Barracuda full logo

Malwares 101 : Présentation des malwares

Thèmes:
1 févr. 2023
|
Jonathan Tanner

Les malwares ont parcouru un long chemin depuis la création du premier virus en 1971, tant en termes de sophistication que de prolifération. Plus les informations deviennent numériques, plus les tentatives de vol de ces informations se multiplient, les malwares faisant souvent partie de la chaîne d'attaque. Il s'agit du premier article d'une série qui vise à dresser un bilan général sur les malwares, et plus particulièrement sur les différents types de malwares, afin de mieux appréhender les différentes tactiques et les objectifs des différents types de malwares.

De nouvelles variantes et une complexité croissante

La complexité croissante des malwares et les variantes à objectifs multiples nécessitent une réflexion différente sur les types de malwares répandus. Nous allons donc les classer par catégories pour vous aider à y voir plus clair. Les chaînes obsolètes créées et utilisées par les logiciels antivirus, telles que « Win32/Trojan... », ne permettent pas d'appréhender pleinement les nombreuses variantes qui englobent plusieurs types différents dans ces chaînes, mais choisissent plutôt de ne retenir qu'un seul type pour qualifier la variante, quel que soit le nombre de types auxquels elle correspond réellement.

Ces chaînes décrivent des aspects du malware et restent néanmoins très utiles. Elles rendent compte des différents comportements et aspects des malwares, mais pas de TOUS les aspects et comportements, tant les malwares ont acquis de multiples facettes. Même le terme « malware » a mis des années à s'imposer comme le terme approprié pour la plupart des malwares, et aujourd'hui, certains continuent à appeler tous les malwares des « virus », alors qu'il s'agit d'un type spécifique de malware.

Le logiciel d'analyse statique le plus connu pour la détection des malwares est toujours appelé "antivirus" plutôt qu'"anti-malware", sachant que son utilisation décrit désormais davantage les techniques particulières utilisées que son objectif. L'origine des logiciels antivirus remonte à l'époque où les virus représentaient le type le plus courant de malware utilisé et propagé, d'où leur nom. Ces virus faisaient souvent plus que se propager, mais ils étaient loin d'être aussi sophistiqués et versatiles que la plupart des malwares actuels.

L'évolution des malwares depuis lors est en grande partie liée à un changement d'objectif, ou plutôt à l'intégration de deux objectifs très importants qui sont à la base de la plupart des malwares répandus aujourd'hui : les objectifs nationaux/politiques et le gain financier. Le premier virus et le premier ver ont été conçus simplement pour prouver que c'était effectivement possible.

Le nombre et la nature des données disponibles sous format numérique, la création et l'évolution des marchés permettant d'acheter et de vendre ces données, ainsi que l'importance de ces données (tant pour les entreprises qui les détiennent que pour les autres) ont fait évoluer la conception et l'utilisation des malwares. Cette évolution a également modifié la manière de détecter les malwares.

L'évolution des techniques de détection des malwares

Les logiciels anti-malware utilisent aujourd'hui plusieurs techniques différentes, mais malheureusement, l'antivirus traditionnel est celui qui est le plus accessible et le plus abordable pour les utilisateurs finaux hors des environnements professionnels. Cette technique consiste à rechercher dans les fichiers, la mémoire, le trafic réseau, etc., des séquences d'octets spécifiques connues pour être associées à des malwares. C'est là que les chaînes de classification susmentionnées entrent en jeu, car elles correspondent en interne aux séquences d'octets qui ont été utilisées pour détecter le malware. Il s'agit d'une forme d'analyse statique. Une analyse qui ne nécessite pas l'exécution du fichier pour être effectuée, mais ce n'est pas la seule technique utilisée de nos jours. Il existe également toute une série d'options d'analyse statique plus avancées, qui s'appuient souvent sur l'apprentissage automatique et facilitent la détection. La protection contre les menaces avancées de Barracuda a recours à une telle technologie pour les détecter.

L'autre principal type d'analyse et de détection des malwares est l'analyse dynamique, qui consiste à exécuter l'échantillon et à observer le comportement et les actions réalisées. Étant donné que cela implique potentiellement l'exécution d'un fichier malveillant, ce n'est évidemment pas quelque chose qui devrait être effectué sur les appareils de l'utilisateur final. En général, le fichier est téléchargé sur un serveur qui dispose d'une sandbox sécurisée pour exécuter le fichier et observer les comportements. C'est pourquoi l'analyse dynamique est parfois appelée « sandboxing ». L'analyse dynamique peut également simuler l'exécution du malware, mais il s'agit d'un processus compliqué et la plupart des solutions préfèrent simplement recourir à un environnement sandbox. L'analyse dynamique est à la fois l'origine et le cœur de la protection contre les menaces avancées, car les autres méthodes sont destinées à des types de fichiers spécifiques ou susceptibles de passer à côté de certaines choses.

Un regard vers l'avenir

Au cours de cette série d'articles, chaque article portera sur un type spécifique de malware parmi les quatre catégories qui décrivent les aspects des malwares : méthode d'infection, charge utile/objectif, méthode de propagation et méthode d'évasion.

Par exemple, la chaîne « Trojan » de l'exemple précédent fait référence à une méthode d'infection, à savoir la manière dont un malware infecte un appareil. Une fois l'infection réussie, d'autres actions seront effectuées par le malware pour atteindre son ou ses objectifs, à savoir la charge utile/l'objectif. Il peut s'agir d'un objectif simple, comme le téléchargement d'un autre malware et son installation dans le système, ou de plusieurs objectifs, comme le vol de mots de passe enregistrés, suivi de l'implantation d'un robot dans le système et de l'analyse du réseau à la recherche d'autres appareils vulnérables. Le malware peut tenter de se copier soit sur la machine infectée, soit sur d'autres machines, ce qui constitue une forme de propagation. Enfin, le malware peut utiliser des modèles de conception spécifiques, complexes mais ordinaires, pour échapper à la détection, ce qui constitue une méthode d'évasion.

Les types de chaque catégorie sont tous liés aux chaînes de classification utilisées par les logiciels antivirus traditionnels, mais comme les logiciels malveillants peuvent englober plusieurs types, ces catégories permettent de discerner le comportement que le type décrit réellement. Nous aborderons la signification et l'action de chaque type de malware, les moyens de s'en défendre le cas échéant, en dehors de la méthode de protection classique consistant à « installer un antivirus », ainsi que l'historique et l'évolution de la situation. Des exemples notables seront également inclus pour aider à faire le lien entre le type de malware et les événements très médiatisés qui l'ont illustré.

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.