Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.
Ceci reste une
vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.
|
|
|
| Type de Maliciel (caractéristiques majeures) |
Ver Conficker se distingue principalement par ses capacités de propagations variées. |
Porte dérobée L’essentiel de Hydraq se concentre vers les fonctions de contrôle à distance. |
| Vecteur d’infection |
Multiple, auto-propagation Vulnérabilité systèmePartages réseauP2P |
Simple Vulnérabilité navigateur |
| Vulnérabilité ciblée Bulletin de sécurité MS |
CVE-2008-4250 MS08-67 |
CVE-2010-0249 MS10-02 |
| Vulnérabilité « Zéro Day » |
NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif |
OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité |
| Command & Control |
Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P. |
Simple Un seul domaine codé « en dur », rapidement identifié et fermé. |
| Diffusion |
Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour. |
Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant. |
| Systèmes de défense |
Considérable Conficker embarque de nombreuses techniques pour se protéger |
Faible Utilisation de la technique du « code spaghetti » |
| Système de mise à jour |
Intégré Le système de mise à jour est très sophistiqué et automatisé. |
Manuel La mise à jour est théoriquement possible mais non automatique. |
| Variantes |
Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures |
Non-significatif Quelques infimes variations du code. |
| Fonctionnalités |
Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location. |
Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC. |
| Motivation principale |
Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides. |
Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées. |
| Détection |
Facile |
Facile |
| Suppression |
Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local |
Aisée Aucune technique de camouflage |
| Mesures de protection |
Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. |
Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération. |
Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à dispositionde l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.
Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.
Conficker/Downadup :
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_downadup_codex_ed2.pdf