Malware 101 : Piratage du système de fichiers : mémoire seule et registre

La détection des malwares est plus facile lorsque les malwares sont copiés sur le disque ou en transit, car le système de fichiers et le trafic réseau sont tous deux simples à observer et à analyser les fichiers pour détecter la présence de malwares. À l'exception des implants, il est difficile de pirater les analyses du trafic réseau, mais le système de fichiers peut l'être en partie. Pour ce faire, il existe différentes techniques plus ou moins complexes.

Deux de ces techniques, la mémoire seule et le registre, sont souvent désignées sous le nom de malwares « sans fichier », ce qui est presque une appellation aussi erronée que « sans serveur », mais constitue néanmoins un terme de classification couramment utilisé qu'il est utile de connaître. Alors que les malwares « sans serveur » fonctionnent toujours sur des serveurs, mais pas sur ceux que l'utilisateur doit approvisionner, le terme « sans fichier » fait référence à l'emplacement où le malware est stocké, qui ne fait pas partie du système de fichiers standard (ou qui comporte une couche intermédiaire entre le malware et le système de fichiers). Les malwares « sans fichier » impliquent toujours des fichiers dans le sens où l'artefact du malware est techniquement un fichier, la méthode d'infection initiale est presque certainement sous la forme d'un fichier et, à l'exception des variantes à mémoire seule, le malware est hébergé sur le disque sous une forme ou une autre.

Comment les malwares utilisant uniquement la mémoire et ceux hébergés dans le registre échappent à toute détection

Les malwares stockés uniquement en mémoire, comme leur nom l'indique, sont chargés dans la mémoire plutôt que sur le disque, généralement en injectant un code malveillant dans un processus existant en cours d'exécution. Étant donné que les malwares ne peuvent pas se matérialiser dans la mémoire spontanément, une certaine forme de fichier doit être utilisée pour charger et exécuter les malwares. En effet, l'analyse de la mémoire peut s'avérer une tâche ardue car elle est en constante évolution et sans système de notification, alors que la mise à jour des fichiers sur le disque génère des notifications auxquelles les logiciels anti-malware peuvent se référer.

Le principal inconvénient de cette technique, cependant, est que la mémoire est effacée lors du redémarrage d'un système et que le malware disparaîtra donc à moins qu'un système ne soit en place pour le remettre en mémoire, ce qui peut aller à l'encontre de l'objectif de départ, à savoir le dissimuler dans la mémoire. Bien sûr, cela peut aussi représenter un avantage si l'objectif du malware n'est pas à long terme, car un redémarrage effacera l'artefact du malware, alors que la simple suppression d'un fichier entraînera la présence de fragments du fichier d'origine (comme indiqué dans l'article sur les suppresseurs de données).

Le registre de Windows est essentiellement un stockage clé-valeur (un type de base de données). Il stocke généralement des informations sur les préférences de l'utilisateur et les variables utilisées par le système d'exploitation et les logiciels installés, mais techniquement, tout ce qui est conforme au format de stockage peut être stocké dans le registre, y compris les malwares. En stockant les malwares dans le registre plutôt que sur le système de fichiers, les pirates peuvent contourner les solutions anti-malware qui ne vérifient pas le registre à cette fin. Bien que le registre lui-même soit toujours stocké sous forme de fichiers sur le disque, le stockage des malwares dans le registre plutôt que sur le système de fichiers constitue une couche d'abstraction supplémentaire. Cette charge utile peut ensuite être lancée au démarrage du système.

Utiliser les outils fournis par le système pour couvrir ses traces

Les malwares résidant dans la mémoire et le registre utilisent généralement les outils fournis par le système d'exploitation autant que possible, ce qui rend leur détection encore plus délicate, on parle alors de techniques de type « living off the land » (technique hors sol). Cela limite la quantité de code, et en particulier de code facilement identifiable comme malveillant, qui peut être détecté par les signatures et l'analyse statique. Par exemple, un simple backdoor ne nécessite que l'ouverture d'un port, ce qui est courant parmi les logiciels classiques et une fonction fournie par les systèmes d'exploitation via les bibliothèques de réseau.

Le fait de n'utiliser que des outils et des fonctionnalités fournis par le système peut limiter quelque peu les performances, en particulier pour Linux, où les différentes distributions n'intègrent pas toujours autant de bibliothèques par défaut. Windows, en revanche, dispose d'une grande variété de bibliothèques que les logiciels (et les malwares) peuvent utiliser sans se soucier de savoir si une bibliothèque particulière a été installée par le système d'exploitation lui-même ou si elle dépend d'un logiciel installé sur le système.

La dissimulation des malwares dans la mémoire ou le registre Windows peut être une technique de piratage très efficace. Par exemple, Duqu 2.0 était un ver et un spyware uniquement en mémoire qui a réussi à infecter de nombreuses entreprises de télécommunications ainsi qu'une société qui crée des logiciels anti-malware. En dissimulant les malwares « plus profondément » dans le système, les pirates peuvent plus facilement déjouer certaines solutions anti-malware.

Toutefois, la mémoire et le registre Windows restent des endroits auxquels les logiciels anti-malware peuvent accéder relativement facilement s'ils sont programmés à cet effet (en particulier le registre). Des types encore plus sophistiqués de malwares s'infiltrent encore plus profondément dans le système, ce qui sera abordé dans la deuxième partie consacrée au piratage du système de fichiers.

Vous pouvez lire le reste de la série Malwares 101 ici.