Barracuda full logo

Malware 101 : charges utiles supplémentaires

Thèmes:
2 nov. 2023
|
Jonathan Tanner

Si vous avez déjà lu des rapports annuels sur les malwares, vous avez probablement remarqué que le cheval de Troie est généralement considéré comme la menace la plus courante. Cependant, comme nous l’avons déjà vu, le cheval de Troie est simplement une méthode d’infection et ne décrit pas les fonctionnalités et les objectifs réels du malware. Bien que de nombreux chevaux de Troie aient des objectifs spécifiques, tels que le déploiement de bots ou le vol d’informations, il arrive souvent que le cheval de Troie soit simplement utilisé pour déployer l’attaque proprement dite sous la forme de charges utiles supplémentaires.

Dans le contexte d’un malware, une charge utile est un élément de malware placé dans un système par un autre malware, ou éventuellement par un utilisateur dans le cas d’implants. Lorsque la charge utile est déployée par un cheval de Troie, elle est considérée comme une charge utile secondaire, car il s’agit du deuxième malware utilisé dans le cadre de l’attaque (notez que des charges utiles supplémentaires peuvent également être déployées lors de l’attaque).

Comment fonctionnent les injecteurs et les téléchargeurs

Outre les implants – pour lesquels le processus est manuel – il existe deux méthodes par lesquelles des charges utiles supplémentaires peuvent être déployées automatiquement par d’autres malwares (comme des chevaux de Troie ou des bots). Les charges utiles peuvent soit être intégrées au malware qui les déploie, soit être téléchargées à partir d’Internet.

Lorsque la charge utile est intégrée à un autre malware, ce qui n’arrive en principe qu’avec les chevaux de Troie, celui-ci est généralement désigné par le terme « injecteur » (en anglais « dropper »). L’injecteur convertit la charge utile intégrée en une forme exécutable si nécessaire, puis l’exécute sur le système. Le processus de conversion est parfois nécessaire, car la charge utile est encodée pour se conformer à des normes spécifiques, comme dans le cas des PDF, où les fichiers intégrés peuvent être compressés et/ou encodés dans une représentation ASCII. La conversion peut également être un moyen d’appliquer des techniques d’évasion, grâce auxquelles la charge utile intégrée peut être dissimulée afin d’éviter la détection par une solution antimalware.

Les téléchargeurs (en anglais « downloaders »), comme leur nom l’indique, téléchargent la charge utile supplémentaire qui doit être déployée (elle n’a dans ce cas pas besoin d’être intégrée à la charge utile principale). Le chargeur (en anglais « loader ») est également un terme que l’on retrouve fréquemment, mais sa signification n’est pas particulièrement standardisée. Pour certains fournisseurs de logiciels antimalware, ce terme peut désigner un injecteur et, pour d’autres, un téléchargeur. Il est souvent utile de consulter la documentation de la solution qui utilise les termes « chargeur » et même « injecteur » si une distinction est nécessaire. Il existe même un petit nombre de fournisseurs qui qualifient les fichiers intégrés de « chargeurs » et les fichiers téléchargés d’« injecteurs », ce qui ne fait qu’ajouter à la confusion.

Comment les injecteurs et les téléchargeurs évitent d’être détectés

Pour un pirate qui tente d’échapper à la détection, l’intégration des charges utiles présente des avantages et des inconvénients par rapport à leur téléchargement. L’intégration d’une charge utile ne crée pas de trafic réseau supplémentaire, et le potentiel de détection et/ou de blocage de la charge utile par les firewalls ou d’autres solutions de sécurité qui analysent le trafic réseau pour détecter les malwares est plus faible. Il faut cependant souligner qu’elle augmente la taille du malware initial et expose de façon plus précoce la charge utile supplémentaire à une analyse potentielle des logiciels de sécurité. Dans certains contextes, la simple existence d’un fichier intégré peut suffire à déclencher une analyse supplémentaire des solutions antimalware.

En revanche, le téléchargement des charges utiles supplémentaires permet de réduire la taille du fichier et des instructions à exécuter. Il permet également la collecte de nombreuses informations sur le système et le réseau lors de la distribution de la charge utile supplémentaire. D’autres charges utiles pourront ensuite être déployées en tenant compte de ces informations. Il n’est pas rare que des fichiers légitimes téléchargent des fichiers distants, de sorte que cette action seule peut ne pas suffire à éveiller les soupçons. Malgré tout, en elle-même, la charge utile est exposée à tout système de sécurité réseau.

Dans les deux cas, la logique qui exécute la charge utile ou qui la charge dans un processus est beaucoup plus difficile à masquer, sauf si le type de fichier est connu pour avoir ce comportement (par exemple s’il prend l’apparence d’un programme d’installation). Les deux types de déploiement présentent un autre avantage : comme la charge utile supplémentaire est découplée de la première, la création et la maintenance des deux peuvent également être séparées. Concrètement, dans le cadre d’une attaque, le pirate peut utiliser des injecteurs ou des téléchargeurs existants ou les créer lui-même, et ces composants peuvent être développés indépendamment de la charge utile. De la même manière, le pirate peut créer lui-même les charges utiles ou utiliser un malware existant.

L’évolution continue des attaques

En raison de l’essor du marché des malwares en tant que service (qui est notamment devenu populaire avec les ransomwares) et des outils qui permettent de configurer et de personnaliser les malwares, un pirate n’a pas besoin de savoir coder ses malwares pour lancer une campagne. Les créateurs de malwares n’ont pas non plus besoin de lancer des campagnes, car il est possible de monétiser leur travail en tant que produit ou service, ce qui permet une plus grande spécialisation et une séparation des rôles pour tous les aspects de l’attaque.

Étant donné que la logique requise pour préparer et exécuter des charges utiles supplémentaires est relativement simple par rapport à d’autres objectifs, il est également beaucoup plus simple d’utiliser une plus grande variété de types de fichiers pour gérer cette logique. Les scripts ou les types de fichiers qui peuvent contenir des scripts peuvent gérer ce type de logique, tandis que les interactions plus complexes avec les systèmes d’exploitation nécessitent souvent des fichiers exécutables ou, au minimum, des langages de script plus robustes, qui peuvent ne pas être pris en charge par défaut sur certains systèmes d’exploitation.

Les fichiers Microsoft Office et les PDF sont donc couramment utilisés comme téléchargeurs ou injecteurs, en plus des fichiers exécutables. Cela offre une plus grande flexibilité quant à la manière dont une attaque ou une campagne peut être menée, ainsi que des possibilités supplémentaires pour échapper à la détection. La simplicité et la flexibilité que les injecteurs et les téléchargeurs offrent aux pirates ont généralisé leur utilisation et ont créé des difficultés supplémentaires pour les solutions de sécurité, qui ont dû s’adapter pour détecter ce type de menaces.

Vous pouvez lire le reste de la série Malwares 101 ici

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Malware 101 : Détection et remédiation
Malware 101 : Détection et remédiation
 Malwares 101 : prévention
Malwares 101 : prévention
 Malware 101 : piratage du système de fichiers : rootkits et bootkits
Malware 101 : piratage du système de fichiers : rootkits et bootkits
 Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.