Trojan avancé : fonctionnement de cheval de troie plus complexe

Un article sur les trojans avancés et sophistiqués.
En général, il s’agit de Trojan banker ou stealer, c’est à dire trojans spécialisés dans le vol de données contenus sur l’ordinateur.
Quand on parle de sophistication ce sont les méthodes de chargement et de fonctionnement du cheval de troie, le but est de se rendre le plus discret possible et contourner les antivirus.
On se rapproche des rootkits en terme de complexité.
L’article est donc plutôt technique et tente d’expliquer le fonctionnement d’un point de vue système.
Le but étant de bien comprendre les points de chargements et le fonctionnement général de ces trojans complexes.
Vous trouverez à la fin de cet article des vidéos illustratives de la théorie.

Table des matières 

• 1 Introduction
• 2 Fonctionnement trojan sophistiqué
• 3 Les avantages
• 4 En vidéo
• 5 Trojan FileLess
• 6 Liens autour des trojans

Introduction

Dans un premier temps, il faut connaître un minimum le fonctionnement des chevaux de troie, pour cela, rendez-vous sur la page : Comment fonctionnent les trojans
Il y a déjà quelques articles et vidéos concernant ce type de Trojans sophistiqués sur le site.
Afin de bien comprendre de ce qu’il est question, vous pouvez lire la page : Trojan RAT (Remote Access Tool).
Dans la capture d’écran ci-dessous de Process Explorer, on peut facilement « voir » les processus
malicieux avec l’habitude.
C’est la même chose, si vous effectuez une surveillance de Windows avec le gestionnaire de tâches.

Le point de chargement, une clé Run classique est aussi visible à partir de l’utilitaire msconfig ou l’onglet Démarrage du gestionnaire de tâches.
En clair donc, pour un utilisateur avancé, ces processus visibles et clés ne sont pas très discrètes et
peuvent attirer l’attention.
Un cheval de troie plus avancé, est plus discret et n’utilise pas de processus apparents.
Ces derniers sont souvent la forme de fichiers DLL et injectent des processus système Windows

Une DLL ou librairie, est un fichier avec l’extension .DLL, une exécutable (fichier .exe) pour charger des DLL en mémoire. Cela permet de partager des codes et bibliothèques entre processus sans avoir à
recoder à chaque fois ces parties et ainsi alléger l’utilisation mémoire. Plus d’informations, lire le premier paragraphe de la page : Réparer les fichiers systèmes de Windows.

Fonctionnement trojan sophistiqué

Comment se présentent ces trojans plus sophistiqués ?
Le cheval de troie est sous la forme d’un fichier DLL et non un binaire .exe qui peut se charger au
démarrage par une clé Run.
Le fichier DLL se « greffe » à un fichier système de Windows (explorer.exe par exemple) ce qui lui
permet de contrôler le processus et effectuer des actions sous nom.
Ainsi, si vous listez les processus dans le gestionnaire de tâches de Windows, rien n’est apparent, vous
avez vos processus systèmes habituels.
Au niveau du chargement du cheval de troie au démarrage de Windows, là aussi, c’est plus discret.
Ci-dessous un exemple avec le Trojan Sathurbot, le chargement se fait à partir d’une clé du registre Windows moins connue et qui permet de charger une DLL dans le processus explorer.exe.

Si on liste les programmes au démarrage de Windows, on ne voit pas cette DLL, puisque l’onglet
démarrage du gestionnaire de tâches se borne à lister les clés Run et les programmes qui se lancent à
partir de ces clés.

La DLL va se charger dans le processus explorer.exe, ce qui va permettre de contrôler ce dernier.
Il s’agit ici d’une injection de DLL.

En résume donc :

• Le Trojan n’est pas visible dans les processus de Windows, du moins, il n’ajoute pas un 
• nouveau processus qui pourrait attirer l’attention.
• Le cheval de troie sophistiqué a de forte chance d’utiliser d’autres points de chargement de 
• Windows (autorun) qui ne seront pas visibles depuis le gestionnaire de tâches.

Pour s’assurer qu’un cheval de troie de ce type ne soit pas actif et installé dans Windows, il faut
 inspecter plus profondément Windows.
L’utilisation d’outil comme Autoruns ou FRST est nécessaire pour trouver le point de restauration.

Comme vous pouvez le constater, ces trojans sont plus complexes à dénicher au sein du système, bien entendu, si la DLL est détectée par l’antivirus, une analyse du disque peut trouver l’intru.

Windows Defender ne détecte rien, pendant que Malwarebytes Anti-Malware (MBAM) détecte Trojan.Sathurbot

Les protections peuvent aussi détecter les connexions vers le serveur de contrôle du Trojan.
On notera ici que le processus qui initie la connexion est explorer.exe puisque c’est le processus contrôlé
 par le cheval de troie.

Les avantages

Outre le fait, qu’il est plus difficile de détecter manuellement en inspectant le système, du fait que, le
trojan se présente sous la forme d’une DLL camouflée dans un processus système.
L’avantage aussi de contrôler un processus système et de l’utiliser pour établir les connexions sortantes permettent aussi de tirer partie de règles de pare-feu trop laxistes.
Si les règles de pare-feu sont mal faites, trop larges ou étendues, la connexion pourra s’effectuer sans problème depuis le processus.
C’est une manière de contourner les firewall, là où avec un nouveau processus, ce dernier pourrait
émettre une alerte pour demander si ce nouveau processus peut se connecter à internet.

svchost.exe injecté et connexions sortantes vers internet

En vidéo

Voici quelques vidéos montrant des Trojans évolués.
En vidéo avec le Trojan Sathurbot :
En vidéo les injections de processus effectuées par le Trojan Bedep :
Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant du
Trojan Bedep :

Trojan FileLess

Et puis il existe des cheval de troie tout aussi complexe sans fichier « FileLess ».
Pour faire simple, ce sont des chevaux de troie sous la forme de scripts PowerShell qui se lancent au démarrage de Windows.
Ce script permet ensuite de charger une DLL en mémoire et s’injecter dans un processus système.
Il existe des dossiers qui décrivent ces menaces informatiques.
Se reporter au pages suivantes :

• Les virus ou trojan Powershell
• Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit

Liens autour des trojans

Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Pour la partie fonctionnement des cheval de troie : Comment fonctionne les trojans ?
Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de cheval de troie sur la page : Index des menaces et programmes malveillants/Malwares
Concernant les Trojans spécialisés dans le vols de données bancaires, vous pouvez lire la page :
 Les Trojans Banker
Les liens généraux sur les menaces informatiques :

• Les virus informatiques
• Comment les virus informatiques sont distribués.
• Les botnets : réseau de machines infectées
• Business malwares : le Pourquoi des infections informatique
• Comment les virus informatiques sont distribués.
• La sécurité de son PC, c’est quoi ?

REF.: