Comment fonctionnent les trojans

Les trojans sont les menaces les plus courantes, il existe différents familles qui permettent en général le contrôle de l’ordinateur à distance en faisant joindre ce dernier à un réseau de PC infectés (botnet).
Le fonctionnement peut être simple ou plus moins complexe selon si la sophistication du cheval de troie.
Cet article parcourt tous les types de trojans et donnent un contour général sur le fonctionnement des trojans.

Voici une présentation des trojans les plus simples et leurs fonctionnements.

Le Trojan

Un Trojan est une application malveillante ou malicieuse.
Comme toute application… cette application doit s’exécuter sur l’ordinateur.
Le but du Trojan est de rester résident dans Windows, c’est à dire qu’il cherche à se lancer au démarrage de Windows pour se rendre actif, un peu comme votre antivirus se lance au démarrage de Windows pour surveiller ce dernier, pour se faire, le Trojan va se placer dans un point de chargement de Windows (Autoruns en anglais).
Ce point de chargement va assurer au Trojan de pouvoir démarrer lorsque vous ouvrez votre session utilisateur (ou avant).
Le Trojan devient actif et va pouvoir effectuer les opérations pour lesquelles il a été conçue, voler des données, amoindrir les protections systèmes.

En général, un Trojan reçoit des ordres provenant d’un serveur, pour cela, il a besoin de s’y connecter.
Il a aussi besoin d’y envoyer les informations volées.
On parle de serveurs de contrôle (C&C), le paragraphe suivant vous explique ce fonctionne.

En clair donc, un cheval de troie ou autres programmes malveillants, a besoin :

  • d’être exécuté une fois sur l’ordinateur visé.
  • Il va ensuite se placer dans un point de chargement de Windows pour pouvoir se lancer à chaque démarrage de Windows
  • Se connecter à un serveur de contrôle (C&C)

Ces trois caractéristiques permettent donc de détecter toute présence de Trojan puisque, vous :

  • pouvez détecter un trojan dans les processus actif
  • en surveillant vos connexions réseaux (et détecter les connexions au serveur de contrôle)
  • les points de chargements de Windows => Autoruns

La page du site Comment vérifier si ordinateur a été hacké ou piraté ? explique toute ces aspects.

Command Control Servers

Majoritairement, les trojans fonctionnent en mode client/serveur.
C’est à dire que le trojan fonctionne avec une partie cliente, un fichier à exécuter sur l’ordinateur de la victime.. (pour les méthodes utilisées se reporterà  la page Comment les virus informatiques sont distribués ), une fois en place, le trojan se connecte ensuite à un serveur en ligne sur internet.
On appelle ce dernier le C&C (command-and-control servers) car il permet le contrôle des ordinateurs infectés (bots)

On distingue plusieurs types de serveurs C&C :

  • Des serveurs HTTP, il s’agit d’un site avec une ou plusieurs URLs particulièrement que le cheval de troie va contacter. Bien souvent, l’administrateur (ou panel admin) est aussi un site WEB. Par exemple le Trojan Zeus fonctionne de cette manière. Voir : Poney Panel, WebPanel Andromeda ou encore Spyeye C&C.
  • Des serveurs IRC, on parle souvent de backdoor IRC. Voir par exemple : Backdoor.IRC : le couteau suisse ou Backdoor IRC (snk) vise Skype
  • Une communication en TCP avec un protocole spécifique au malware (potentiellement ce dernier peut-être chiffré).

Ci-dessous, Ce Trojan RAT (Remote Access Tool) qui se connecte à une IP distante.

Le Trojan reçoit alors diverses ordres depuis le serveur qui sont interprétés pour effectuer les actions souhaitées par le botmaster.
Le pirate peut alors mettre des ordres en attente (tasks), ainsi si l’ordinateur infecté (bot) n’a pas été allumé depuis 2 jours, Windows démarre puis que le trojan se lance, ce dernier se connecte au serveur de contrôle, reçoit les ordres et les exécutent.
Cela peut être un ordre comme télécharger un nouveau malware et l’exécuter, lancer une attaque DoS ou récupérer des logs de connexion identifiant/mots de passe.

