Trojan avancé : fonctionnement de cheval de troie plus complexe

Un article sur les trojans avancés et sophistiqués.
En général, il s’agit de Trojan banker ou stealer, c’est à dire trojans spécialisés dans le vol de données contenus sur l’ordinateur.

Quand on parle de sophistication ce sont les méthodes de chargement et de fonctionnement du cheval de troie, le but est de se rendre le plus discret possible et contourner les antivirus.
On se rapproche des rootkits en terme de complexité.

L’article est donc plutôt technique et tente d’expliquer le fonctionnement d’un point de vue système.
Le but étant de bien comprendre les points de chargements et le fonctionnement général de ces trojans complexes.
Vous trouverez à la fin de cet article des vidéos illustratives de la théorie.

Introduction

Dans un premier temps, il faut connaître un minimum le fonctionnement des chevaux de troie, pour cela, rendez-vous sur la page : Comment fonctionnent les trojans

Il y a déjà quelques articles et vidéos concernant ce type de Trojans sophistiqués sur le site.
Afin de bien comprendre de ce qu’il est question, vous pouvez lire la page : Trojan RAT (Remote Access Tool).

Dans la capture d’écran ci-dessous de Process Explorer, on peut facilement « voir » les processus malicieux avec l’habitude.
C’est la même chose, si vous effectuez une surveillance de Windows avec le gestionnaire de tâches.

Le point de chargement, une clé Run classique est aussi visible à partir de l’utilitaire msconfig ou l’onglet Démarrage du gestionnaire de tâches.
En clair donc, pour un utilisateur avancé, ces processus visibles et clés ne sont pas très discrètes et peuvent attirer l’attention.

Un cheval de troie plus avancé, est plus discret et n’utilise pas de processus apparents.
Ces derniers sont souvent la forme de fichiers DLL et injectent des processus système Windows

Une DLL ou librairie, est un fichier avec l’extension .DLL, une exécutable (fichier .exe) pour charger des DLL en mémoire. Cela permet de partager des codes et bibliothèques entre processus sans avoir à recoder à chaque fois ces parties et ainsi alléger l’utilisation mémoire. Plus d’informations, lire le premier paragraphe de la page : Réparer les fichiers systèmes de Windows.

Fonctionnement trojan sophistiqué

Comment se présentent ces trojans plus sophistiqués ?

Le cheval de troie est sous la forme d’un fichier DLL et non un binaire .exe qui peut se charger au démarrage par une clé Run.
Le fichier DLL se « greffe » à un fichier système de Windows (explorer.exe par exemple) ce qui lui permet de contrôler le processus et effectuer des actions sous nom.

Ainsi, si vous listez les processus dans le gestionnaire de tâches de Windows, rien n’est apparent, vous avez vos processus systèmes habituels.

Au niveau du chargement du cheval de troie au démarrage de Windows, là aussi, c’est plus discret.
Ci-dessous un exemple avec le Trojan Sathurbot, le chargement se fait à partir d’une clé du registre Windows moins connue et qui permet de charger une DLL dans le processus explorer.exe.

Si on liste les programmes au démarrage de Windows, on ne voit pas cette DLL, puisque l’onglet démarrage du gestionnaire de tâches se borne à lister les clés Run et les programmes qui se lancent à partir de ces clés.

La DLL va se charger dans le processus explorer.exe, ce qui va permettre de contrôler ce dernier.
Il s’agit ici d’une injection de DLL.

En résume donc :

  • Le Trojan n’est pas visible dans les processus de Windows, du moins, il n’ajoute pas un nouveau processus qui pourrait attirer l’attention.
  • Le cheval de troie sophistiqué a de forte chance d’utiliser d’autres points de chargement de Windows (autorun) qui ne seront pas visibles depuis le gestionnaire de tâches.

Pour s’assurer qu’un cheval de troie de ce type ne soit pas actif et installé dans Windows, il faut inspecter plus profondément Windows.
L’utilisation d’outil comme Autoruns ou FRST est nécessaire pour trouver le point de restauration.

Comme vous pouvez le constater, ces trojans sont plus complexes à dénicher au sein du système, bien entendu, si la DLL est détectée par l’antivirus, une analyse du disque peut trouver l’intru.

Windows Defender ne détecte rien, pendant que Malwarebytes Anti-Malware (MBAM) détecte Trojan.Sathurbot

Les protections peuvent aussi détecter les connexions vers le serveur de contrôle du Trojan.
On notera ici que le processus qui initie la connexion est explorer.exe puisque c’est le processus contrôlé par le cheval de troie.

Les avantages

Outre le fait, qu’il est plus difficile de détecter manuellement en inspectant le système, du fait que, le trojan se présente sous la forme d’une DLL camouflée dans un processus système.
L’avantage aussi de contrôler un processus système et de l’utiliser pour établir les connexions sortantes permettent aussi de tirer partie de règles de pare-feu trop laxistes.
Si les règles de pare-feu sont mal faites, trop larges ou étendues, la connexion pourra s’effectuer sans problème depuis le processus.
C’est une manière de contourner les firewall, là où avec un nouveau processus, ce dernier pourrait émettre une alerte pour demander si ce nouveau processus peut se connecter à internet.

svchost.exe injecté et connexions sortantes vers internet

En vidéo

Voici quelques vidéos montrant des Trojans évolués.

En vidéo avec le Trojan Sathurbot :

En vidéo les injections de processus effectuées par le Trojan Bedep :

Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant du Trojan Bedep :

Trojan FileLess

Et puis il existe des cheval de troie tout aussi complexe sans fichier « FileLess ».
Pour faire simple, ce sont des chevaux de troie sous la forme de scripts PowerShell qui se lancent au démarrage de Windows.
Ce script permet ensuite de charger une DLL en mémoire et s’injecter dans un processus système.

Il existe des dossiers qui décrivent ces menaces informatiques.
Se reporter au pages suivantes :

Liens autour des trojans

Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Pour la partie fonctionnement des cheval de troie : Comment fonctionne les trojans ?

Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de cheval de troie sur la page : Index des menaces et programmes malveillants/Malwares

Concernant les Trojans spécialisés dans le vols de données bancaires, vous pouvez lire la page : Les Trojans Banker

Les liens généraux sur les menaces informatiques :

(Visité 416 fois, 3 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel AdwCleanerTutoriel ESET NOD32

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com