Marc Blanchard Virus Docteur

Les Téléphones d'aujourd'hui appelès PDA ou Smartphones ou le tout intégré utilisent des systèmes d'exploitations qui se rapprochent de nos ordinateurs. Certains smartphones embarqueront Symbian (en perte de vitesse) d'autres embarqueront Windows Mobile.

Ce compte-rendu s'appuie Windows Mobile, car aujourd'hui et demain Windows CE est et sera la base des tout nouveau device embarquant de l'informatique (avions, voitures, téléphones, télévisions, réfrigérateurs, lecteurs video à la demande, consoles de jeux, etc....)...tout ou presque est orienté maintenant Win CE avec XP(le petit frère) puis maintenant Vista...petit à petit MS fait son nid....On voit deja que Palm remplace son PalmOS par WinCE, que BlackBerry est en chute libre avec son push de mail, car Microsoft, de par les nouvelles versions de Exchange, rend le même service !!!

On sent que Microsoft rentre dans ce marché, car le business est très important !

Par conséquent, nous étudierons les téléphones d'aujourd"hui fonctionnant sous Windows Mobile qui ont une double gestion des devices embarqués (Bluetooth, Wifi, Téléphone, gestion GSM, Infrarouge, RAM, ROM, StorageCard).

En effet, afin de limiter les consommations batteries, une gestion intelligente des alimentations des devices a été étudiée, ce qui signifie qu’une zone de la mémoire est allouée aux applications chargées en veille tout en gardant au maximum leurs fonctionnalités.

C’est pourquoi, une gestion des applications est un peu différente des applications sur PC.

Gestion de la mémoire :

Voici un exemple concret qui permet à l’utilisateur de tuner sa mémoire en Windows Mobile 2003SE, qui est maintenant géré automatiquement par le système Windows 2005 Mobile :

En Windows 2005, la gestion de la mémoire est automatique. En effet, la gestion des applicatifs peut être mise en suspend, en arrêt total ou bien en lancement exclusif.

La gestion des mémoires sur le Smartphone Windows Mobile 2005 est divisée en 3 parties : La flash ROM, la flash persistante et la RAM.

La Flash ROM est l’emplacement mémoire ou les applications seront stockées mais pourront être réutilisées après un arrêt complet du Smartphone.

Par conséquent les données pourront être splittées entre la ROM et la flash.

Par contre, les données stockées dans la ROM seront dédoublées puisqu’il faut qu’ils soient exécutées à partir de la RAM flash et non la ROM qui est leurs stockages persistants. Sous Win2003SE, les données pouvaient être compressées, ce qui n’est plus possible avec 2005.

En Windows2005, la structure des répertoires et des fichiers sont fondues dans un et un seul format de catalogue, permettant à un utilisateur de ne plus confondre la ROM et la Flash persistante ou pas.

La RAM est alors utilisée a 100% pour les lancements des applications. Si une application est trop gourmande, l’OS fermera automatiquement alors une application suspendue, pour laisser maître l’application principale.

Mais cette gestion permet également de protéger le système de toute application dangereuse pour le Smartphone.

Par contre, la gestion intelligente des pages mémoires effectuée par Windows, permet une gestion optimale du mode multi-applications qu’offrent les nano-computers, se rapprochant ainsi du fonctionnement d’un ordinateur de bureau avec ROM/RAM/HD.

La limitation des programmes est limitée à 32 Mb.

En ce qui concerne le file system, la structure a été simplifiée mais ressemble à celle des répertoires et fichiers de Windows

On notera la présence dans le file system de Storage Card, qui est la Mémoire additionnelle.

Accés aux registres de Windows 2005 Mobile :

Il y a deux méthodes d’accès aux registres de Windows Mobile. Il est à noter que ces outils ne sont pas installés d’origine dans le système.

Les meilleurs (ceux qu’ils ne font pas trop de dégâts substantiels dans l’OS) sont ceux distribués par les hackers dans les sites undergrounds.

