Marc Blanchard Virus Docteur

Voici une vidéo sur lequelles, je presente mes comptes-rendus scientifiques épidémiologiques sur les rootkits.

Si vous rencontrez un problème de visualisation, vous pouvez utiliser l'outils VLC, téléchargeable sur http://www.videolan.org/

- Conférence MS sur les RootKits

Dans cette rubrique, vous trouverez differentes interventions vocales en MP3 concernant les codes malicieux, malwares et spam....

Bonne écoute !

- Voici une interview sur les attaques NetSky.Q sur BFM 11-03-2004

- Voici une interview sur France-Blue le 31Aout2006 sur le spam

Un egène est un code malicieux mobile, mais mobile sous plusieurs formes aussi bien au niveau de leurs mobilités dans un réseau qu’au niveau de son propre code.

Nous parlons des réseaux Zombies.

Mais que savons nous de leurs:

- Activités ou de leurs objectifs

- Méthodes de fonctionnement

- Géolocalisations

- Durées de vie

- Modélisations

- Interactions sur internet

- Stabilités

En 2002, sur les undergrounds, une idée avait pris forme quant aux nouvelles dispositions sur les propagations de façons la plus transparente possible des egènes malicieux.

Rappel sur la VCI : Virus Communication Interface

Les Infections InterProcess :

Les egènes sont chargés en RAM et peuvent communiquer avec la VCI elle-même logée dans sa propre adresse virtuelle.

Les egènes envoient les informations du type comportement, ce qui a été contaminé, comment, pourquoi l’infection ne s’est-elle pas effectuée, etc… à la VCI en utilisant des protocoles basés TCPIP.

La Stratégie de la VCI :

La « Virus Communication Interface » est capable :

- d’envoyer et de recevoir les informations à une catégorie de egènes appelés Codes Modulaires

- La VCI est capable de se connecter au net pour télécharger des nouveaux exploits et de nouvelles formes de métamorphismes et les envoyer nominativement aux virus modulaires afin que leurs actions soient modifiées

Les 7 étapes que les codes malicieux doivent suivre :

- Portable : Le egène doit être développé pour être indépendant de la plateforme – pas seulement sous Windows

- Invisible : Le egène doit être implémenté pour utiliser des technologies métamorphiques utilisant les APIs systèmes pour rester indétectable le plus longtemps possible

- Indépendant : Auto-réplication Auto-execution sans interaction utilisateur, Embarquement de bases d’exploits

- Intelligent (auto-apprentissage): Le Worm doit être capable d’appliquer lui-même un nouvel exploit « en ligne » avec l’utilisation du protocole WormNet

- Integrité : Egene Modulaire (utilisant la V.C.I.) sont capables d’appliquer des changements substentiels de façon autonome afin d’être le plus caché possible

- Transparence : Pas de code constant (le code est toujours différent) et crypté Les cryptages pourront être différents à chaque contamination de fichiers ou d’ordinateurs cibles en utilisant ou pas la VCI ou via les Inter-Process Communication

- Courte durée de vie : Le egène est de travailler seul, de downloader / Uploader des nouvelles sources d’attaques ou d’exploit

Une fois la mission effectuée, il sera prévu une autodestruction après s’être installé sur une autre machine du subnet via un scanner réseau, un botnet et un rootkit

Durée moyenne d’installation sur la machine victime est estimée entre 2heures et 4 jours

.... A suivre ... Que s’est-il passé depuis ?

Que s’est-il passé depuis ?

Sont apparus de façon significative :

- Les backdoors

- Les codes modulaires

- Les botnets

- Les rootkits

- Les exploitations des failles de sécurité OS et Applis

- Les différentes méthodes de chantages

- Spam

- Phishing

- Pharming

- Keyloggers, etc

Les conséquences :

De nouveaux protocoles sont arrivés exploitant :

- Les applications vulnérables

- Les ports IP standardisés,

- De nouvelles utilisations de ports transparentes pour les firewalls

- Du social engineering

- De la fraude bancaire

- De la fraude de DNS et de noms de domaines

Les recherches :

Les recherches épidémiologiques changent car nous sommes confrontés à plusieurs types de techniques comme :

- La publication de egènes malicieux sur une période courte, afin de ne pas être détectés par les antivirus

- Le Pharming et le DNS poisonning deviennent à la mode

- L’exploitation des réseaux Zombies qui sont maintenant très nombreux

- Les ‘advanced’ worms réplications très émergente utilisant des techniques de multi-threading

''Explications :

- Les Worms à technologie séquentielle infectent un parc de 180000 machines en moins de 500 minutes

- Les Worms à technologie multi-threading utilisant ainsi le parallélisme infectent 180000 machines en moins de 35 sec''

Etude sur les réseaux de E-genes Zombies :

C’est un environnement flou d’un egène et sa capacité d’interagir à travers divers composants.

C’est pourquoi nous sommes obligés d’appréhender le problème différemment avec les egènes qui utilisent les méthodologies du WormNet.

On établit une Carte d’interaction comprenant :

- La Géolocalisation des egènes dans le monde

- Des prédictions de briques élémentaires pour déterminer la dynamique de cet egene

Nous travaillons également sur la composante Temps

- Satellisation de son action sur un temps court

Nous essayons alors de déterminer son évolution :

- Si elle est cyclique - ou si elle est proportionnelle

En ce qui concerne les briques élémentaires, on essaie d'etablir :

- La Définition du réseau zombie

- Si il est Stable ou Instable

- Si sa Qualité est bonne

- Egalement les Process de routage

- Comment les Filtrages peuvent etre effectues par les FW

- Enfin des prédiction sur une Implémentation probable via une modularité de code

On finira notre recherches par des Etudes de Comportements :

- Taux de redépart de l'attaque

- Taux de dégradation (détection AV, blocage FW, etc)

- Stabilité du réseau

Les attaques evoluant chaque jour, nous adaptons ces nouvelles recherches épidémiologiques en fonction des nouvelles technologies des codes malicieux.