Un sujet bien à la mode dans le domaine du hacking consiste à crypter un fichier dans le but de la rendre indétectable par le plus grand nombre d’anti-virus possible.
On commencera par étudier pourquoi cela est difficile et ensuite on détaillera les techniques qui sont tout de même employées afin de s’en protéger.
Je ne discuterai pas du but de crypter un fichier, cela peut-être légitime pour les faux positifs mais peut également être placé dans la catégorie « illégal » et vous savez pourquoi.
Cet article est à but éducatif uniquement, il démontre qu’il est bel et bien possible de se faire infecter sans que l’anti-virus ne détecte rien.
Pourquoi crypter un fichier ne fonctionne pas toujours
On a généralement deux façons de rendre un fichier indétectable :
- On le crypte à l’aide d’un autre programme souvent appelé « un crypter »
- On bricole dans le but de le rendre indétectable à l’aide de procédés divers
Dans le premier cas, il existe des milliers de crypters sur le net avec même leurs codes sources disponibles.
Seulement, ces crypters sont souvent très semblables, car ils sont basés sur le ou les mêmes codes sources originaux.
Il n’est donc pas rare de voir un crypter rendre carrément détectable un fichier à la base non détecté !
Ces crypters tiennent d’ailleurs seulement quelques jours ou semaines avant d’être détectés à leurs tours.
On distingue habituellement deux types de crypters :
- Les crypters ScanTime
- Les crypters RunTime
Les crypters ScanTime permettant de contourner l’anti-virus lorsque celui-ciscanne le fichier malveillant.
Les crypters RunTime permettant de contourner l’anti-virus lorsque le programme est en train d’être exécuté.
Autre point à soulever, crypter c’est bien, mais quand le fichier crypté se lance toujours correctement c’est mieux !
Très nombreux sont les crypters qui corrompent les fichiers.
On a donc inventé des stratagèmes du type « EOF » pour End Of File.
Qu’est-ce que EOF exactement ?
EOF peut avoir plusieurs significations selon le contexte dans lequel il est employé, il s’agit ici d’une section du PE Header dans laquelle certains malwares (notamment des chevaux de troie) stockent des informations utiles. En cryptant le fichier il est donc nécessaire de préserver ces informations pour ne pas corrompre le malware.
Toujours mieux contourner les anti-virus
Pour toujours mieux combattre les anti-virus, les hackers malveillants ont inventé toutes sortes de procédés.
Des types de crypters différents ont vu le jour comme les CodeDom crypters. LeCodeDom permet de compiler du code source à la volée, par exemple dans le but de rendre uniques les noms des variables et fonctions.
On a ensuite permis au programme malveillant d’être exécuté dans une autre zone mémoire, notamment celle d’un processus considéré « de confiance » commesvchost.exe. Cette technique s’appelle RunPE pour Runtime Portable Executable,elle permet donc d’exécuter un fichier sans qu’il soit présent sur le disque et sans qu’il paraisse suspect, contournant donc les anti-virus. Plus d’infos en anglais.
Des crypters en ligne ont également vu le jour, c’est à dire des sites proposant de crypter gratuitement vos fichiers de façon à ce qu’ils soient totalement indétectables. Cependant il faut rester (très) méfiant avec ces sites et je ne les recommande absolument pas.
Des cloud crypters commencent également à voir le jour, utilisant le réseau pour crypter le fichier dynamiquement.
Alors FUD ou pas ?
FUD pour Fully Undetectable (entièrement indétectable) est très couramment utilisé pour indiqué qu’un fichier crypté n’est détecté par aucun anti-virus. C’est le but supposé d’un crypter.
Seulement, rendre un fichier FUD est difficile mais en plus il ne le reste jamais très longtemps.
Un code source de crypter ?
Comme je le disais, les codes sources sont trouvables un peu partout sur le net, les crypters ne fonctionnent que temporairement, et les fichiers cryptés ne le sont que temporairement. L’article se veut éducatif je le répète et n’est pas destiné à nuire.
Une alternative fonctionnelle aux crypters
Pour crypter un fichier on a vu qu’il est facile d’utiliser un crypter, ce dernier utilisant beaucoup de techniques avancées.
Seulement, c’est plus ou moins fonctionnel et plus ou moins temporaire.
Voici donc diverses techniques, qui demandent plus de temps mais qui fonctionnent plutôt bien. À noter que le fait de rendre le fichier indétectable à 100% n’est tout de même pas garanti.
- Changer l’Assembly
Les programmes .exe contiennent des informations comme le titre, la description, des infos de versions…etc. En changeant ces informations par des informations de programmes connus, les anti-virus peuvent y voir que du feu, et ne parlons même pas des utilisateurs.
- Ajouter une icône à l’application
Un programme avec une icône est toujours moins suspect que la fameuse icône par défaut.
- Augmenter la taille et obfusquer le programme
Un ajoutant des bouts de codes inutiles et en le rendant très difficiles à lire, il est facile de rendre les anti-virus confus, même si ces derniers sont plus intelligents à ce propos, à présent.
- Utiliser msfencode
msfencode permet d’encoder un fichier et est disponible sous BackTrack. Le fichier peut être rendu indétectable en répétant un processus d’encodage.
- Utiliser Dsplit
Dsplit est un programme permettant de séparer un fichier afin d’y trouver la signature que l’anti-virus détecte. Il suffit ensuite d’utiliser un éditeur hexadécimal pour changer la signature.
Comment s’en prémunir ?
Vous pouvez très bien tomber sur un programme appelé Avast.exe qui a la même icône et la même taille que le programme Avast original.
Téléchargez donc seulement des programmes depuis des sites sûrs (officiels) et reconnus, et sûrement pas depuis une pièce jointe ou un hébergeur de fichiers.
Ne croyez pas les publicités vous indiquant que vous avez 523656 erreurs et 86536 virus. Seul votre anti-virus est à croire à ce sujet.
Prenez garde de vérifier vous-même les processus lancés sur votre système, vous pourriez découvrir un programme malveillant que votre anti-virus aurait jugé « sain ».
0 commentaires:
Enregistrer un commentaire