Viro projet - HackMD

--- title: Viro projet tags: VIRO --- # chiffrement fichier https://www.codeproject.com/Articles/26085/File-Encryption-and-Decryption-in-C https://www.codeproject.com/Articles/1259429/Simple-Files-Encrypt-Decrypt https://docs.microsoft.com/fr-fr/dotnet/standard/security/walkthrough-creating-a-cryptographic-application ransomeware exemple de code malicieux: - https://github.com/Whiroo/KiddyAPI/blob/master/KiddyAPI/Crypt/Encrypt.cs - https://github.com/AyrA/CryptoTestTool # Charge active ## moyens d’infection initiaux ? Plus de 50% des menaces exploitent des failles de sécurité [K Labs, fin 2011] Top 10 des fichiers d'attaque (« exploits ») = Adobe (Flash/PDF), Oracle (Java, hausse) [K Labs 2011] 1% des attaques utilisent de vrais 0days [MS 2011] Top 3 des codes d’exploitation : HTML/javascript, documents (dont PDF), Java [MS SIR V14, 2012] Top des vulnérabilités présentes : https://blog.qualys.com/technology/2017/02/07/checklist-qualys-top-10-tips-for-a-secure-compliant-2017 ## Virus et défense **Rétro-virus = code viral avec :** - fonctions de défense : anti-terminaison de processus - 2 processus s’auto-vérifiant et rechargeant - Blocage de mises à jour - Signatures antivirales - Correctifs de sécurité (Windows Updates notamment) **Fonctions d’attaque :** - Tuer processus des solutions de sécurité - Plus de 350 pour certains codes récents…! - Antivirus, pare-feux, outils d’admin… - Changer réglages de sécurité ## Virus compagnon **Type de virus de fichiers classiques qui ne modifient (généralement) pas le fichier hôte.** - créent un fichier copie contenant le virus. - Lorsque le fichier infecté est lancé, la copie contenant le virus sera exécutée en premier. Ex : renomment le fichier hôte, enregistrent le nouveau nom en tant que future référence et ensuite écrasent le fichier original ## El botnet ![](https://i.imgur.com/37JacfG.png) ![](https://i.imgur.com/heT0p9G.png) Rentabilisation: - vol de doc - chantage au DOS - vols Ciblé: - check le systeme ciblé: version, SP, 32/64bits? - failles? - securité présente: - antivirus? - sonde /parefeu => plus difficile a detecter et stopper ## Dropper Dropper / implanteur = téléchargeur Programme capable d’implanter exécutable malveillant Ex: utilisé en exploitation de failles de sécurité Composant générique, téléchargement « à jour » Association courante « trojan dropper » Voir étude de cas plus loin ## Wrapper mais askip ils sont rapidement detecter par les AntiVirus (AV) # Tips ![](https://i.imgur.com/Q02GftI.png) ![](https://i.imgur.com/6AzhLz2.png) ![](https://i.imgur.com/QiehEWE.png) ![](https://i.imgur.com/iJV2dRr.png) ## Furtivité: **evasion AntiVirus polymorphie** - chiffre le code viral - embarquer routine de dechiffrement evolutive - rechiffrement ![](https://i.imgur.com/BxKLPRV.png) **Xor + faux doc** # Idee randoms 1. **Se faire passer pour un programme ?** - genre logiciel Java - en fonction du programme => demande droit admin legit ? 2. **Enregistreur de frappes ?** - recup mdp /url/doc 3. envoie de menace apres recuperation de document ? - mdr ca va loin 4. Bombe logique? ![](https://i.imgur.com/qlQypzf.png) 5. DL autre logiciel malveillants 6. RogueWare, delete avast + faux logiciel a la place? 7. Petit ransomware? => mdrrr compte a rebour 'rancongiciel Jigsaw' => supprime des fichiers au fur et a mesure jusqu'a ce que l'utilisateur accepte de payer 8. bootkit mais je pense que cest long mdr 9. Anti-bac a sable: malware utilise des technique d'anti virtualisation pour eviter d'etre analyser par des sandbox comme cuckoo