Des RATs qui camouflent leur trafic réseauDans le monde merveilleux des malwares et plus particulièrement des
RATs (
Remote Access Trojan), tels que
Gh0st ou
PoisonIvy, voici venue une nouvelle variété baptisée les
FAKEM.Jusqu'à
présent, les
RATs étaient facilement détectables grâce au trafic réseau
qu'ils généraient. Ce trafic "type" faisait office de signature,
rapidement repérable par les systèmes de protection anti-malware. Mais
cette époque semble révolue puisque
Trend Micro vient de publier un document de recherche dans lequel ils expliquent qu'ils ont découvert une nouvelle variante de ces
RATs.Ces derniers savent maintenant camoufler leur trafic réseau pour le faire ressembler à du trafic en provenance de
MSN, Yahoo! Messenger ou tout simplement à des paquets HTML. Le déguisement est sommaire puisque seuls les entêtes des paquets sont
semblables à du trafic "propre". Une analyse plus poussée suffit alors
pour constater que le contenu du paquet est chiffré et ne correspond pas
à un véritable paquet MSN ou HTML. Cependant, cela suffit à contourner
une détection rapide.
Voici un paquet
MSN normal...Et voici un paquet
RAT FAKEM imitant un paquet
MSN...Pour
cette étude,
Trend Micro a mis en place un honeypot (pot de miel) afin
de capturer ces
FAKEM, déchiffrer le trafic envoyé vers ces derniers et
ainsi analyser leur fonctionnement. Quoi qu’il en soit, les éditeurs
d'antivirus et d'outils de détections qui ne le font pas encore devront
probablement s'adapter afin d'analyser un peu plus finement la structure
des paquets transitant sur le réseau (DPI ?).
Source et photoSource : Korben