Par exemple, ci-dessous, sur ce panel, on récupère tous les identifiants et mots de passe saisies :

En clair donc, le fonctionnement d’un Trojan se compose de deux parties.

  • Une partie cliente, c’est le logiciel malveillant qu’il faut parvenir à faire exécuter sur les ordinateurs des victimes.
  • Une partie serveur qui permet de piloter les machines infectées, gérer son botnet.

Ici on parle de connexion symétrique, mais il existe des trojans plus évolués qui utilisent des modes de connexion P2P.
Les PC infectés communiquent entre eux avec une liste de machines infectées agissant comme noeuds, les commandes sont envoyés aux noeuds par les pirates qui seront ensuite diffusées aux autres ordinateurs infectés du réseau P2P.

Certains trojan sont très simples, par exemple, des keyloggers peuvent envoyer les rapports contenant les informations volés par mail.
Aucun serveur de contrôle ou de gestion des bots.

Exemple avec un Trojan RAT

La vidéo suivante montre un Trojan RAT en action, avec l’ordinateur infecté est le serveur.
Le serveur se composant d’un programme que l’on peut faire tourner sur une machine personnelle ou sur un serveur en Windows.
Les ordinateurs infectés par le Trojan s’y connectent, apparaissent en liste « bots », à partir de là, il est possible d’effectuer des actions sur ces derniers, comme effectuer une capture d’écran, activer la webcam etc.

Démonstration d’un trojan

Une autre vidéo avec une simulation d’un ordinateur infecté, ici on a la main sur l’ordinateur distant à travers des commandes que l’on passe.
Pour les trojans les plus sophistiqués, les ordres sont des commandes que l’on peut mettre en attente et que l’on applique à des groupes de bots (ordinateurs infectés).

Les protections contre les trojans

Les protections contre les trojans et infections informatiques, dans les ordinateurs grands publics, sont à deux niveaux :

  • L’antivirus est censé détecter la menace et la suppression du système. Bien entendu, dans le cas d’un trojan qui cherche à voler des informations, si l’antivirus découvre l’infection X jours après sa mise en place, le mal est fait, puisque cela laisse le temps de voler des informations. C’est pour cela, qu’après la découverte d’une menace, il faut changer ses mots de passe. C’est la même problématique concernant les ransomwares. Si ce dernier n’est pas bloqué par l’antivirus, les fichiers seront chiffrés.
  • Le Pare-feu est censé bloquer la connexion entre le Trojan et le serveur, aucun information volée ne peut être transmise et aucun ordre ne peut-être reçu par le Trojan. La charge virale est alors inactive. Dans le cas d’un Trojan qui tente de se connecter à un serveur de contrôle en WEB, l’agent WEB peut se charger de bloquer cette connexion. Voir la page Firewall Windows, les bons réglages.

Bien entendu, il existe un jeu du chat et de la souris entre les concepteurs de trojans et logiciels de sécurité.
Le but étant de ne pas être découvert par les antivirus, contourner les protections afin de pouvoir effectuer les opérations malveillantes sans que l’utilisateur ne puisse en être informé ou prévenir ces activités.
Ces logiciels de protection ne fonctionnent pas à 100%.
En amont, il est possible de sécuriser son ordinateur et suivre de bonnes attitudes pour limiter les chances d’infecter son ordinateur.
Lire la page : Comment sécuriser son ordinateur ?

Liens autour des trojans

Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de trojan sur la page : Index des menaces et programmes malveillants/Malwares

Concernant les Trojans spécialisés dans le vols de données bancaires, vous pouvez lire la page : Les Trojans Banker

Les liens généraux sur les menaces informatiques :

Print Friendly, PDF & Email
(Visité 618 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet