Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Un tel exemple est le malware Double Agent qui repose sur le mimétisme pour poursuivre son attaque. Ce maliciel suit parfaitement le dicton « si vous ne pouvez pas les vaincre, joignez-vous à eux » en se faisant passer pour un antivirus. Imaginez-vous le scénario suivant : vous êtes en train d’installer un antivirus afin de renforcer le niveau de sécurité de votre ordinateur. Ce que vous ne le savez pas encore est que cet outil soi-disant « de protection » ouvre une nouvelle porte aux pirates.
En effet, les créateurs de Double Agent ne fuient pas les antivirus comme les autres pirates, bien au contraire ils s’en servent plutôt comme vecteur d’attaque. Découvert par une équipe de chercheurs de Cybellum, le maliciel réussit à manipuler les antivirus les plus connus sur l’ensemble des systèmes d’exploitation Windows (à partir de Windows XP jusqu’à au Windows 10 inclusivement). Sur la liste, vous trouverez des noms comme Avast, AVG, Avira, Bitdefender, Trend Micro, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Norton – pratiquement la plupart des antivirus existants sur le marché.
Le maliciel a pu passer inaperçu pour la majorité des logiciels de sécurité grâce à une vulnérabilité critique découverte à peine il y a trois mois qui permet aux cyber-délinquants de prendre le contrôle total d’un ordinateur à distance.
Un zero-day avec tolérance zéro
Pour toute nouvelle application que nous souhaitons utiliser, une procédure de vérification est réalisée par le système Windows avant tout lancement proprement-dit de l’application. Ceci est le rôle de l’outil « Application Verifier » (AP).
L’AP sert également aux développeurs pour identifier ou mettre à jour des applications défectueuses. La procédure commence d’abord par charger une DLL (Dynamic Link Library ; en français « bibliothèque de liens dynamiques ») fournie par Microsoft. Une fois enregistré sur la machine, Windows Loader intègre de manière automatique la DLL dans tous les processus concernés. À partir de ce moment, le système d’exploitation requiert le chargement automatique de la bibliothèque avant tout démarrage des applications qui en font appel.
Mais que se passerait-il si quelqu’un arrive à remplacer une DLL officielle par une DLL malicieuse ? Dans ce cas, elle sera intégrée directement dans tous les processus dépendants de cette bibliothèque sans se faire détecter par le système. Il ne reste qu’un pas pour prendre le contrôle de l’application et la rendre malicieuse (voir le PoC de l’attaque Double Agent sur GitHub ici).
En plus de détourner le bon fonctionnement des antivirus, cette technique donne la possibilité d’installer une porte dérobée sur le système cible et d’extraire même les données personnelles de l’utilisateur.
Bien évidemment, de l’extérieur, rien ne change – pour l’instant.
Comment réagir face à la neutralisation de votre antivirus
Alors que les résultats trouvés par les analystes de sécurité sont sans doute effrayants, il faut souligner que l’exploit nécessiterait des privilèges d’administrateurs pour mener l’attaque. C’est probablement pourquoi ce vecteur est fortement surestimé par les géants fournisseurs d’antivirus.
En effet, nous pouvons toujours restreindre les privilèges locaux sur la machine, en utilisant le système d’exploitation avec un compte d’utilisateur standard plutôt que d’administrateur. C’est une stratégie qui devrait atténuer ou rendre extrêmement difficile l’exploitation réussie. Cependant, une attaque de type Double Agent restera toujours possible, même si trop peu probable.
Pourquoi s’intéresser au sujet dans ce cas ? La réponse nous semble évidente : car il est de notre devoir de considérer sérieusement même les situations les plus improbables.
En un mot, il faudra peut-être arrêter de croire aveuglément dans les capacités des solutions de sécurité traditionnelles. Comme cela s’observe, même votre propre antivirus peut devenir d’un jour au lendemain un malware féroce. Pour éviter cet effet indésirable, il faudra faire appel à des outils et à des procédures complémentaires d’analyse (lire ici notre précédent article sur « Comment gérer les effets secondaires des antivirus »).
