Samedi 8 mai 2010 – dans la soirée
Pour sa deuxième édition, l´iAWACS (International Alternative Workshop on Aggressive Computing and Security) organisé par ESIEA (Ecole Supérieure d´informatique, électronique et Automatisme) a démontré qu´aucun antivirus du marché n´empêche l´exécution de programmes malveillants. Les défenses basées sur les listes noires de programmes d´attaques des antivirus laissent passer des attaques, dont certaines sont assez simples ou assez anciennes.Les règles du challenge sont simples et transparentes :
http://www.esiea-recherche.eu/data/pwn2kill_rules.pdf.
Sept attaquants ont pris part à l´exercice, se présentant en groupe, ou en personne isolée. La plupart sont des étudiants, dont des élèves de première année de l´ESIEA qui ont commencé à se former à la sécurité informatique depuis septembre dernier. Les codes d´attaques avaient été préparés par leurs soins avant le challenge, il s´agissait parfois de projets scolaires. Des étudiants du master SSI Sup Elec - Télécom Bretagne prennent aussi part au challenge. Les candidats pouvaient créer l´attaque de leur choix.
Les créations des candidats sont donc des programmes malveillants nouveaux, non connus des éditeurs d´antivirus, et dont la signature virale n´existe pas dans les bases de signatures virales du marché.
Les machines mises à leur disposition sont des PC ordinaires sur lesquels sont émulés 15 machines virtuelles dotée chacune d´une protection d´un antivirus du marché. Les candidats vont tenter d´installer un programme malveillant sur chacune de ces machines virtuelles et tester la détection par chacun des antivirus en scannant le fichier compromis, puis en essayant de l´exécuter. L´environnement est celui d´un système d´exploitation Windows 7 opéré avec les droits d´un utilisateur ordinaire, c´est-à-dire sans disposer des droits administrateurs de la machine.
Les antivirus testésLes 15 machines virtuelles sont équipées des protections de :
- Avast
- AVG
- Avira
- BitDefender
- DrWeb
- F-Secure
- G-Data
- Kaspersky
- McAfee
- Microsoft AV
- Nod 32
- Norton
- Sophos
- Safe ‘N´ Sec
- Trend Micro
La méthode d´attaqueLes programmes malveillants sont apportés par une clé USB, copiés sur chacune des machines virtuelles, scannés manuellement par chacun des antivirus et exécutés si l´antivirus ne l´a pas détruit.
Les résultats de la détection du scan statique et de la détection à l´exécution sont contrôlés par un jury de professionnels et de journalistes dans lequel se trouvait représenté notre magazine.
Les tests sont donc assez rapides. Il suffit de lancer les machines virtuelles les unes derrière les autres, copier les codes malveillants sur la machine et de tester le scan de l´antivirus et l´exécution du code.
Sur les 7 candidats, seul l´un d´entre eux va voir son programme boguer et se faire bloquer par les 15 antivirus. Les 6 autres vont parvenir à faire aboutir leur attaque sur 12 à 15 des machines protégées.
Les attaquesLes créations virales et leur résultats sont les suivantes :
| Candidat n° 1 | Le programme malveillant est un tueur de processus qui bloque la machine. Le code est assez simple, très efficace, il reste actif après redémarrage de la machine. Il rend la machine complètement folle, mais n´est détecté par aucun des 15. | 0 détection sur 15 |
| Candidat n° 2 | Le programme cherche à empêcher l´antivirus de se lancer pour attaquer ensuite la machine. L´attaque est complexe, mais bogue. Elle est arrêtée par tous les antivirus. | 15 détections sur 15 |
| Candidat n° 3 | Le programme efface les fichiers du répertoire « Mes Documents ». Il infecte d´autres fichiers. Il réussi son attaque sur 12 machines, se fait détecter par BitDefender, F-Secure et provoque le déclenchement d´une question par G-Data, l´utilisateur doit valider la poursuite pour faire aboutir l´attaque. | 3 détections sur 15 |
| Candidat n° 4 | Le programme s´opère en 2 temps. Il abaisse tout d´abord le niveau de sécurité de Microsoft Office, autorise l´exécution des Macro, ouvre l´application MS Word et lance une Macro qui opère une boucle sans fin et bloque la machine. La compromission perdure au redémarrage. La machine est folle, mais l´attaque n´est détectée par aucun des 15 antivirus. | 0 détection sur 15 |
| Candidat n°5 | L´attaque repose sur une exécution de batchs (ce qui est une très veille technique virale !) exécutant une succession de Shell qui sature la machine. La méthode d´attaque est issue d´un cours diffusé sur youtube.com La machine devient folle, mais l´attaque n´est détectée par aucun des 15 antivirus. | 0 détection sur 15 |
| Candidat n° 6 | Le programme est celui d´une attaque de Macro qui demande une validation, puis efface les documents après les avoir chiffrés. Chaque document subit un chiffrement différent par une exécution polymorphe de l´attaque. Le programme malveillant est celui d´une attaque pour rançons : la victime se verra « offrir » les clés de déchiffrement contre paiement de multiples rançons. L´attaque aboutit sur les 15 machines. | 0 détection sur 15 |
| Candidat n° 7 | Le programme est développé avec 4 variantes, il chiffre les fichiers du bureau avec une clé inconnue. L´attaque aboutie sur 12 machines. DrWeb, Kaspersky et Sophos détectent l´attaque sur 3 variantes du programme malveillant, mais laissent tous passer la 4° variante. | 3 détections sur 15 |
La loi française ne permet pas de publier les codes de ces attaques. Ceux-ci seront transmis par l´ESIEA aux autorités de protection telles que le
pour analyse. Les codes comprennent de quelques lignes de commandes à quelques centaines de lignes de programmation.
- le troisième prix au candidat n° 1.