L’industrie de la surveillance pour compte d’autrui Les puissants outils de logiciels espions mobiles ont attiré une attention croissante ces derniers temps alors que les entreprises technologiques et les gouvernements sont aux prises avec l’ampleur de la menace. Mais les logiciels espions qui ciblent les ordinateurs portables et les ordinateurs de bureau sont extrêmement courants dans un éventail de cyberattaques, de l’espionnage soutenu par l’État aux escroqueries à motivation financière. En raison de cette menace croissante, des chercheurs de la société de réponse aux incidents Volexity et de la Louisiana State University ont présenté la semaine dernière à la conférence sur la sécurité Black Hat à Las Vegas de nouveaux outils perfectionnés que les praticiens peuvent utiliser pour détecter davantage de logiciels espions PC dans Windows 10, macOS 12 et Ordinateurs Linux.
Les logiciels espions pour PC largement utilisés (le type qui enregistre souvent les cibles, suivent le mouvement de leur souris et des clics, écoutent via le microphone d’un ordinateur et extraient des photos ou des vidéos de l’appareil photo) peuvent être difficiles à détecter car les attaquants le conçoivent intentionnellement pour partir une empreinte minimale. Plutôt que de s’installer sur le disque dur d’une cible comme une application normale, le logiciel malveillant (ou ses composants les plus importants) existe et s’exécute uniquement dans la mémoire ou la RAM de l’ordinateur cible. Cela signifie qu’il ne génère pas certains drapeaux rouges classiques, n’apparaît pas dans les journaux réguliers et est effacé lorsqu’un appareil est redémarré.
Entrez dans le domaine de la « criminalistique de la mémoire », qui vise précisément à développer des techniques pour évaluer ce qui se passe dans cet espace liminal. Chez Black Hat, les chercheurs ont spécifiquement annoncé de nouveaux algorithmes de détection basés sur leurs découvertes pour le framework d’investigation de la mémoire open source Volatility.
“La médecine légale de la mémoire était très différente il y a cinq ou six ans en ce qui concerne la façon dont elle était utilisée sur le terrain à la fois pour la réponse aux incidents et par les forces de l’ordre”, a déclaré Andrew Case, directeur de Volexity, à WIRED. (Case est également l’un des principaux développeurs de Volatility). Mais pour que des preuves ou des artefacts d’un échantillon de mémoire soient utilisés devant un tribunal ou dans un type de procédure judiciaire, nous devons savoir que les outils fonctionnent comme prévu et que les algorithmes sont validés. Ces dernières nouveautés pour Black Hat sont vraiment de nouvelles techniques hardcore dans le cadre de nos efforts pour créer des frameworks vérifiés.”
Case souligne que des outils de détection de logiciels espions étendus sont nécessaires car Volexity et d’autres sociétés de sécurité voient régulièrement des exemples réels de pirates déployant des logiciels espions à mémoire uniquement dans leurs attaques. Fin juillet, par exemple, Microsoft et la société de sécurité RiskIQ ont publié des conclusions détaillées et des mesures d’atténuation pour contrer le malware Subzero d’une société autrichienne de logiciels espions commerciaux, DSIRF.
“Victimes constatées [targeted with Subzero] comprennent à ce jour des cabinets d’avocats, des banques et des consultants stratégiques dans des pays comme l’Autriche, le Royaume-Uni et le Panama », ont écrit Microsoft et RiskIQ. La charge utile principale de Subzero, ont-ils ajouté, « réside exclusivement dans la mémoire pour échapper à la détection. Il contient une variété de fonctionnalités, notamment l’enregistrement de frappe, la capture de captures d’écran, l’exfiltration de fichiers, l’exécution d’un shell distant et l’exécution de plugins arbitraires.
Les chercheurs se sont particulièrement concentrés sur l’affinement de leurs détections sur la façon dont les différents systèmes d’exploitation communiquent avec les « dispositifs matériels » ou les capteurs et composants tels que le clavier et l’appareil photo. En surveillant la façon dont les différentes parties du système fonctionnent et communiquent entre elles et en recherchant de nouveaux comportements ou connexions, les algorithmes médico-légaux de la mémoire peuvent détecter et analyser davantage d’activités potentiellement malveillantes. Un tell potentiel, par exemple, est de surveiller un processus du système d’exploitation qui est toujours en cours d’exécution, par exemple la fonctionnalité qui permet aux utilisateurs de se connecter à un système, et de le signaler si du code supplémentaire est injecté dans ce processus après son démarrage. Si le code a été introduit plus tard, cela pourrait être le signe d’une manipulation malveillante.