Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Backdoor

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Backdoor - Porte dérobée permettant d'ouvrir et maintenir une communication. Outil mis en place par un pirate, créant une faille de sécurité en maintenant ouvert un port de communication.

Assiste.com :

Backdoor - DescriptionBackdoor - DescriptionBackdoor - Description

Un Backdoor est une petite tâche (ou un dispositif dans une application (y compris dans les pare-feu et les antivirus) ou un système d'exploitation), chargée de maintenir un port ouvert afin de permettre, dans un second temps, quelquefois plusieurs mois plus tard (ou jamais), d'attaquer une machine. Le backdoor est diffusé par les mêmes voies que les virus afin d'infester un maximum de machines. Il va ensuite s'arranger pour être lancé automatiquement à chaque démarrage de la machine infestée puis va maintenir un port ouvert dès qu'il y a connexion. Certains s'attaquent à des cannaux de communications particuliers comme IRC... Il va en rester là car son action se limite à cela. Il a préparé une attaque future.

L'attaque, elle, se fera en 2 temps : l'attaquant utilisera d'abord un Scanner d'adresses IPs et de ports pour chercher, sur Internet, une machine (une adresse IP parmi un intervalle d'adresses IPs) dont un port est maintenu ouvert par son backdoor, puis il effectuera une tentative d'exploit (exploitation d'une faille de sécurité) ou autre forme d'attaque préparée par le backdoor. Le backdoor n'est donc pas réellement une malveillance. Il la précède. Il se pose donc 2 problèmes, tous les deux de nature "faille de sécurité" :
  1. Le maintien ouvert d'un port qui est, en lui-même, une faille de sécurité.
  2. La faille de sécurité préalable qui à permis l'implantation de ce backdoor.
Nota : plusieurs RATs - Remote Administration Tools portent, dans leur nom, le terme de "Backdoor", ce qui prête à confusion, les RATs n'étant pas des Backdoors, les Backdoors n'étant pas des RATs et les Chevaux de Troie (ou Trojan) n'étant ni les uns ni les autres.

Nota : plusieurs attaquants peuvent "tomber" sur ce port ouvert et pas seulement celui qui à diffusé le Backdoors. Pareillement un attaquant peut "tomber" sur le Backdoor d'un autre pirate.

Nota : certains Backdoors sont un peu plus "complets" et contiennent un Downloader et/ou un installeur.

Comment suis-je infecté ? Comment un virus pénètre mon ordinateur ?Comment je me fais infecter ? Comment un virus pénètre mon ordinateur ?Comment suis-je infecté ? Comment un virus pénètre mon ordinateur ?

  1. Accès physique à l'ordinateur.
    Le plus simple est que quelqu'un ait un accès physique à l'ordinateur (vous-même, votre copain, votre copine, un employé, un technicien de surface, un détective privé, un parent, un enfant, un ami, le service de gardiennage, la maintenance technique etc. ...) et y installe le parasite. Il en est ainsi, par exemple, du virus le plus sophistiqué du monde, le virus StuxNet.

    Découvert le 17 juin 2010 par VirusBlockAda (VBA32), le virus StuxNet a réussi à pénétrer le réseau d'ordinateurs des infrastructures d'enrichissement d'uranium de l'Iran afin de corrompre les logiciels Siemens de pilotage des centrifugeuses nucléaires et les détruire. Pourtant, ce réseau n'est pas connecté à l'Internet. Le virus StuxNet a donc été déployé sur quelques dizaines de milliers de machines susceptibles d'être utilisées par des personnes qui ont un accès physique aux infrastructures nucléaires iraniennes. Il est admis que c'est un consultant russe qui aurait utilisé une clé USB (Risques et menaces liés aux clés USB) et fait pénétrer le virus StuxNet, à son corps défendant, dans le site de recherche nucléaire à des fins militaires de Natanz. Un millier de centrifugeuses aurait été détruit.

    Toutes les formes de parasites peuvent contaminer un ordinateur auquel quelqu’un a accès physique. Les clés USB sont un cauchemar sécuritaire (Risques et menaces liés aux clés USB) comme le furent les disquettes en leur temps (voir le § Histoire des Virus - 1982 - Elk Cloner dans l'Histoire des virus). Les Keyloggers, les Backdoors, les RAT - Remote Administration Tools, etc. ... absolument toutes les formes de virus et de malveillances peuvent vous infecter par là.

    • La personne qui accède à l'ordinateur peut être son propriétaire et utilisateur légitime. Cette personne a introduit sa clé USB (Risques et menaces liés aux clés USB) sur une autre machine, contaminée, a transporté le virus, et l’installe maintenant, sur sa machine. Ce même propriétaire peut, inconsciemment, installer un parasite après avoir été convaincu (Ingénierie Sociale) qu'il faisait tout à fait autre chose.

    • La personne qui accède à l'ordinateur peut être une personne malveillante ou une personne pilotée par un cybercriminel (un employé, un technicien de surface, un détective privé, un consultant externe, le service de gardiennage, la maintenance technique, etc. ...). Toute personne qui touche à un ordinateur dont les connections internet, les ports USB, SATA, etc. ..., les lecteurs, etc. ... ne sont pas désactivés / déconnectés, est susceptible de contaminer l’ordinateur.

    • La personne qui accède à l'ordinateur peut être, sans doute dans le pire des cas, l’ami plein d’enthousiasme (copain, copine, parent, enfant...) qui, plein d'assurance, vient faire une « manip » pour vous montrer un truc génial !

    C’est là que se dévoile l’une des plus utilisées des failles de sécurité : le virus PEBCAK.

  2. Abus de faiblesse
    Un bon discours, un bon texte ou une démonstration trompeuse vous a convaincu qu'un truc était absolument indispensable et que vous ne pouviez pas vivre sans. C'est ainsi que bon nombre de parasites sont installés alors que vous croyez installez, vous-même, une simple Barre d'outils (ToolBar) (elles sont totalement inutiles et, dans 99,999% des cas, espionnes et dangereuses (navigation falsifiée, moteur de recherche menteur, hijack, surveillance constante, etc. ...) dont vous êtes persuadé avoir besoin. De nombreux utilitaires de sécurité crapuleux, dont plusieurs embarquent, en sus, des parasites (agissent en Cheval de Troie ou Trojan) utilisent cette technique d'Ingénierie Sociale. Là aussi le problème est souvent le virus PEBCAK.

  3. Usage d'un Cheval de Troie (ou Trojan).
    L'usage du Cheval de Troie (ou Trojan) pour installer un parasite est la méthode la plus répandue et c'est vous-même qui êtes allé chercher le vecteur de l'infection. Par exemple, presque tous les KeyGen (générateur de clé pour logiciels piratés), les packs de CoDec, les Economiseurs d'écran (Screen Saver), les Downloader, etc. ... sont des Chevaux de Troie embarquant des charges actives (des attaques).

    Rappelez-vous du célèbre client de partage de fichiers KaZaA. C'est vous-même qui installiez KaZaA sur votre ordinateur : KaZaA ne venait pas tout seul s'installer. Mais KaZaA était le vecteur de très nombreux parasites dont un Downloader permettant d'installer encore d'autres parasites dans un système pyramidal. C'est un Cheval de Troie. Cette nécessité d'installer le Cheval de Troie (ou Trojan) pour que soient installées les parasites contenus est importante car elle dénote bien qu'un Cheval de Troie (ou Trojan) doit être installé pour pouvoir lâcher sa charge utile. Il y a donc une faille des mesures et procédures de sécurité et elles sont inefficaces ou l'agresseur possède une complicité à l'intérieur. On notera également, dans cette catégorie, qu'un Downloader en lui-même n'est pas malicieux. C'est ce qu'il télécharge et installe, sur lequel nous n'avons aucun contrôle, qui l'est.

  4. L'ouverture d'un courrier piégé
    Spam ou non, vous ne devez jamais ouvrir un courrier dont vous ne connaissez pas l'expéditeur et vous ne devez jamais cliquer sur un lien dans un courrier, spam ou non. Un tel courrier piégé peut être assimilé à un cheval de Troie. Vous devez être équipé d'un anti-spam et d'un antivirus.

  5. Usage d'un Faux (Fake ou Hoax)
    Il s'agit de faux ayant l'apparence du vrai. On les trouve surtout sur les réseaux de P2P où les parasites portent, simplement, le nom des programmes les plus convoités (un jeu...), des chansons les plus téléchargées etc. ... et dans le courrier électronique (spam ou non). Le Phishing est de cette nature.

  6. Exploitation d'une faille de sécurité.
    Cas plus rares, le parasite est installé automatiquement depuis Internet, en exploitant des failles de sécurité. Techniques plus complexes, comme le buffer-overflow, et avec l'aide d'un downloader... Une technique consiste, par exemple, pour attaquer un système bien protégé, à utiliser un sniffer sur une liaison entre cet ordinateur et un ordinateur externe moins bien protégé auquel le premier fait appel régulièrement (par exemple transmissions quotidiennes depuis une filiale vers une maison mère). Le sniffer permet de repérer, dans les en-têtes, l'identité et le type des fichiers transmis régulièrement. Il suffit alors de faire passer le parasite pour l'un de ces fichiers sur la machine faillible pour infester la machine cible.

  7. Usage de sites piégés.
    Les sites piégés malsains, que vous visitez, installent, "à l'insu de votre plein gré", grâce à l'usage de Contrôles ActiveX ou de langages de script exploitant des Failles de Sécurité, ou de Drive by Download, des parasites de toutes nature dont la prise de contrôle de l'ordinateur qui devient un Zombie dans un BotNet. Ils profitent d'un certain laxisme de votre part dans le réglage de votre navigateur (surtout Internet Explorer) en ce qui concerne l'acceptation des Contrôles ActiveX et des Scripts. L'un des pièges pour conduire les Scripts est l'usage d'images piégées dont les fameuses images invisibles, les Web Bugs.

  8. Usage d'une paire Binder - Dropper
    Le parasite est saucissonné (découpé) en un tas de petits bouts, chacun étant suffisamment anodin pour être indétectable, par un Binder. La fonction inverse, exercée par un Dropper, va assembler et recréer le parasite à partir des petits bouts à l'apparence anodine. Le problème, en amont, est que le Dropper et les petits bouts du parasite ont pénétré le système. Il y a donc, également, une faille de sécurité à chercher.

Analyse d'un pseudo logiciel de mises à jour (update)Analyse d'un pseudo logiciel de mises à jour (update)Analyse d'un pseudo logiciel de mises à jour (update)

Ce pseudo logiciel de mise à jour, appelé update.exe, est un BackDoor.

Retrouver cette analyse de Real Player 11 GOLD Crack.rar sur VirusTotal

Antivirus Résultat Mise à jour
MicroWorld-eScan Backdoor.Generic.762746 20130122
nProtect Trojan/W32.Agent_Packed.669335 20130122
CAT-QuickHeal Trojan.Agent.usys 20130122
McAfee Generic BackDoor!fkf 20130122
Malwarebytes Trojan.Backdoor 20130122
TheHacker Trojan/Agent.usys 20130122
K7AntiVirus Riskware 20130122
NANO-Antivirus Trojan.Win32.Agent2.bcncbb 20130122
F-Prot W32/VB.EX.gen!Eldorado 20130122
Symantec WS.Reputation.1 20130122
Norman Kryptik.BXX 20130122
TotalDefense - 20130122
TrendMicro-HouseCall TROJ_MEAPOW.SM 20130122
Avast Win32:VB-AAHT [Trj] 20130122
eSafe - 20130120
ClamAV - 20130122
Kaspersky Trojan.Win32.Agent.usys 20130122
BitDefender Backdoor.Generic.762746 20130122
Agnitum Trojan.VB!f7lCvfeByAI 20130122
SUPERAntiSpyware - 20130122
Sophos - 20130122
Comodo UnclassifiedMalware 20130122
F-Secure Backdoor.Generic.762746 20130122
DrWeb Trojan.DownLoader7.31376 20130122
VIPRE Trojan.Win32.Generic!BT 20130122
AntiVir TR/Spy.Gen 20130122
TrendMicro TROJ_MEAPOW.SM 20130122
McAfee-GW-Edition Heuristic.BehavesLike.Win32.Suspicious-BAY.K 20130122
Emsisoft Trojan.Win32.Agent.usys.AMN (A) 20130122
Jiangmin Trojan/Agent.ijsn 20121221
Antiy-AVL - 20130122
Kingsoft Win32.Troj.Agent.us.(kcloud) 20130121
Microsoft Backdoor:Win32/Blohi.A 20130122
ViRobot Trojan.Win32.A.Agent.669331[UPX] 20130122
AhnLab-V3 Trojan/Win32.Agent 20130122
GData Backdoor.Generic.762746 20130122
Commtouch W32/VB.EX.gen!Eldorado 20130122
ByteHero - 20130122
VBA32 Trojan.Agent.usys 20130121
PCTools - 20130121
ESET-NOD32 a variant of Win32/VB.NRR 20130122
Rising Backdoor.Blohi!4526 20130122
Ikarus Backdoor.Win32.Blohi 20130122
Fortinet W32/Mepaow.NGS!tr 20130122
AVG VB.BZHM 20130122
Panda Generic Backdoor 20130122

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

20.09.2013 - JDN - Linus Torvalds, créateur de Linux, a-t-il subi des pressions de la NSA pour introduire une backdoor dans Linux ?

 Requêtes similairesRequêtes similaires" Requêtes similaires "