+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 524
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 524
    Points : 43 810
    Points
    43 810
    Billets dans le blog
    2

    Par défaut Les programmes VBA malveillants refont surface

    Les programmes VBA malveillants refont surface
    Quelles techniques les pirates utilisent-ils pour masquer leurs intentions?


    La firme de Sécurité Sophos Labs avertit les utilisateurs de Microsoft Office de la réapparition de malwares VBA dans les applications de la suite bureautique et en particulier Word et Excel.

    Comme l'indique Sophos, la préférence pour Word et Excel réside dans le fait que les utilisateurs sont plus portés à ouvrir ce type de fichier. La raison est que Word et Excel sont des types de fichiers couramment utilisés pour envoyer des avis de livraison de courrier ou de facture, ou similaire. Les pirates ont donc tendance à les exploiter pour leurs campagnes de spam.

    La firme remarque aussi que les pirates ont une certaine préférence pour les anciennes versions d'office à savoir le format « 1997-2003 », même si les versions récentes ne sont pas exclues. Les nouvelles versions d'Office sont compatibles avec les versions antérieures, alors que cela n'est pas réciproque. Ce qui signifie qu'un fichier piégé dans un vieux format peut facilement infecter le PC d'un utilisateur d'une version récente d'Office. Cela pourrait donc justifier la préférence pour les vieux formats.

    « Au cours des six derniers mois, les programmes VBA malveillants sont devenus des menaces récurrentes et une arme essentielle dans les campagnes de spam », a déclaré la firme. Les programmes VBA sont couramment utilisés parce qu'ils sont « faciles à écrire, flexibles et faciles à remanier. Une fonctionnalité similaire peut souvent s'écrire de différentes façons qui donnent aux auteurs de malwares plus d'options pour la production de versions distinctes, réalisables de leur logiciel. »

    Pour masquer leurs intentions dans les codes sources des programmes utilisés dans leurs attaques, les pirates ont utilisé des techniques traduisant leur expertise en VBA. Un programme analysé par Sophos a permis de déceler ces différentes techniques.

    Après avoir extrait le code VBA du programme, celui-ci semblait très complexe à première vue; et pourtant, il était très simple, a indiqué Sophos.

    L'auteur du malware a rembourré son code « dans une tentative de déguiser ses véritables intentions ». Il a d'entrée de jeu déclaré des chaines de caractères absurdes au début de son programme. Ensuite, il a introduit des codes redondants en les réécrivant simplement de différentes façons de sorte à pouvoir tromper la vigilance d'un amateur.

    Un fait remarquable est que le résultat de l'exécution de ces codes redondants ne sera jamais utilisé dans un autre calcul. L'exécution d'un tel code ne fait que gaspiller le temps de calcul et la mémoire. Ce genre de code est connu sous le nom de « code mort » et son élimination donne un code source plus clair et plus compréhensible.

    Le programmeur du malware a encore inséré dans son code source, une portion de « code inaccessible ». Il s'agit en fait d'une partie du code source d'un programme qui ne peut jamais être exécutée parce qu'il n'existe aucun moyen d'y accéder à partir d'un autre point du programme. En l'éliminant, on parvient toujours à un code beaucoup plus clair.

    En simplifiant le code source du malware, la firme de sécurité est parvenue à identifier les intentions de l'auteur du programme VBA malveillant. Voici ci-après les différentes étapes depuis le code source initial jusqu' à sa version simplifiée.

    Début du code source : les parties en rouge sont redondantes


    Code source après élimination des codes redondants et codes morts : les flèches indiquent des sauts de codes inaccessibles


    Code source après élimination des codes inaccessibles, et avec une petite mise en forme:



    Comme vous pouvez le remarquer, les intentions du malware sont plus claires. Le code établit une connexion HTTP au port 8080 sur le serveur 178.xx.xx.xx. Ensuite, il télécharge un fichier sur le serveur appelé abs5ajsu.exe. Après, il enregistre le fichier dans le dossier TEMP sous le nom fdgffdgdfga.exe, avant de l'exécuter.


    Source: Sophos Labs

    Et vous ?

    Quelles sont vos impressions ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre averti

    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2013
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : février 2013
    Messages : 87
    Points : 424
    Points
    424
    Billets dans le blog
    1

    Par défaut

    C'est tout à fait normal d'avoir ce genre de fichier qui circule quand au départ on demande à ce que Excel réalise ce dont il n'est pas fait pour.