Attention, certains sites de freeware Pocket ne sont pas forcement des sites de référence, et il peut s’avérer dangereux pour le smartphone ou l’utilisateur non initié d’installer des outils très proche du système.

Il y a deux méthodes d’accès aux bases de registres du nano-computer :

a. Directement sur le SmartPhone avec un outil à installer soit même :

b. Avec ActiveSync connecté au PC :

Comme on peut le constater, on peut créer, effacer, visualiser, modifier les clefs a souhait. Il n’y a pas de notion de sécurité comme nous pouvons l’avoir sur XP.

STACK TCPIP :

Les configurations réseaux TCPIP de tous les supports sont stockées dans les Registres.

On retrouvera ainsi toutes les configurations de base des antériorités de connexions mais également celles qui sont actives.

Il est à noter que ces informations sont conservées même après un reboot du smartphone. Elles seront perdues lors d’un reset général du nano-computer.

La stack TCPIP de Windows 2005 mobile a été simplifiée.

Les vulnérabilités connues a ce jour ne sont pas exploitable sur la stack de Windows 2005 Mobile.

Ci-après un compte-rendu de NESSUS :

En conclusion, les vers actuels, hormis les modifications des heures et dates de réponse des requêtes IP avec l’ouverture des ICMP de la stack, ne peuvent pas spoofer la stack.

Contamination avec fichier EXE ou CAB contenant un virus développé spécifiquement pour Windows Mobile :

Comme toute application, il est demandé une confirmation pour son installation.

Une fois l’opération effectuée le fichier disparait en Windows Mobile 2005, mais s’exécute correctement en Windows Mobile 2003 :

Conclusion :

Contamination avec un virus inséré dans une page WEB HTML (les malwares et spywares download, dialers, keyloggers, adware fonctionnent sur ce principe) :

Sur http://tav.kaspersky.fr, il y a un certain nombre de tests a effectué.

Il s’avère que sur le lien ‘Le test EICAR’ la signature de EICAR est écrite au format HTML :

Conclusion :

Les trafics en temps réel sur les pages web sont traités en HTML et en FTP et interprètés par le navigateur

Les contaminations sous Office Mobile :

Afin de contrôler les possibilités éventuelles sur les codes malicieux sous office, il m'a été intéressant de vérifier les comportements d'Office Mobile en cas de contamination.

La procédure d'infection s'est faite de la façon suivante :

a. Vérification que le document office contient bel et bien le code du virus Melissa

b. Copie manuelle via activesync d'un document Word contenant le virus Melissa

c. Execution du document word afin de lancer le virus

++Conclusion: ++

On constate que MSOffice Mobile ne peut pas executer le code du virus Melissa

Regardons apres une sauvegarde de ce document sous MSOffice Mobile si le virus est transporté par MSOffice Mobile ou pas

Dump du fichier :

On s'appercoit que le virus ne suit pas l'activité du fichier contaminé.

Par conséquent, le document est vide de ses macros suite à des modifications par MSOffice Mobile. Donc, pas de création de fichier d'environnement Normal.dot et pas d'utilisation des APIs Outlook Mobile.

Même constats avec les dossiers Excel Mobiles :

a. Vérification que le virus Yohimbe est bien dans notre fichier hôte Excel contaminé :

b. Copie manuelle du hôte contaminé via activsync :

c. Lancement du fichier Excel avec MSOffice Mobile :

++Conclusion: ++

On constate que MSOffice Mobile Excel ne peut pas executer le code du virus Yohimbe

Regardons apres une sauvegarde de ce document sous MSOffice Mobile si le virus est transporté par MSOffice Mobile ou pas

Dump du fichier :

On s'appercoit que le virus ne suit pas l'activité du fichier contaminé.

Par conséquent, le document est vide de ses macros suite à des modifications par MSOffice Mobile. Donc, pas de création de fichier d'environnement personal.xla

On constate que les attaques sur les smartphones / PDA utilisent des supports différents :

- SMS

- MMS

- WIFI

- Bluetooth

Pour ce dernier, de nombreux scanners sont en libre sur le net, qui permettent, à partir d'un ordinateur portable ou d'un autre smartphone, de scanner les entités autour de le victime.

