BitTera.C un créateur gratuit de codes malicieux avec plus de soixante charges utiles

Par Xavier Poli, secuobs.com
Le 09/02/2009

---

Résumé : BitTera.C est un utilitaire facilitant la création automatisée de codes malicieux, plus de soixante options d'attaque y sont disponibles. La mise à disposition gratuite et massive de cet outil n'est pas sans poser de questions sur les motivations réelles de leurs développeurs. - Lire l'article



BitTera.C ( lien ) est un utilitaire de quarante sept méga-octets dont l’objectif est de faciliter la création automatisée de codes malicieux. Ces codes ne présentent cependant pas de capacités d’autoréplication, l’intervention humaine est ainsi toujours nécessaire pour qu’une victime entre en contact avec eux. Les codes en question peuvent être respectivement compatibles avec les systèmes d'exploitation de type Microsoft Windows 2003, XP, 2000, NT, ME, 98 et 95.

La mise à disposition d'outils de cette nature n'est pas une chose nouvelle en soi, on pourrait notamment citer des utilitaires comme T2W ( Trojan to Worm - lien ) et Constructor YTFakeCreator ( lien ), dignes successeurs des WinNuke ( lien ), Back Orifice 2000 alias BO2K ( lien ), NetBus ( lien ), Sub7 ( lien ) et autre ProRat ( lien ) d'antan.

BitTera.C s’accompagne d’une interface graphique des plus conviviales ( voir l’impression écran - lien ) pour faciliter d'autant plus sa prise en main par les novices en la matière. Par son intermédiaire, il est possible de créer rapidement et simplement, soit en quelques clics, une multitude de codes malicieux différents sans forcément avoir au préalable eu à acquérir des compétences particulières dans un langage de programmation spécifique, ou être pointu en [in]sécurité informatique.

La création de codes malicieux s’en trouve ainsi grandement facilitée. Parmi les charges utiles disponibles, on retrouve des options classiques, soit essentiellement la possibilité de bloquer des applications ou de désactiver des éléments sensibles pour les systèmes Microsoft Windows : l’éditeur de base de registres ( lien ), le gestionnaire de tâches ( lien ), l’interpréteur de commandes ( lien ), le système de restauration ( lien ) et le pare-feu interne ( lien ).

On passera rapidement sur les options de suppression du fond d’écran, celles pour cacher le bouton démarrer, l’horloge système, les icones du bureau et enfin celle permettant l’ouverture/fermeture physique du lecteur de [CD|DVD]ROM, pour s’attarder un peu plus sur les possibilités avancées comme la réduction des performances du système, les faux messages d’erreur, l’arrêt de la connexion Internet ou les fermetures périodiques d'Internet Explorer et du système. La suppression des documents ainsi que le formatage/remplissage des disques dur sont également proposées.

Bien que d’un intérêt technique assez limité pour des experts du domaine ( voir notre dossier - lien ), la disponibilité de cette applicatif sur Internet ne va pas sans poser une question essentielle, à qui profite le crime ? Même si la plupart des charges utiles restent limitées, rien de comparable par exemple avec celles de Metasploit ( voir notre dossier - lien ) ou plus largement de BackTrack ( lien ), elles permettent pourtant à des novices de causer des dégâts préjudiciables.

Inversement, les solutions comme Metasploit et BackTrack nécessitent tout de même d'avoir un niveau minimal de connaissances et de compétences afin que leur utilisation puisse être qualifiée d’efficace en termes d'exploitation des systèmes ciblés, de nombreux tutoriaux vidéo sont cependant également disponibles sur Internet ( voir l’annuaire des vidéos - lien ) afin de faciliter leur apprentissage par tout un chacun.

Ce qui est le plus curieux ici, c’est l’aspect gratuit pour une solution affichant tout de même une qualité assez professionnelle dans l’ensemble. En mettant de coté la légende urbaine qui voudrait que les compagnies antivirales soient à l’origine des codes malicieux pour justifier leurs propres solutions, une première réponse pourrait être la volonté de constituer un réseau de type Botnet ( lien ), l’outil en question ne serait alors en fait qu’un leurre faisant office de vecteur d’infection, même s’il reste fonctionnel.

Seulement cela ne semble pas ici le cas, alors quelles sont les raisons qui pourraient amener des développeurs à diffuser gratuitement des utilitaires de cette nature de façon massive plutôt qu’en comité restreint comme c’est le cas habituellement ? Mettant également de coté l’aspect politique des cyber-conflits avec les outils participatifs de Déni de Service Distribué ( lien ), cela semble plutôt être des offres d’appel vers des solutions payantes aux fonctionnalités plus avancées et personnalisables à souhait en fonction des besoins du client.

On ne retrouve par exemple ici que des options de nature destructrice ou ennuyeuse, mais rien qui profite directement à l’attaquant comme le vol de données sensibles, pourtant un grand classique à l’heure actuelle ( lien ). Les compagnies antivirales étant assez réactives quant à la création de signatures pour les codes malicieux issus de ce genre d’outils, les créateurs de ces derniers ont alors la possibilité de proposer des offres payantes et avantageuses par rapport aux versions gratuites plus limitées.

Ces offres s'accompagnent de mises à jour régulières pour créer de nouvelles souches qui se révéleront aptes à contourner les systèmes de détection par signatures précédemment cités. C’est ainsi un véritable écosystème d’interdépendances qui s’est mis en place, les créateurs d’outils de cette nature consolident le marché des compagnies antivirales en justifiant les menaces à l’origine de l’acquisition d’Antivirus, alors que ces dernières contribuent indirectement à alimenter le besoin en offre Premium pour les clients de ces outils malveillants et cela par l’intermédiaire des nouvelles signatures.

Dans le même ordre d’idée, on notera notamment la récente initiative ( lien ) visant à permettre la création en ligne ( voir l’impression écran - lien ) de codes malicieux, présentant de l’obfuscation ( lien ) et du polymorphisme ( lien ), qui sont basés sur le cheval de Troie ( lien ) Poison Ivy ( lien ) et cela pour un tarif « préférentiel » de cinq cents dollars.

Source : GovernmentSecurity ( lien )