    La faille reste le facteur humain.

  3. #3
    Membre éclairé

    Homme Profil pro
    Inscrit en
    janvier 2013
    Messages
    103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 103
    Points : 650
    Points
    650

    Par défaut

    Quand je vois les nouvelles précédentes sur la qualité du code, et que je vois celui-ci, je me peux pas m'empêcher de faire un lien mais où sont passées toutes les règles d'ingénierie ??

  4. #4
    Membre habitué Avatar de Citrax
    Homme Profil pro
    Chargé d'affaire
    Inscrit en
    juin 2014
    Messages
    84
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Chargé d'affaire
    Secteur : Conseil

    Informations forums :
    Inscription : juin 2014
    Messages : 84
    Points : 139
    Points
    139

    Par défaut

    Comme dans l'informatique la loi du yin et yang existe...

    Heureusement que ceux qui s'y connaissent un tant soit peu, arriveront a reconnaitre ce type de code, quand ils ont cet aspect là.
    Pour les autres et neophytes, il faudra appliquer le principe strict de precaution. Et ne jamais ouvrir n'importe qu'elle fichier.
    "Pourquoi faire compliqué......quand on peut faire simple......"

  5. #5
    Expert éminent sénior
    Avatar de Marc-L
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2013
    Messages
    8 412
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 8 412
    Points : 16 645
    Points
    16 645

    Par défaut


    Les codes VBA malveillants refont surface ?

    Mais ont-ils jamais disparus ?! Je ne crois pas, rien n'a changé en dix ans !

    Peut-être une fréquence accrue récemment selon des vecteurs ou media, mais la menace a toujours été là !

    Peut-être de nouveaux utilisateurs se font bernés mais que ce soit une pièce jointe ou un lien dans un courriel,
    si la source est inconnue, à quoi bon prendre des risques ?

    Sans compter les sécurités des macros d'Office déjà présentes depuis au moins la version 2003 …
    Et en activant le mode création ou en gardant la touche Shift enfoncée lors de l'ouverture d'un fichier,
    il est possible d'ouvrir un document sans activer de code … (en tout cas avec Excel)

    __________________________________________________________________________________________________
    Tous unis, tous Charlie
    . . . . . Comme la vitesse de la lumière est supérieure à celle du son, certains ont l'air brillant avant d'avoir l'air con !

  6. #6
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 027
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 027
    Points : 23 945
    Points
    23 945

    Par défaut

    Citation Envoyé par Sirus64 Voir le message
    Quand je vois les nouvelles précédentes sur la qualité du code, et que je vois celui-ci, je me peux pas m'empêcher de faire un lien mais où sont passées toutes les règles d'ingénierie ??
    Détrompe-toi ! Faire sciemment et volontairement du très mauvais code est tout un art, utilisé ici justement pour perdre l'ennemie et cacher les intentions réelles.
    Je l'ai eu pratiqué jadis, en guise d’offuscation sur du code asm, par exemple, ou il était pas inhabituel de faire exécuter des centaines de lignes codes dans un sens et dans l'autre,v oire en travers au grès de la valeur de quelques variables, tout ça pour cacher le rôle réel de la 10ène de lignes réellement utiles
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  7. #7
    Nouveau membre du Club
    Profil pro
    Inscrit en
    août 2011
    Messages
    12
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2011
    Messages : 12
    Points : 28
    Points
    28

    Par défaut

    Effectivement, ceci n'est pas nouveau.

    L'infection par fichier office avec des macros VBA (.docm par exemple) reprends le dessus, les antivirus mettant leur nez un peu partout, ils ne sont pas conçus pour voir ça (comme un flash embarqué dans un .pdf).
    Reste les "sandbox", et encore, payer des centaines de milliers d'euros pour une analyse automatisée qui s'arrête au bout de 10 minutes, c'est de l'arnaque ? Tout en sachant que la plupart des sociétés mettent une sandbox non bloquantes et ne font que remonter les évènements.

    Mais le fichier .zip avec un exécutable (surtout un .scr qui ressemble à une image légitime) reste tout de même le mode privilégié pour l'utilisateur lambda.