De nombreux services sont ainsi potentiellement exploitables pour utiliser les téléphones d'aujourd'hui

De nombreux codes malicieux arrivent sur nos smartphones par le biais du Bluetooth, mais également via SMS ou MMS....demain avec la VoIP sur Wifi, les attaques utiliseront ce canal de communication.

a. Demande de pairing avec le smartphone infecté

b. Réception du code malicieux via Bluetooth

c. Validation de l'intallation d'un jeux ou sonnerie, et le smartphone est infecté

Conclusion :

Ne sous-estimez pas la puissance des codes malicieux sur téléphones mobiles, ne pensez pas que cela n'arrive qu'aux autres, car c'est faux.

Voici une petite extraction des familles de codes malicieux s'attaquant aux smartphones et téléphones portables des bases de Kaspersky

Pour la petite annecdote, régulièrement, dans la salle d'attente de mon kiné, des attaques me parviennent sur mon smartphone... Eh oui, mon portable est en invisible sur bluetooth, mais j'ai besoin de mon oreillette bluetooth...c'est par là qu'arrivent les attaques

Le mot de passe des oreillettes est 0000 !!! Facile pour le code malicieux

JDN Solutions - Interview

Marc Blanchard (Kaspersky) : "On peut décompter 20 à 30 millions de bots dans le monde" Le chercheur de Kaspersky revient sur l'évolution des modes de propagation multiplateforme des réseaux zombies. Technologie P2P et consoles d'administration complexifient la lutte antivirale.

JDN Solutions : Pourquoi cette enquête sur les réseaux de PC zombies ?

Ce qui m'y a poussé, c'est la déclaration du 13 juin dernier faite par le FBI et qui faisait état d'un million de victimes potentielles. De source non-officielle, je pense qu'en 2007, on peut en décompter entre 20 et 30 millions. Bien que ce désordre numérique ne soit pas une épidémie - cela fait désormais quelques temps que ce ne l'est plus -, il m'inquiète.

Le spam envoyé depuis des ordinateurs infectés existait déjà, mais en 2007 nous avons remarqué la multiplication des faux serveurs Web et des blogs fictifs, référencés dans les moteurs de recherche. Or, tous ces services sont hébergés sur des machines contrôlées par un bot, c'est-à-dire un robot.

En ce qui concerne le mode de fonctionnement, on reste sur des techniques connues, avec notamment des backdoors et des rootkits. Mais ce que les pirates recherchent, c'est uniquement la multiplication du nombre de machine zombies. En 2003, le temps moyen d'un développement suite à l'apparition un nouvel exploit était de 15 minutes avec propagation sur le net. En 2007, ce temps est seulement de 4 minutes.

JDN Solutions : Quelles évolutions avez-vous notées en ce qui concerne les bots ?

On s'aperçoit que le taux d'utilisation d'une machine contaminée par un bot ou un ver - non Storm - est de l'ordre de 100% du CPU. L'utilisateur va donc vraisemblablement s'apercevoir de la contamination, ne serait-ce que parce que son ordinateur souffre d'importants ralentissements.

J'ai ainsi remarqué que les pirates analysaient désormais le nombre de mégaflops de la machine et divisaient par 2 ou 3 le taux d'utilisation du CPU. Lors de mes tests, j'ai ainsi exécuté Storm Worm sur un ordinateur disposant de 337 mégaflops. Avec ce bot, c'était non plus 100% du CPU qui étaient exploités, mais 47%.

"Il suffit désormais de se rendre sur un site Web pour être contaminé"

Cette prise de contrôle d'ordinateurs vulnérables permet aux pirates de bénéficier d'une puissance de calcul extraordinaire. A titre de comparaison, le supercalculateur du centre de météorologie français, le Cray, dispose d'une puissance de 101 téraflops. Si on ne retient que la moitié du nombre de victimes comptabilisées par le FBI, soit 500 000, et que l'on attribue à chacun une puissance de 210 mégaflops, on peut se faire une idée de la puissance représentée par les botnets.

