|
Vxclass ou la classification de codes malveillants par isomorphisme graphique
Par Rédaction,
secuobs.com
Le 17/11/2008
Résumé : Une présentation effectuée lors de la conférence Hack.lu 2008 introduit une nouvelle méthode de classification des malwares via l'isomorphisme graphique existant entre deux variantes afin de repousser les limites des outils actuels de détection. - Lire l'article
La présentation, effectuée à la conférence Hack.lu 2008 ( lien ) par Halvar Flake ( voir son blog dans la revue de presse - lien ), CEO de Zynamics ( lien ), et Sebastian Porst, Lead Developper chez Zynamics, est à mettre en parallèle avec celle de Eric Filiol, « Malware of the future - When mathematics work for the dark side » effectuée lors de cette même conférence.
Eric insiste sur le fait que les anti-virus sont des produits commerciaux et qu’ils sont facilement contournables notamment à cause de l’utilisation du système archaïque d’identification des codes malveillants par signature.
Lors de leur présentation, Halvar Flake et Sebastian Porst ont quant à eux introduit dans un premier temps les méthodes connues à ce jour pour permettre d’effectuer une classification de ces codes.
Dans la seconde partie, ils se sont évertués à présenter la méthode de classification développée par leur laboratoire ; cette méthode se base sur l’isomorphisme graphique ( cf. également Binnavi - lien ) des codes malveillants afin d’éviter les limites des techniques utilisées actuellement.
Il existe en effet de nombreuses techniques disponibles pour détourner les anti-virus du marché et leur système historique de base de signatures.
La modification basique d’un seul octet dans le code du « malware » par exemple suffit à ce que la signature soit différente et à ce que celui-ci ne soit pas reconnu par les solutions antivirales utilisant ces techniques ; les détections par méthodes heuristiques n'étant pas à ce jour efficaces à 100%.
Le projet mis en œuvre par Zynamics porte le nom de « Vx-Class » et est accessible sur le site officiel ( lien )
A noter lors de la conférence Hack.lu 2008, l’absence ( officiellement pour des problèmes d'obtention de visa pour l'espace Schengen ) de The Grugq ( lien ) qui devait présenter « How the Leopard Hides his Spots: OS X Anti-Forensic Techniques ».
Une présentation attendue avec impatience par de nombreuses personnes ; elle aura finalement eu lieu ( voir le pdf - lien )) à la conférence Hack In the Box 2008 ( lien ) qui s'est tenu du 27 au 30 octobre à Kuala Lumpur en Malaisie.
- Article suivant : IKAT un outil d'audit pour les terminaux des kiosques Internet
- Article précédent : Des publicités Google Adsense pour le malware Antivirus XP 2008
- Article suivant dans la catégorie Reportages : Les acteurs de la lutte contre la cybercriminalité
- Article précédent dans la catégorie Reportages : Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|