    Pour les "grosses" sociétés (cac40 et compagnie) les techniques d'attaques restent nombreuses, et toujours efficaces. En moyenne une vraie attaque (pas un ddos, quelque chose de bien pensé) donne les clés d'administration du domaine en une dizaine d'heures (le fameux utilisateur krbtgt sur les AD). Et ça m'étonnerais pas que certains se baladent depuis des dizaines d'années (je pense à un des géants pétrochimique Français si vous me suivez).
    Aussi à noter, les techniques de "spear phishing" et le "water holling" se développent et deviennent de plus en plus courant. C'est normal vu l'implémentation de la sécurité actuelle en général. Pourquoi passer par une porte blindée alors que la fenêtre est ouverte ?

    La validation sur une gateway mail deviens de plus en plus courante, un utilisateur accrédité va lire les mails avec pièces jointes, et vérifier qu'ils soient légitimes. Mais la encore, des failles résident. Cet utilisateur est un humain et peut être facilement manipulé. Pire, certaines sociétés ont mis cette procédure en place, mais le "validateur" est dans le groupe, avec les droits administrateur du domaine. C'est vraiment faciliter la tâche aux attaquants.

    Tout ça pour vous dire que dans la sécurité il y à beaucoup à faire, et les procédures actuelles ne sont que des pansements sur une jambe de bois.

  8. #8
    Expert éminent

    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2012
    Messages
    3 796
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Finance

    Informations forums :
    Inscription : janvier 2012
    Messages : 3 796
    Points : 7 750
    Points
    7 750
    Billets dans le blog
    17

    Par défaut

    Bonjour,

    Citation Envoyé par Marc-L Voir le message
    Peut-être de nouveaux utilisateurs se font bernés mais que ce soit une pièce jointe ou un lien dans un courriel,
    si la source est inconnue, à quoi bon prendre des risques ?
    On n'a pas encore parlé de l'épidémie de fichiers-joints à la première question (surtout sur le forum Excel. Les forums Word et PowerPoint sont heureusement beaucoup plus tranquilles à cet égard) qui passent directement avec une extension de fichier contenant des macros, (genre .xlsm) et que les modérateurs n'effacent même pas; malgré le texte de Pierre Fauconnier qui dit que les fichiers-joints à la première question sont susceptibles d'être effacés.

    Je trouve que Developpez.com est pas mal hypocrite à cet égard. Ils mettent des articles sur la sécurité des macros, mais ils laissent n'importe quel quidam balancer n'importe quel fichier Excel, même pas "zippé", même si c'est un fichier avec des macros, avec sa première question.

    Je veux bien admettre qu'Excel vienne avec des mesures de sécurité, mais il y a encore des (vieux) classeurs avec des macros non-signées qui obligent certains utilisateurs à autoriser toutes les macros. Ce ne sont pas tous les individus qui savent qu'ils peuvent se créer un certificat, valide un an, sur leur propre machine. Encore faut-il que le projet VBA soit accessible.
    À ma connaissance, le seul personnage qui a été diagnostiqué comme étant allergique au mot effort. c'est Gaston Lagaffe.

    À force de vouloir considérer les utilisateurs comme des imbéciles patentés, on risque de se mettre dans le trouble.

    Excel n'a jamais été, n'est pas et ne sera jamais un SGBD, c'est pour cela que Excel s'appelle Excel et ne s'appelle pas Access junior.

Discussions similaires

  1. [XL-2010] Comment gérer les priorités de mise en forme conditionnelle dans un programme VBA
    Par Alain777 dans le forum Macros et VBA Excel
    Réponses: 3
    Dernier message: 16/04/2015, 22h26
  2. Les ransomwares Cryptowall et Simplocker refont surface
    Par Olivier Famien dans le forum Sécurité
    Réponses: 0
    Dernier message: 13/02/2015, 16h06
  3. [AC-2003] quelqu'un peut m'expliquer les lignes d'un programme(VBA)
    Par abde17-s dans le forum VBA Access
    Réponses: 2
    Dernier message: 22/04/2011, 10h49
  4. Gérer les évènements VBA par programmation
    Par gbuxo dans le forum VBA Access
    Réponses: 14
    Dernier message: 09/05/2006, 11h13
  5. Réponses: 2
    Dernier message: 30/10/2005, 14h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo