object.title
Les techniques d'évasion / bypass sur les antivirus

Par Adrien C., Expert en Cybersécurité

Avast Antivirus, Kaspersky, McAfee … Outil indispensable de l'internaute prudent, l'antivirus est l'un des remparts dont nous disposons pour se protéger des différents dangers en provenance des internets. Mais, à quel point ce dernier est-il efficace ? Existe-t-il des moyens de contourner les protections que celui-ci met en place ? Je vous propose aujourd'hui de nous pencher sur la question à travers cet article.

L'Antivirus, un logiciel protecteur ?

Comme son nom l'indique, il s'agit d’un logiciel conçu initialement pour identifier, neutraliser et détruire des logiciels malveillants (dont les virus informatiques ne sont qu'une catégorie parmi tant d'autres).

Ces derniers peuvent se baser sur des failles de sécurité pour arriver à leur fin, mais il peut également s'agir de logiciels modifiants ou supprimant des fichiers, que ce soient des documents de l'utilisateur stockés sur l'ordinateur infecté, ou des fichiers essentiels au bon fonctionnement de l'ordinateur (le plus souvent ceux du système d'exploitation). Citons également les ransomwares, qui chiffrent dossiers et fichiers pour prendre en otage vos données.

De manière générale, un antivirus scrute régulièrement les fichiers et courriers électroniques, les secteurs de démarrage (afin de détecter les virus qui affectent le boot), mais aussi la mémoire vive de l'ordinateur, les supports amovibles (clefs USB, CD, DVD, etc.), les données qui transitent sur les éventuels réseaux (dont internet), etc.

Trois méthodes de détection...

On distingue 3 méthodes de détections possibles des malwares :

  • La méthode principale, et sans doute la plus commune, est l'identification de la signature virale, que l'on trouve dans un fichier infecté. Lorsqu'un nouveau malware émerge, sa signature virale (défini par une partie de son code), est isolée et intégrée dans une base de données. Elle sera ensuite comparé régulièrement avec le code des fichiers présent sur l'ordinateur.
  • La méthode heuristique, connu pour être relativement efficace, étudie un potentiel code malveillant via son comportement. L'antivirus exécutent le code ou le script de fichier à analyser dans un environnement "bac à sable" tout en analysant en parallèle les instructions du programme afin connaître le comportement de ce dernier tout en isolant le code du fichier suspect de la machine réelle.
    Si l’antivirus détecte des instructions suspectes comme la suppression de fichiers ou le lancement de processus multiples, le fichier concerné sera identifié comme un virus et l’utilisateur sera alerté. Toutefois, il arrive que la méthode heuristique génère des faux positifs.
  • Enfin, il existe la méthode par analyse de forme qui repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode est reconnue pour être efficace dans certains domaines particuliers, comme les serveurs de messagerie électronique supportant les regexp type postfix puisqu'elle ne se base pas sur un fichier de signatures.

En matière de périmètre à surveiller, les antivirus peuvent balayer le contenu d'un disque dur, mais également la mémoire vive de l'ordinateur.
Pour les versions les plus modernes, ils travaillent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux descendant (téléchargement) que montant (téléversement ou upload).

Dans un monde idéal, on pourrait penser que les méthodes énoncées ci-dessus sont fiables à 100 % et nous garantissent une bonne protection en toute circonstance…

" Mais ça serait oublier le premier commandement de la cyber-sécurité :
Le risque zéro n'existe pas ! ".

... Limitées !

Avec le temps, les cybercriminels ont développé un ensemble de techniques pour contourner les protections offertes par les antivirus, dont voici une liste non exhaustive :

Compression / chiffrage du code
La majorité des malwares modernes sont compressés et chiffrés. Le code malveillant étant profondément modifié sans toutefois changer en matière de comportement, ce dernier échappe à l'identification de sa signature virale. Les antivirus sont donc obligés antivirus d'ajouter de nouvelles méthodes de décompression/déchiffrage ou de nouvelles signatures pour chaque échantillon de programme malveillant identifiés.

Rootkits
Les technologies de dissimulation, ou « rootkits », sont des logiciels qui peuvent intercepter et remplacer des fonctions système d'un OS afin de rendre le fichier infecté invisible par le système d'exploitation et les logiciels antivirus. De plus, les branches du registre où sont enregistrés le cheval de Troie et d'autres fichiers système peuvent également être dissimulés.

Blocage des logiciels antivirus et des mises à jour des bases de données antivirus
Au lieu de jouer la carte de discrétion, certains attaquants préfèrent directement mettre à terre l'antivirus de sa victime avant d'en compromettre la machine.
Beaucoup de malwares infectant les réseaux recherchent activement les logiciels antivirus dans la liste des processus actifs sur l'ordinateur ciblé.

Le programme malveillant tente ensuite d'effectuer un ensemble d'actions tel que :

  • Bloquer le logiciel antivirus
  • Modifier la base virale pour devenir invisible
  • Entraver le bon fonctionnement des processus de mise à jour du logiciel antivirus

Pour se défendre contre cette technique, l'antivirus doit se défendre en contrôlant régulièrement l'intégrité de ses bases de données et en masquant ses processus.

En conclusion, nous ne pouvons que constater l'ingéniosité des deux camps (concepteur d'antivirus et attaquant) dans l'élaboration des méthodes de détection et la manière de les contourner.

À lire ⤵

https://theexpert.squad.fr/theexpert/digital/la-steganographie-une-technique-souvent-oubliee/
https://theexpert.squad.fr/theexpert/security/splunk-la-meilleure-solution-siem-adrien-c-fait-son-retour-dexperience/