SSTIC 2013 Jour #3 : La réponse aux incidents, ou quelques recommendations pratiques pour les auteurs de malwares
(Par A. Dulaunoy)
Cette conférence fait elle aussi partie de mon TOP. Même si je ne suis pas très balèze dans le domaine des malwares, j'ai tout compris très simplement et en plus Alexandre Dulaunoy (membre d'un CERT Luxembourgeois) est un très bon orateur.
Il a voulu ici, contrairement aux autres orateurs, donner des conseils aux auteurs de malwares, plutôt que simplement casser leur boulot comme le font bien souvent les conférenciers.
Il est parti d'un constat simple : aujourd'hui dans les OS récents, une application doit être signée pour pouvoir être lancée en toute confiance sur le système. À partir de là, il commence à donner plusieurs conseils aux auteurs de malwares.
Premier conseil : puisque vos malwares doivent être signés, essayez de les signer. Il y a dans le monde plus de 600 autorités de certification (ou AC ou CA) et sous-autorités de certification. Au vu de la quantité on peut raisonnablement penser qu'il existe des failles permettant de récupérer la clé privée d'une de ces AC pour signer son malware.
Deuxième conseil : Au lieu de voler d'utiliser des signatures "illégitimes", autant en utiliser une presque vraie. Il est possible d'usurper un sous-domaine d'un domaine certifié, pour se faire certifier grâce à la chaîne de confiance entre certificats.
Mais sinon, on peut faire encore mieux ! Pour cela, il faut un peu comprendre le principe de vérification des signatures dans Windows. Ce principe est simple : on vérifie si le binaire chargé est signé, et après Basta!, on le laisse faire ce qu'il veut.
Donc si on veut écrire un bon malware, on a juste à écrire une DLL qui va charger notre petit code hostile. Ensuite on donne cette DLL à manger à une autre DLL ou à un exécutable Windows signé qui utilise la fonction LoadLibrary (pour charger la DLL). Il y aurait plus de 900 DLL vulnérables à cette attaque dans les derniers Windows.