Les chercheurs d’ESET révèlent au grand jour des techniques d’obscurcissement uniques en vue d’aider l’écosysteme cybersécurité à protéger les utilisateurs contre les menaces sophistiquées.
Les chercheurs d’ESET ont analysé et décrit en détail plusieurs techniques utilisées par les cybercriminels pour empêcher l’analyse et la détection de leurs malwares. Ces techniques d’obscurcissement et d’évasion personnalisées ont été découvertes dans le cadre d’une investigation sur un nouveau module utilisé par les auteurs du botnet Stantinko.
« Les techniques de protection que nous avons rencontrées durant notre analyse sont plus avancées que le malware qu’elles protègent. Certaines d’entre elles n’ont pas encore été publiquement décrites », indique Vladislav Hrčka, ESET Malware Analyst qui a mené l’étude.
Parmi les techniques de protection, deux d’entre elles se démarquent des autres : l’obscurcissement des chaînes et l’obscurcissement du flux de contrôle.
L’obscurcissement des chaînes repose sur la construction de chaînes significatives présentes dans la mémoire uniquement lorsqu’elles doivent être utilisées. L’obscurcissement du flux de contrôle rend ce dernier difficile à lire, l’ordre d’exécution des blocs de base étant imprévisible sans une analyse approfondie.
« Nous avons décortiqué ces techniques et décrit des contre-mesures possibles pour certaines d’entre elles », ajoute Vladislav Hrčka.
Outre l’obscurcissement des chaînes et du flux de contrôle, les auteurs de malwares ont également utilisé d’autres techniques : le code mort, le code inutile, ainsi que les chaînes et les ressources mortes. Ces techniques sont destinées à empêcher la détection en donnant une apparence plus légitime au code ; par ailleurs, certaines mises en œuvre visent spécifiquement à contourner les détections comportementales.
Pour plus d’informations sur le nouveau module du botnet Stantinko, consultez l’article « Stantinko’s new cryptominer features unique obfuscation techniques » sur WeLiveSecurity.com. Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux d’ESET Research.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.