Barracuda full logo

Malware 101 : l’emploi de bombes logiques pour échapper à la détection

Thèmes:
22 nov. 2023
|
Jonathan Tanner

Si l’espionnage entre les gouvernements était de loin l’une des activités les plus prolifiques pendant la guerre froide et constitue encore aujourd’hui une source abondante d’intrigues pour les films et les émissions sur ce thème, l’époque a également vu naître la cyberguerre. En 1982, la CIA, lassée des succès du KGB dans le vol d’informations et de technologies aux États-Unis, a décidé de créer un malware déguisé en logiciel de pipeline.

Le logiciel devait fonctionner comme prévu pendant une durée définie, puis commencerait à envoyer des signaux aux pompes et aux vannes du pipeline qu’il contrôlait, ce qui endommagerait l’équipement, entraînant finalement une explosion sur l’un des oléoducs de l’Union soviétique. Ce malware a été la première bombe logique, une technique d’évasion dans laquelle le malware attend que des conditions spécifiques soient remplies avant de passer à l’action (ou de déclencher la « détonation » comme l’indique son nom).

Fonctionnement des bombes logiques

Une bombe logique peut utiliser autant de conditions différentes comme déclencheurs, le facteur temps en étant l’une des plus courantes. Le malware de la CIA utilisait un intervalle de temps comme condition, tandis que le virus Michaelangelo évoqué dans l’article sur les virus utilisait une date spécifique (le 6 mars). Le virus Elk Cloner, quant à lui, exploitait le nombre de démarrages depuis l’infection comme déclencheur logique. Les bombes logiques ne sont peut-être pas les techniques d’évasion les plus sophistiquées, mais elles peuvent être très efficaces, même aujourd’hui.

L’analyse dynamique est une technique permettant d’inspecter les comportements observés par un fichier particulier. Elle est assez courante parmi les logiciels antimalware et l’analyse manuelle des malwares. Cependant, les logiciels et les analystes ne peuvent consacrer qu’un temps limité à chaque inspection, car les fichiers à analyser sont toujours plus nombreux. Une exécution de malware retardée de quelques heures peut les amener à considérer dès la première inspection qu’un fichier n’est pas malveillant, alors qu’il l’est en réalité.

Bien entendu, les bombes logiques sont bien connues des analystes et des éditeurs de logiciels antimalware, et les techniques visant à faire croire aux programmes malveillants que les conditions des déclencheurs logiques les plus courantes sont remplies sont souvent utilisées au cours de l’analyse. Néanmoins, la lutte entre les pirates et les systèmes de protection est permanente, et les auteurs de malwares plus avancés sont toujours à l’affût de nouvelles techniques permettant à leurs malwares d’échapper à la détection le plus longtemps possible.

Furtivité et tromperie

Même en dehors du cadre des bombes logiques, il n’est pas rare que les pirates parviennent à s’introduire dans un réseau (au moyen d’un malware ou autre) et attendent plusieurs jours, voire des semaines, avant de déployer les systèmes malveillants prévus sur le réseau. Cette technique a été souvent utilisée avec les ransomware, notamment parce que le malware, en n’atteignant pas son objectif, enlève toute possibilité aux pirates de se faire payer la rançon.

Une fois discrètement infiltré dans le réseau, le pirate peut recueillir des informations sur le réseau et les systèmes qui s’y trouvent tout en essayant d’éviter d’être détecté afin d’augmenter les chances de réussite de l’attaque. Même les bots collectent souvent ces informations et les envoient aux serveurs de commande et de contrôle.

Les bombes logiques emploient des techniques de furtivité et de tromperie (le programme qui a produit la première bombe logique s’appelait « Programme de tromperie »), qui peuvent s’avérer très efficaces pour échapper à la détection par les systèmes de protection et les logiciels de cybersécurité. Moins sophistiquées que les autres techniques de malwares et d’évasion, elles n’en sont pas moins stratégiques. La capacité à rester cachées des logiciels antimalware en particulier augmente considérablement le taux de réussite des attaques, un trait commun parmi presque toutes les techniques d’évasion.

Vous pouvez lire le reste de la série Malwares 101 ici

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Billets associés :
Malware 101 : Détection et remédiation
Malware 101 : Détection et remédiation
 Malwares 101 : prévention
Malwares 101 : prévention
 Malware 101 : piratage du système de fichiers : rootkits et bootkits
Malware 101 : piratage du système de fichiers : rootkits et bootkits
 Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Malware 101 : Piratage du système de fichiers : mémoire seule et registre
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.