JDN Solutions : Quel est le mode de propagation des bots ?

Aujourd'hui, les méthodologies de propagation et de contrôle à distance des machines sont différentes. Dans un premier temps, on va essayer de vous pousser une enveloppe vide de toute attaque, en fait une backdoor. Cette porte dérobée va permettre d'accéder à un point d'entrée afin de propager une ou plusieurs attaques : serveur de mail, faux blog, faux DNS, etc. Le robot activé - le bot -, enverra de façon automatisée votre adresse IP au pirate à chacun de ses changements.

Les plates-formes de propagation ont elles aussi changé. Avant, le mode de contamination était essentiellement l'e-mail. Désormais, il suffit d'aller sur un site Web. Il faut savoir qu'un script inséré dans le code d'une page Web permet de modifier en temps réel une clef de registre.

Ainsi, les pirates viennent ajouter du code dans les pages d'origine des serveurs, soit un script ou un iframe, qui va pointer vers un autre serveur. Ainsi, un internaute visitant le site et n'ayant pas un système à jour, comme cela est fréquent, téléchargera le code du programme malveillant.

Les attaques de script - VBS, Javascript, PHP, iframe, etc. - vont de pair avec la montée en puissance de Storm Worm. Depuis août, la base de signature des scripts malveillants a ainsi progressé de 300%.

"Les consoles d'administration permettent de géolocaliser les victimes par pays"

JDN Solutions : Quelles sont les particularités de Storm Bot ?

En plus d'une grande force de calcul, il permet aux pirates de géolocaliser l'ensemble des zombies et repose sur une technologie de P2P. Storm Botnet se compose ainsi de machines hôtes mâles qui vont essayer de trouver 1.000 à 2.000 femelles prêtes à accéder au code géniteur du programme. En outre chaque femelle sera reliée à au minimum 3 machines hôtes. Le maillage est très rapide car les femelles vont essayer également de propager des enveloppes vides à 1.000 à 2.000 autres machines.

Les consoles d'administration permettent quant à elles désormais de géolocaliser les victimes par pays. Un pirate peut même établir des rapports statistiques par pays et télédistribuer une attaque à l'échelon national ou international. Ce mode opératoire permet d'ailleurs de remettre en cause l'implication des autorités chinoises dans les attaques contre la France. Les machines zombies peuvent en effet se trouver en Chine, mais le commanditaire, via ces consoles d'administration évoluées, peut être dans un autre pays.

Autrefois, un botnet était facilement géolocalisable car il reposait sur quelques machines poussant l'attaque. Il suffisait alors d'examiner les traces sur un ordinateur zombie pour retrouver l'identité de ces serveurs hôtes. Une fois ces derniers désactivés, le réseau zombie s'écroulait.

JDN Solutions : Un tel maillage signifie-t-il qu'il est désormais impossible de déconnecter un botnet ?

Ce serait comme essayer d'arrêter un réseau P2P type Kazaa. Trop de machines sont à la fois clientes et serveurs pour qu'il soit possible de faire s'écrouler le réseau de partage. Pour venir à bout de Storm Botnet, il faudrait parvenir à nettoyer l'ensemble des ordinateurs contaminés. Or, il y aura toujours des machines vulnérables.

De vieux programmes comme Blaster, Sasser, Mydoom continuent par exemple d'être au Top 5 des attaques sur le câble. Cela signifie qu'il y a toujours des postes vulnérables qui véhiculent le code sur les réseaux. Avec une propagation multiplate-forme, les pirates s'assurent de toujours disposer d'un nombre de bots suffisant. Et ils y ont tout intérêt puisque leurs profits en dépendent directement.

L'intégrale de l'interview sur le Journal du Net