec les attaques en ROP (Return Oriented Programming) afin de bien comprendre le fonctionnement.

Alors oui, si tu trouve un A.V qui check ton executable avant et aprés exécution tu n'obtiendras quand meme rien !!
Et c'est la que c'est génial justement , il se sert de routine piochée dans l'environnement sur lequel il se trouve afin d'executer ce qu'il souhaite sans avoir de comportement suspect puisque ce n'est pas lui qui le fait !!

Si il as besoins par exemple d'un appel à une fonction de type "socket" (juste pour l'exemple bien sur) alors il ira la chercher par exemple dans I.E de telle maniere que lui ne l'appellera pas directement et ainsi desuite.
C'est ce principe de ce qu'on appelle "Gadgets" qui en fait une arme redoutable.

Une chose est sure : ça change des injection de code dans les dll/lib ou processus actifs !


doc supplémentaire sur le sujet

PS: Qui plus est, les A.V fonctionnent sur des signatures et la ce n'est pas gagné car comment définir la signature d'un tel malware??

[zoonel]

plus d’info ici:
https://www.usenix.org/conference/wo...enign-binaries

D’après ce que j’ai compris ça ne sert qu’a créer un nombre important de mutants du virus/malware difficile à détecter par les antivirus/antimalwares (d’après les auteurs) car combinés à partir de bout de code de programmes légitimes.
Ce n’est pas du ROP (Return Oriented Programming), c’est juste l’idée de bouts de codes qui est reprise.

[messinese]

Oui c'etait l'idée de mes posts :

il faut juste comparer ce type de 'polymorphisme' (si je puis dire) avec les attaques en ROP (Return Oriented Programming)

ça s'en inspire largement

[rt15]

Est-il si puissant ce Frankenstein ?

Pour le moment pas des masses, il se résume à du python et du prolog.
Tout ça prend en entrée des exécutables quelconques et disons... un algo (Semantic blueprint dans la doc). Cet algo est stocké dans un langage intermédiaire qui ressemble à de l'assembleur (Sous forme de "data"). Frankenstein "compile" cet algo non pas en générant du code machine, mais en assemblant des morceau des fichiers exécutables passés en entrée.



De cette manière, Frankenstein peut générer n fichiers exécutables avec du code machine (Venant d'application gentille) différent de l'un à l'autre et pourtant faisant la même chose.

Donc dans l'état actuel, il pourrait être utilisé comme une usine à malware difficilement détectables. Mais pas tout à fait encore, car les possibilités au niveau de l'algo sont encore limitées. Ils ont fait un tri par insertion par exemple. Super méchant lol.

L'étape d'après consiste à faire un vrai virus, autrement dit a écrire frankenstein dans le langage intermédiaire et à le faire générer par lui même !
Il pourra enfin se propager en chiant tout un tas de petits morveux qui font la même chose que lui, mais avec des morceaux de viandes différents. Ces morveux vont eux même s'empresser de devenir papa et ainsi de suite jusqu'à la fin du monde.

[jmnicolas]

Quoiqu'il en soit avant que ce virus puisse nuire, il faut que qu'un attaquant logiciel ou humain ait pris le contrôle de la machine cible et y ait installé le "squelette" de Frankenstein.

C'est quand même pas anodin comme pré-requis.

[ArKam]

Ce que je comprend pas, c'est comment, le systeme ne detecte pas l'appel au binaire legitime par un tiers?

Je veux dire, si le binaire Toto, n'est autorisé à etre appelé que par le systeme ou bien un nombre connu et restreint d'autres application, alors le virus ne pourras pas faire appel à ces dit gadgets non? Ou j'ai pas saisi le sens de leur article

[rt15]

Ce que je comprend pas, c'est comment, le systeme ne detecte pas l'appel au binaire legitime par un tiers?

Il n'appelle pas d'autres binaires. Il ne fait que les lire et fait un copier coller des bouts de codes qui l'intéresse. Ces bouts de codes sont ensuite écrits dans un tout nouveau binaire qui est le malware supposé difficilement détectable.

Concernant les malwares en général et l'appel à des binaires légitimes... Bin ça se passe tous les jours et ce n'est pas un moyen de les détecter. Il doit y avoir un paquet de programmes légitimes ou non qui appellent kernel32, user32, msvcrt...

