Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Dropper

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Dropper - Programme mirroir du Binder, chargé de délier une malveillance et son installeur du cheval de Troie dans lequel ils sont cachés.

DropperDropperDropper

Dropper est un mot anglais (signifiant « compte-gouttes »), dérivé du verbe « drop » : laisser tomber, abandonner, lâcher...

D'autres termes anglais sont plus rarement usités : "Dropper program"; "Virus dropper", "Trojan dropper"; "Injector", etc. ...

En français, des termes totalement inusités, frisant le ridicule (comme souvent), sont proposés et totalement ignorés : « injecteur » (terme admissible); « programme seringue »; « virus compte-gouttes », etc. ...

Qu'est-ce qu'un DropperQu'est-ce qu'un DropperQu'est-ce qu'un Dropper

En sécurité informatique, un Binder est un algorithme liant un programme à un autre. Le Dropper est l'algorithme inverse qui va délier ce qui a été lié. Un Binder et un Dropper sont donc toujours apairés, l'un étant le mirroir de l'autre.

L'utilisation de la paire Binder - Dropper est toujours malveillante et le programme lié à un autre est une charge active (une malveillance) cachée dans un véhicule (un programme légitime utilisé en cheval de Troie).

Le kit pour construire un objet qui doit traverser les couches de protection et de sécurité d'un ordinateur, le Cheval de Troie, doit donc être constitué de 6 objets dont cinq vont être liés en un fichier unique chiffré (crypté) pour que ses composants soient indétectables par les antivirus :

  1. Un programme légitime utilisé en véhicule de l'attaque (le cheval de Troie)
  2. L'installeur du programme légitime
  3. La malveillance
  4. L'installeur de la malveillance
  5. Le lieur des quatre premiers (le Binder, qui est utilisé par le cybercriminel pour fabriquer le Cheval de Troie)
  6. Le délieur des quatre premiers (le Dropper, qui doit être inclu avec les quatre premiers)

Le Cheval de Troie est chargé d'introduire la malveillance cachée en lui.

Le Dropper s'active lorsque le Cheval de Troie est exécuté par l'utilisateur (qui croie lancer ou installer le programme légitime qu'il a téléchargé). Il délie, décompresse et lance furtivement l'installeur de la malveillance cachée (la « charge active » ou « charge utile » - "Payload"), à l'insu de l'utilisateur, dans l'ordinateur cible compromis. Il délie, décompresse et lance ouvertement l'installeur de l'objet légitime qui a servi de cheval de Troie et va continuer sa vie, légitime, loin de la malveillance qu'il a introduit à son insu.

La paire Binder - Dropper est un logiciel conçu et développé par un cybercriminel.

Le logiciel qui va servir de véhicule (de Cheval de Troie) à la charge utile est choisi par les cybercriminels parmi les logiciels très populaires, afin d'être téléchargé et installé de nombreuses fois.

Les Chevaux de Troie ne se répliquent pas mais se déploient par la simple popularité de leur comportement apparent. Tout ce qui est frappé d'interdit, moral ou juridique, est hyper populaire, ainsi va la vie. Prétendre afficher le corps nu d'une actrice (mais avec un lecteur de média spécial, évidemment), ou proposer le crack d'un logiciel commercial, ou son keygen, ou un utilitaire prétendant télécharger le dernier film, pas encore sorti dans les salles, 100 fois plus vite que la vitesse maximum de votre contrat entre vous et votre fournisseur d'accès internet (Comment peut-on croire à des choses pareilles ! Comment peut-on manquer de jugeotte à tel point !), etc. ... sont des véhicules malheureusement extrêmement populaires.

Le manque d'information et de vigilance des utilisateurs, leur impatience fébrile, conduit à l'ouverture (l'exécution) de l'objet téléchargé et à l'implantation de la « charge utile ».

Réfléchir avant de cliquer semble être un comportement impossible à inculquer.

Les paires Binder - Dropper sont utilisées par les cybercriminels pour camoufler et déployer leurs cybercriminalités. Le Dropper cesse de s'exécuter, une fois sa fonction a été exécutée, et s'auto-détruit.

Un Dropper est donc un moyen pour lancer une attaque, il n'est pas l'attaque en elle-même : il la précède. Il est donc, chaque fois qu'il est reconnu, systématiquement suspect.

Remarque :.

  • Si la « charge utile » est embarquée dans le Dropper, sans faire appel à un Cheval de Troie, le Dropper est la malveillance et doit porter son nom.
  • Si la « charge utile » est téléchargée dans un second temps par le Dropper, on ne doit pas parler de Dropper mais de Downloader (les gestionnaires de téléchargements).

Le dropper en lui-même n'est pas viral : il ne se réplique pas.

Il existe une quantité incroyable de droppers, plusieurs dizaines ou centaines de milliers probablement, chacun étant une déclinaison de quelques matrices initiales paramétrables et personnalisables (des générateurs de droppers commerciaux).

Comment je me fais avoirComment je me fais avoirComment je me fais avoir

Il y a plusieurs raisons possibles à cela, inexcusables :

Contre mesuresContre mesures" Contre mesures "

En cas d'attaque, le Dropper a installé une cybercriminalité.

Quelle attitude avoir et quelles actions entreprendre après la découverte d'un parasite ?

Il faut agir dans 3 directions différentes simultanément. La présence d'un parasite, voire même d'un truc apparemment anodin mais inattendu, ne doit pas être prise à la légère (y compris la présence de simples documents tels des cours de crack ou de hack ou de carding (Anarchie, Carding, Cracking, etc. ...)). L'éradication du parasite ne constitue pas, à elle seule, la phase de décontamination. Elle doit être le déclencheur d'une réflexion, faute de quoi, le virus PEBCAK ouvre une nouvelle brèche.

  1. Il faut éradiquer le parasite
    La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination en supprimant la contamination elle-même.

  2. Il faut rechercher les causes en amont
    Chercher, en amont, les causes de la présence du parasite : Pourquoi ? Comment ? Quand ? Où ?... et corriger le tir.

  3. Il faut prévoir les conséquences en aval
    Chercher, en aval, les conséquences éventuelles de l'action du parasite à l'encontre de la machine, des données, du réseau, de l'entreprise, de nous même etc. ... Compromission des mots de passe, des moyens de paiement, des contrats en cours avec les prospects, des tarifs négociés avec les fournisseurs, détournement de clientèle, risque de révélation de données confidentielles, risque de perte d'un savoir faire non protégé par un brevet etc. ...

Opérations à engager :

L'administrateur réseau ou l'ingénieur en charge de la sécurité devra, tout aussi bien qu'un particulier sur sa machine personnelle :

  1. Eradiquer le parasite :
    Il y a trois possibilités :

    1. Installer et exécuter un antivirus local, si la machine le supporte encore.
      Antivirus

    2. Installer et exécuter un antivirus en ligne, si la machine le supporte encore.
      Antivirus en ligne (et toutes analyses en ligne d'un ordinateur)

    3. Booter à partir d'un support amovible (Rescue CD ou Rescue USB).
      A faire si la machine est compromise au point de ne plus pouvoir exécuter d'outils de décontamination (même tapoter sur la touche de fonction F8 au démarrage et démarrer Windows en mode sans échec avec prise en charge du réseau n'est plus possible - présence de Root Kit...).
      Préparer, sur un support amovible (CD, DVD, Clé USB...), un à plusieurs outils de décontamination et booter à partir de ce support. Voir l'excellent outil SARDU pour une préparation d'un support multiboot pouvant embarquer tous les RESCUE CD existant et d'autres outils sur un seul support !

  2. Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
    La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.

  3. Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
    En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple :

    • Si le parasite trouvé vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité sur tous les comptes internes et externes (réseaux, banques...). Il convient donc de tous les changer immédiatement (construire des mots de passe - tester la solidité des mots de passe).
    • Si le parasite a volé des documents confidentiels, il convient peut-être d'utiliser des outils de veilles sur l'Internet pour détecter l'émergence de données copiées ou similaires...
    • Etc. ...

Opérations connexes :

  1. Essayer de remonter à la source : en vertu du vieil adage policier "chercher à qui le crime profite", chercher en remontant dans les logs, une identification éventuelle d'un l'utilisateur (poste de travail, login, adresse IP etc. ...) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement. Ici, on piétine la notion "simpliste" de "vie privée" en privilégiant l'usage et la conservation de journaux, mais, sans leurs présences, toute analyse et recherche d'une attaque devient problématique. Ce n'est pas l'existence de fichiers de "log" qui pose problème, c'est l'usage que l'on en fait et les personnes qui y ont accès.

  2. Rechercher la présence d'autres parasites.

  3. Si le parasite concerne le crack de licences internes (de logiciels...), on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part, porter plainte, à titre conservatoire.

  4. Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même. On sera attentif aux mots de passe écrits sur un Post-it collé sur l'écran ! On suspectera le personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).

  5. En entreprise, on retirera tous les outils matériels susceptibles de permettre une lecture ou une copie. Ils seront disposés en service à accès contrôlé, sur des machines disposées dans une pièce distincte, accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs extractibles, les lecteurs de disquettes, les lecteurs de bandes, les lecteurs/graveurs de CD/DVD/Blue Ray, tous les ports de cartes mémoire (Flash cards, Memory sticks), tous les ports USB etc. ... On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les menaces de type PodSlurping). D'une manière générale, toute personne qui communique, toute machine qui communique et suspecte !

  6. Les mots de passe des BIOS seront extrêmement durci (construire des mots de passe - tester la solidité des mots de passe) sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposants d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès à tous les autres périphériques bootables seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.

  7. En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie dont le protocole FTP, les outils FTP, les clients et serveurs P2P, les accès aux machines et répertoires du réseau...

  8. L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter mais pour le cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des RATs et des backdoor.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "