Antivirus, cryptolocker et analyse heuristique

Pour le contexte, ce billet est une pure fiction : toute ressemblance avec des faits réels serait fortuite. De plus, les propos tenus ici n’engagent que moi et en aucun cas mes employeurs, présents, passés ou futurs.

Imaginons…

Imaginons qu’une personne dans une entreprise reçoive par mail une pièce jointe suspecte et que cette personne, ignorant toutes les consignes de sécurité qui ont pu être communiquées précédemment, décide d’ouvrir cette pièce jointe. Imaginons que cette pièce jointe ne soit pas une simple photo de vacances comme le laissait présumer le mail, mais soit en réalité un loader de cryptolocker (via un raccourci Windows (.lnk) qui exécute du code powershell pour télécharger et exécuter le code malveillant).

Tant que nous sommes dans l’imagination, ajoutons à cette entreprise plusieurs partages réseau, des ordinateurs sous Windows et protégés par un antivirus légèrement alcoolisé.

Vous avez saisi l’idée ?

Alors que devrait-il se passer ?

Réponse attendue : Rien, l’antivirus détecte la pièce jointe comme suspecte, la détruit et tout le monde continue comme si de rien n’était.

Vous vous doutez bien que si on est ici, c’est que ce n’est pas le cas.

Réponse correcte : L’antivirus détecte bien un truc bizarre mais, pour une raison encore inexpliquée à ce jour, permet malgré tout le téléchargement du code malveillant.

Oui, mais c’est nouveau !

Donc oui, le virus en question, dans le cas présent un ransomware ou cryptolocker, est particulièrement récent pour ne pas être reconnu par les antivirus. Typiquement, une des variantes récupérées montre qu’un nombre très réduit d’antivirus est capable de le détecter.

vir.png
Virus Total le 18 octobre

Oui, mais c’est pas grave, il y a une analyse heuristique !

Eh oui, tous les vendeurs d’antivirus se proclament meilleurs que leurs copains car ils ont une analyse dite heuristique. Pour citer Wikipedia : « Les logiciels antivirus exécutent le code ou le script de fichier à analyser dans un environnement virtuel, tout en analysant les instructions du programme. Cela permet de connaître le comportement du programme tout en isolant le code du fichier suspect de la machine réelle. Si l’antivirus détecte des instructions suspectes comme la suppression de fichiers ou le lancement de processus multiples, le fichier sera reconnu comme un virus et l’utilisateur sera alerté. »

Donc, même si la base virale n’est pas avec la dernière version, l’antivirus va exécuter ce fichier, voir qu’il a un comportement suspect et le bloquer.

Eh ben non…

Dans ce doux rêve que vous venez de suivre, l’antivirus ne sera pas du tout choqué par un programme qui décide de :

  • Accéder à Internet (le ransomware communique avec un serveur pour obtenir/envoyer la clef de chiffrement) ;
  • Lire et supprimer tous (ou quasiment tous) les fichiers en local sur votre machine ;
  • Écrire plein de fichiers dans vos dossiers ;
  • Faire de même sur les partages réseau.

La douche et le réveil

Lorsque l’on se réveille de ce rêve, il est généralement un peu tard car beaucoup de données ont été chiffrées. Après la douche froide, on prend des mesures radicales, typiquement générer une grosse interruption du SI pendant plusieurs jours le temps de s’assurer que tout soit ok, quitte à mettre la production de l’entreprise au ralenti, voire en stand-by total (de toute façon, les données sont sûrement chiffrées, donc illisibles).

Et l’antivirus n’aura donc servi à rien à part à mettre en confiance deux groupes de personnes : les utilisateurs et les décideurs.

Enfin… heureusement vous faites des sauvegardes, hein ?

Haut de page