Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La trace retrouvée de l'attaque contre Kaspersky


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    La trace retrouvée de l'attaque contre Kaspersky
    Ce message n'a pas pu être affiché car il comporte des erreurs.

  2. #2
    Membre actif
    Très bon article ! Une actualité complète très instructive !

  3. #3
    Nouveau membre du Club
    Trés instructif
    Merci pour cette news très fournie en information !
    Incroyable comment ces experts sont capables de remonter les pistes comme ça

  4. #4
    Membre chevronné
    Donc les Etats-Unis ou Israël ont organisé une cyber-attaque contre Kaspersky. Intéressant...

    Je me demande ce qu'ils diraient si les Russes attaquaient Symantec, par exemple...
    J'appelle "Point Traroth" le moment dans une discussion où quelqu'un parle des Bisounours. A partir de ce moment, toute discussion sérieuse devient impossible, puisque la légitimité d'une des parties pour exposer son point de vue est mise en cause. C'est juste un anathème, un moyen de décrédibiliser les autres sans avoir à discuter.

  5. #5
    Candidat au Club
    Bonjour,
    Pouvez-vous m'éclaircir un point, les données collectées sont envoyées depuis le réseau vers un un autre serveur, donc c'est facile de détecter ce genre d'intrusion ?? Merci.

  6. #6
    Membre habitué
    Bonjour,
    Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  7. #7
    Membre confirmé
    Citation Envoyé par philou44300 Voir le message
    Bonjour,
    Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o
    Il y a divers moyen de mettre des choses en mémoire sans passer par des fichiers. Entre autre, le fameux "buffer overflow" (mais dans le cas de Duqu 2.0 c'est probablement une technique nettement plus sophistiquée). Et il est possible de faire ce genre d'attaques directement par le réseau (généralement en utilisant une vulnérabilité d'un logiciel tournant sur la machine cible, comme les serveurs web, les serveurs de bases de données ou tout autre programme permettant un accès depuis l'extérieur). Comme c'est précisé dans l'article, le morceau de code malicieusement placé en mémoire va disparaître au redémarrage de la machine.
    Always code as if the guy maintaining your application is a violent psychopath!
    Site personnel sur la saga Final Fantasy : http://www.final-fantasy.ch

  8. #8
    Membre extrêmement actif
    Citation Envoyé par yayadev Voir le message
    Bonjour,
    Pouvez-vous m'éclaircir un point, les données collectées sont envoyées depuis le réseau vers un un autre serveur, donc c'est facile de détecter ce genre d'intrusion ?? Merci.
    C'est très difficile. Comment distinguer un flux légitime d'un flux qui ne l'est pas? De plus les malware avancés mettent en place des techniques pour essayer d'esquiver les IDS (par exemple en cachant l'information dans du trafic HTTP banal). On peut vérifier l'adresse de destination (l'adresse du C&C), mais celle ci n'est peut être pas encore connue et donc pas encore blacklisté. Mais là encore un malware peut utiliser de nombreux serveurs afin de limiter le blacklistage.

    Citation Envoyé par philou44300 Voir le message
    Bonjour,
    Comment est-ce possible de charger un malware en mémoire sans fichier ni entrée dans la base de registre? La mémoire volatile c'est bien la RAM? A un moment il doit bien y avoir quelque chose qui va faire qu'un code va être exécuté pour que le virus se retouve en mémoire non? En gros comment ce genre de malware fonctionne car je ne comprend pas bien? O_o
    On peut imaginer plusieurs choses. Un executable envoyé par pièce jointe, tu fais pas gaffe tu le lance, le prog est chargé, l’exécutable supprimé. Ou bien en passant par un programme vulnérable déjà en exécution. Par exemple un service qui tourne sur une machine, ou un navigateur web qui visite un mauvais site (site contenant du code malveillant). Une fois que tu as la main sur le programme/service, tu peux exécuter ton propre code. Donc tu peux par exemple lancer un autre processus, dans lequel tu injecte le code du virus. Le virus ne réside donc qu'en mémoire.

    Pour persister, ce stuxnet 2.0 infecte les autres machines du réseau, comme ça si une machine est redémarrée elle sera de nouveau infecté par une autre machine.

  9. #9
    Membre habitué
    Merci pour vos explications . C'est déjà plus clair mais j'ai une quesion sur la réponse de Lordsephiroth: qu'est-ce que le "buffer overflow"? J'en ai déjà entendu parlé comme quoi c'est du dépassement tampon mais comment on peut arriver à un tel état?
    Diplomes: DUT informatique et Master 2 MIAGE.
    Développeur Java/J2EE (principalement), .NET (niveau scolaire mais je compte m'améliorer ) et Web (HTML, PHP...).

  10. #10
    Membre actif
    Un exemple simple en C: utiliser strcpy() pour copier 50 caractères dans un char[15] . Dépassement de l'espace mémoire alloué.

    EDIT : Un Chouette exemple : http://nicolasj.developpez.com/artic...es/pieges/#LII

  11. #11
    Membre expérimenté
    Simplement le buffer-over-flow c'est quand on prévoit un espace mémoire et que l'on entre dedans une chaine qui va dépasser la taille maximale. La chaine va donc arriver quelques part en mémoire. Le but du hacker est de savoir ou et il alors pouvoir écrire la ou il n'a normalement pas le droit pour installer son programme. Théoriquement c'est très simple a éviter mais en pratique il y de très nombreux endroits ou cela peut arriver y compris dans du code que l'on a pas écris mais que l'on utilise mal.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

###raw>template_hook.ano_emploi###