Anatomie des malwares modernes : pourquoi un éditeur d’antivirus doit aujourd’hui savoir tout faire

Si l’image historique du virus fait encore partie de l’imaginaire des utilisateurs de PC, la réalité est aujourd’hui bien plus complexe. Les malwares actuels dépassent largement le cadre étroit d’un simple programme isolé qui s’exécute sur un ordinateur.

Ils s’appuient désormais sur des infrastructures Internet étendues, des équipes de développement compétentes et mettent en œuvre des techniques avancées pour piéger les internautes.

Prenons comme exemple le piratage du jeu en ligne Counter-Strike 1.6. Malgré son ancienneté, le jeu continue à trouver des adeptes. On peut parler d’environ 20 000 joueurs en ligne et de 5000 serveurs de jeu enregistrés sur Steam. 

La vente, la location et la promotion de serveurs de jeu est une activité lucrative bien connue et ces services sont accessibles sur différents sites web. La promotion de serveurs de jeu peut se faire de manière indépendante mais de nombreux propriétaires de serveurs achètent des services sur Internet et ne savent finalement pas très bien comment fonctionne la publicité de leurs serveurs.

C’est ce qui a donné l’opportunité au pirate agissant sous le pseudo "Belonard" de monter une arnaque, et une attaque. 

Le propriétaire du serveur malveillant utilise des vulnérabilités du client du jeu ainsi qu’un Trojan comme base technique de son "business". Le Cheval de Troie a pout but d’infecter les appareils des joueurs et de télécharger un malware pour "sécuriser" le Cheval de Troie dans le système et le diffuser sur d’autres machines. Pour cela, le pirate exploite les vulnérabilités RCE (Remote Code Execution), dont deux ont été découvertes sur le client officiel du jeu et quatre sur le client piraté du jeu.

Une fois dans le système, le Trojan Belonard remplace la liste des serveurs de jeu disponibles dans le client du jeu puis créé des proxy sur l’ordinateur infecté pour diffuser le Cheval de Troie. De manière systématique, les serveurs proxy apparaissent en haut de la liste. Lorsqu’il sélectionne un serveur, le joueur est redirigé vers un serveur pirate sur lequel sa machine est infectée par le Trojan Belonard.

En utilisant cette technique, le pirate est parvenu à créer un botnet, un réseau de serveurs malveillants, représentant 39% de l’ensemble des serveurs du jeu CounterStrike 1.6. Un réseau de cette ampleur a permis au pirate de "promouvoir" d’autres serveurs pour de l’argent, les ajoutant à la liste des serveurs disponibles dans les clients de jeu infectés.

Ici, les attaques du Cheval de Troie sont invisibles pour l’utilisateur.

Le Trojan.Belonard est constitué de 11 composants et opère selon différents scénarios, en fonction du client de jeu. Si le client officiel de jeu est utilisé, le malware infecte l’appareil via une vulnérabilité RCE, exploitée par le serveur malveillant, puis s’installe dans le système. Si l’utilisateur télécharge un client infecté depuis le site du propriétaire du serveur malveillant, la pénétration du Cheval de Troie dans le système est "assurée" après le premier lancement du jeu.

Comme on le voit, le piratage du jeu implique un certains nombre de techniques : utilisation d’un malware relativement complexe, création de serveurs proxy, création et gestion d’un botnet, connaissance et exploitation de vulnérabilités inhérentes au jeu, etc. 

La bonne nouvelle, c’est qu’un éditeur d’antivirus historique a eu des années pour observer les évolutions des méthodes de piratage. Il a ainsi pu accumuler de l’information précieuse sur les techniques utilisées et les groupes derrière chacun des composants impliqués. Aujourd’hui, cela est à la mode et s’appelle de la "Threat Intelligence", et de nombreuses sociétés récentes proposent de tels services. Mais, en réalité, les éditeurs d’antivirus historiques en font depuis toujours, car cela est vital à leur activité.

L’éditeur d’antivirus doit donc intégrer à la perfection le renseignement sur la menace ("quel groupe fait quoi actuellement ?", "quelle est la nouvelle technique d’interception du trafic web proposée à la vente ?") et le produit de ses propres recherches, afin d’anticiper sur les évolutions techniques des attaquants. Il lui faut, par exemple, sans cesse tenter de trouver les points de passage incontournables pour différentes attaques. Ceux-ci feront alors d’excellents marqueurs qui permettront de détecter une large gamme de codes malveillants nouveaux reposant sur les mêmes techniques. Et cela paie.

Finalement, il y a beaucoup de choses qui se passent, et beaucoup d’expertises très variées, derrière la simple analyse d’un antivirus dit "traditionnel".