Auteur Sujet: Ransomwares, partie 2 : méthodes d'infection  (Lu 625 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne David de Bitdefender

  • Habitué
  • **
  • Messages: 83
  • Réputation: 3
  • Hello world
    • Bitdefender
Ransomwares, partie 2 : méthodes d'infection
« le: 04 juin 2015, 10:56 »
Deuxième partie de notre dossier sur les ransomwares : comment est-on infecté ?
 

 
Quand les ransomwares ont fait leur apparition, l’infection se faisait principalement par le biais d’une pièce jointe piégée, ou via un clic sur une fenêtre pop-up. De nouvelles variantes se diffusent désormais par une simple clé USB ou via les messageries instantanées sous la forme d’une image dissimulant la charge utile.
 
Les dernières versions détectées ne demandent même plus d’interaction avec l’utilisateur. En navigant sur Internet, une publicité malveillante peut identifier une faille présente sur l’ordinateur, dans la majorité des cas provenant d’un plugin de navigateur de type Flash Player, Java, Adobe Reader ou encore Microsoft Silverlight, et lancer automatiquement le téléchargement et l’installation du ransomware – c’est ce qu’on appelle un « drive-by-download ».
 
L’exploitation de la faille détectée entraîne une élévation des privilèges permettant à l’attaquant de disposer de droits administrateur sur le poste, et donc d’exécuter un programme malveillant, sans même passer par le compte local de la victime.
 
Rester caché
Chaque ransomware est conçu pour agir différemment, mais ils sont tous programmés pour éviter d’être détectés par un antivirus classique.
 
L’une des techniques utilisées pour cela est l’obfuscation, c’est-à-dire la complication volontaire du code, de manière à brouiller les pistes afin de passer au travers des niveaux de protection de l’antivirus classique. Cela complique également le reverse engineering pour les professionnels de la sécurité informatique qui auront du mal à analyser ces malwares pour proposer des systèmes de défense approprié.
 
Il faut également savoir qu’au fil du temps, les ransomwares ont évolué pour communiquer vers leur centre de contrôle et commande (C&C server) en HTTPS et via le réseau Tor, les communications chiffrées étant alors quasiment intraçables.
 
Quant aux méthodes de chiffrement, elles se sont de plus améliorées grâce à des crypto-bibliothèques qui utilisent un chiffrement puissant avec un système de clés asymétriques, au lieu d’une clé stockée « en dur » dans le malware.

Source et article complet
 
Dans la troisième et dernière partie, nous verrons les méthodes de défense face aux ransomwares.