lolloj - Fotolia
SentinelOne et Palo Alto Networks : les malwares toujours plus créatifs pour échapper à l’analyse
SentinelOne et Palo Alto Networks ont récemment eu l’occasion d’observer de nouvelles techniques employées par les auteurs de logiciels malveillants pour en assurer la discrétion.
Les auteurs de logiciels malveillants ne tarissent pas d’imagination pour échapper aux mécanismes employés pour analyser leurs créations dans les environnements confinés des chercheurs en sécurité. Et ceux de SentinelOne viennent une nouvelle fois d’en faire l’expérience.
Non sans humour, l’un d’entre eux explique, dans un billet de blog que « contrairement aux gens normaux, je passe beaucoup de temps à essayer d’exécuter des logiciels malveillants, et il peut être étonnamment difficile d’arriver à les faire se comporter comme ils sont supposés le faire ».
Cette fois-ci, son analyse portait sur un document Word contenant des macros malveillantes. Et son auteur n’a pas manqué de créativité : son code vérifie le nombre de fichiers mentionnés dans la liste des documents récemment ouverts. Si ce nombre est inférieur à trois, le code malveillant cesse son exécution. Pourquoi ? Parce que « lorsque que la machine virtuelle [utilisée pour l’examen du logiciel malveillant, NDLR] est initialement créée, le logiciel est installé, peut-être ouvert une ou deux fois pour vérifier qu’il fonctionne, puis l’état [de la VM] est enregistré et, à chaque qu’un test doit être effectué, cet état est chargé à nouveau ». Du coup, les VM utilisées ainsi ne ressemblent guère à l’environnement de travail d’une réelle victime potentielle.
Moins surprenant, le code malveillant vérifie l’adresse IP publique de la machine hôte, pour obtenir le nom de domaine associé, et vérifier qu’il ne s’agit pas de celui d’un spécialiste de la sécurité informatique. Les chercheurs de Proofpoint et de Zscaler ont eu l’occasion d’observer des comportements comparables.
Ceux de la division 42 de Palo Alto Networks ont pu constater encore plus rusé : l’exploitation d’une vulnérabilité présente, jusqu’à récemment, dans le désassembleur IDA. Une vulnérabilité mise à profit pour cacher à ses utilisateurs certaines fonctions du code malveillant : il suffisait que leur nom soit… vide.
Ces découvertes soulignent, si c’était nécessaire, les efforts que les auteurs de codes malveillants déploient pour essayer de leurrer les spécialistes de la sécurité informatique dans leur continuel jeu du chat et de la souris.