Dans le cas d'un Frankenstein se reproduisant, c'est sûr qu'un programme qui appelle fopen/CreateFile sur kernel32 peut paraître suspect. Mais ce n'est pas du tout nécessaire. Kernel32 est chargé dans la mémoire du processus, suffit de la lire là.

Mais bon pour le moment, je rappelle que Frankenstein est incapable de se reproduire et se détecte facilement.

[ArKam]

Il n'appelle pas d'autres binaires. Il ne fait que les lire et fait un copier coller des bouts de codes qui l'intéresse. Ces bouts de codes sont ensuite écrits dans un tout nouveau binaire qui est le malware supposé difficilement détectable.

Concernant les malwares en général et l'appel à des binaires légitimes... Bin ça se passe tous les jours et ce n'est pas un moyen de les détecter. Il doit y avoir un paquet de programmes légitimes ou non qui appellent kernel32, user32, msvcrt...

Dans le cas d'un Frankenstein se reproduisant, c'est sûr qu'un programme qui appelle fopen/CreateFile sur kernel32 peut paraître suspect. Mais ce n'est pas du tout nécessaire. Kernel32 est chargé dans la mémoire du processus, suffit de la lire là.

Mais bon pour le moment, je rappelle que Frankenstein est incapable de se reproduire et se détecte facilement.

Ok, merci pour les explications, je comprend mieux comment il fonctionne maintenant.

[Pelote2012]

is alive :-)

Comme quoi, il faudrait que les éditeurs ferme un peut plus l'accès.
M. Tout le monde (pour qui c'est trou se sécu sont généralement fait) est bien gentil, mais quand sa machine sera infecté par ce genre de malware, il entonnera une autre chanson.

[messinese]

is alive :-)

Comme quoi, il faudrait que les éditeurs ferme un peut plus l'accès.

Que veux tu dire par la ?? (pas compris désolé ..)

[Pelote2012]

Pour permettre plus de souplesse et pour que les nobs de l'informatique (je dis ça avec tendresse) ne soit pas bloqué, les éditeurs se permettent de laisser ouvert certaines ouverture à leur soft (ce qu'on appelle "faille" quand un malware empreinte cette ouverture).

Mais pour moi c'est prendre le problème à l'envers. Il faut verrouiller et cadrer l'utilisation et c'est à ton soft de gérer l'ensemble des tâches. Ou alors, s'il doit utiliser des dll ou autre trucs communs, que ce soit fait dans les règles de l'art.

Je comprend la nécessité de faire des soft à moindre cout avec des évolutions régulières et ... mais quand même... Il faut faire un minimum de vérif sur les actions en cours.

[messinese]

Mais pour moi c'est prendre le problème à l'envers. Il faut verrouiller et cadrer l'utilisation et c'est à ton soft de gérer l'ensemble des tâches. Ou alors, s'il doit utiliser des dll ou autre trucs communs, que ce soit fait dans les règles de l'art.

Je comprend la nécessité de faire des soft à moindre cout avec des évolutions régulières et ... mais quand même... Il faut faire un minimum de vérif sur les actions en cours.

Euh... quand tu parles de "vérrouillage" je ne pense absolument pas que cela soit la solution si tu veux dire par la "closed source" bien au contraire meme !

Enfin la on dévit du sujet initial, quoi qu'il en soit je doute qu'une vuln de type BoF soit volontaire hors c'est l'une des plus exploitées dans le domaine applicatif.

Pour finir j'ajouterai que mes précédents posts dans lesquels j'expliquais que ce malware fonctionnait avec des méthodes de ROP sont tout a fait justifiés a présent par la publication d'un descriptif complet (pdf) traitant de ce malware.

notamment ce passage :

As mentioned previously, Frankenstein borrows the idea of
gadgets from return-oriented programming (RoP). RoP is the
latest in the evolution of code injection attacks.

Ainsi, cela ne fais que confirmer mes précédents avis sur la questions et devrait faire réfléchir un peu plus quant a son fonctionnement...et aux risques liés a ce dernier !!

link de ce pdf pour les personnes comme moi intéréssées .

PS: Attention toutefois : cette doc est assez complexe pour les non initiés aux technique d'exploitation et au vxing.