Aller au contenu

killswitch malware : pourquoi ?


Messages recommandés

Salut.

 

Tout d'abord, je suis vraiment heureux de voir que nos articles suscitent des interrogations ! Ca prouve qu'à travers ca les lecteurs apprennent des choses et progressent... et ca c'est cool!

 

Pour le kill switch, en l’occurrence sur ce ransomware ce n'en est pas vraiment un. L’appellation de kill switch pour la création du fichier perfc est un peu exagérée, puisqu'il faut créer ce fichier localement. Or le mécanisme qu'on appel kill switch fait appel à une notion de contrôle total, et donc induit une dimension de centralisation (donc à distance).

 

Pour WannaCry, le kill switch repéré était l'interrogation d'une URL avant de commencer le chiffrement des données sur une machine infectée. Le nom de domaine visé enregistré, le ransomware ne débute plus son action de chiffrement.

Ainsi, un utilisateur pouvait, à distance, stopper la progression du ransomware à l'échelle mondiale, presque instantanément.

Ce qui n'est pas le cas pour Petya.

 

Pourquoi un kill switch?

Plusieurs raisons, toutes plus ou moins valables, et plus ou moins justifiées.

 

D'abord la "maitrise du monstre". Répandre un virus à échelle mondiale, c'est lâcher un monstre dans la nature.

Le Kill Switch est ici imaginé pour stopper l'avancée du monstre. Si par exemple des hackers au service de la France (j'aurai bien cité la Corée du Nord mais ca fait cliché) se rendent compte que leur infection est en train de verrouiller un réseau important (infra FAI, réseau militaire, etc), ils peuvent stopper l'infection presque instantanément.

 

Ensuite, la création des malwares. Aujourd'hui, des groupes de hackers utilisent des failles révélées par d'autres groupes (c'est le cas ici) et utilisent des mécanismes de malwares connus (c'est le cas ici) qu'ils combinent entre eux pour cibler précisément un type d'environnement, ou décupler le potentiel du malware. Sauf qu'au niveau technique, ces hackers ne sont pas toujours au niveau de ceux qui ont créé le malware. Et n'ayant pas accès aux sources, ils ne se rendent pas compte que le créateur a inséré un kill switch pour le maitriser, et ne peuvent donc pas le désactiver.

Et si dans le contexte du malware d'origine le kill switch avait un sens, parfois on ne comprend pas ce qu'il vient faire dans un malware modifié. C'est que le créateur de ce nouveau malware n'a juste pas connaissance de ce mécanisme.

 

Et enfin, les nouveaux modes de distribution de malwares. Aujourd'hui, comme l'avait relevé Mikael, les malwares se distribuent en mode SaaS. Vous achetez un malware que vous pouvez utiliser directement. Les mécanismes de kill switch peuvent être utilisés pour stopper un malware selon des limites d'utilisation, ou simplement par précaution pour que le "revendeur" garde la main sur son service.

 

Voilà des raisons d'utiliser un tel mécanisme dans un malware.

Aujourd'hui, dans l'infection courante, le fichier perfc.dll est recherché afin de savoir si la machine a déjà été infectée.

Si le fichier n'est pas trouvé, il est créé puis le chiffrement commence.

S'il est trouvé, alors rien ne se passe.

 

J'espère avoir répondu à ta question, et que tout le monde en aura appris un peu sur ce sujet qui m'a beaucoup intéressé aussi.

 

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...