La mythologie grecque raconte une guerre de dix ans entre l'Achaïe et Troie. Après avoir tenu le siège pendant tant d'années, Troie finit par tomber grâce à une ruse : un cheval de bois destiné à être pris comme trophée de victoire, chargé de troupes grecques qui ouvrent les portes à leur armée qui prend la ville d'assaut. C'est ainsi qu'est née la légende du cheval de Troie, mais aujourd'hui, ce terme est plus couramment utilisé pour décrire non pas un cheval de bois, mais plutôt un logiciel malveillant déguisé en fichier légitime.
Ce n'est pas une ville qui tombe sous le coup de cette ruse, mais des ordinateurs, voire des réseaux entiers. L'armée en attente peut être l'une des nombreuses charges utiles destinées à atteindre cet objectif.
Dans le contexte des logiciels malveillants, un cheval de Troie - généralement abrégé à “cheval de Troie" - décrit la méthode par laquelle un logiciel malveillant s'introduit dans un appareil, à savoir en se faisant passer pour quelque chose d'autre et en trompant l'utilisateur. Les chevaux de Troie n'ont pas d'objectif universel spécifique, si ce n'est d'accéder aux appareils pour y déployer la partie du logiciel malveillant correspondant à l'objectif. Celle-ci se présente parfois sous la forme d'un autre logiciel malveillant intégré dans le logiciel malveillant ou téléchargé à distance, que l'on appelle respectivement chargeur et téléchargeur en ce qui concerne le sous-type du cheval de Troie (ces deux types de logiciels sont aussi parfois simplement appelés "droppers").
Dans d'autres cas, l'objectif fait directement partie du logiciel malveillant original et le terme "cheval de Troie" est simplement une classification de l'aspect "tromper l'utilisateur", tandis que l'objectif est ajouté en tant que sous-classification sur la base d'une cooccurrence fréquente avec l'approche de l'ingénierie sociale. En fin de compte, l'aspect troyen et la terminologie elle-même se réfèrent simplement à l'aspect de la tromperie de l'utilisateur, et le troyen serait donc classé comme une méthode d'infection - la façon dont les logiciels malveillants se retrouvent d'abord sur un système.
Objectifs et sous-classifications des chevaux de Troie
Les objectifs communs qui sont généralement utilisés comme sous-classifications des chevaux de Troie sont les suivants : banquier, voleur d'informations/de mots de passe, porte dérobée et la fonctionnalité dropper/loader/téléchargeur déjà mentionnée. Outre le déploiement de charges utiles secondaires, l'objectif le plus courant des chevaux de Troie, tels qu'ils sont actuellement identifiés, est le vol d'informations. Les banquiers volent des informations et des références bancaires, tandis que les voleurs d'informations et de mots de passe ciblent plus généralement les références. Les portes dérobées permettent simplement à un attaquant d'accéder ultérieurement à l'appareil.
Un cheval de Troie n'est pas la seule façon dont les informations bancaires peuvent être volées par des logiciels malveillants, mais c'est la façon la plus courante et la première dont les logiciels malveillants l'ont fait. Il est probable que la plupart des sous-classifications de chevaux de Troie, si ce n'est toutes, ont été créées de la même manière et ont simplement été ajoutées en tant que sous-classifications parce qu'elles n'étaient pas assez courantes à l'époque pour justifier leur propre classification et qu'entre la cooccurrence et la logique de détection potentielle, il était logique à l'époque de les regrouper sous le terme "cheval de Troie".
Aujourd'hui, cependant, compte tenu de la complexité des logiciels malveillants et de l'assemblage de différents types et techniques, il est important de comprendre que ces objectifs sont distincts de la méthode d'infection.
L'évolution des chevaux de Troie
Les logiciels malveillants, et plus particulièrement les chevaux de Troie, ont évolué en même temps que la technologie en général. De nombreux formats de documents intègrent une forme de script pour les rendre plus polyvalents et, comme il est de plus en plus facile de bloquer les logiciels malveillants sous forme de fichiers exécutables (parfois en bloquant simplement les fichiers exécutables en général, comme c'est très souvent le cas avec le courrier électronique), les chevaux de Troie s'appuient de plus en plus sur différents formats de fichiers et, en particulier, sur les formats de fichiers de documents. Dans le cas des droppers en particulier, la logique du logiciel malveillant n'a pas besoin d'être particulièrement complexe, ni les fonctionnalités du langage de script robustes, puisqu'il suffit d'introduire la prochaine charge utile sur le système et de l'exécuter.
Depuis de nombreuses années, les fichiers Microsoft Office sont un format de fichier très courant pour les chevaux de Troie, qui profitent en grande partie de la fonction des macros. L'exploitation de l'échange dynamique de données (DDE) était très populaire il y a quelques années lorsqu'elle a été découverte, car la grande majorité des méthodes de détection reposaient sur la détection et l'analyse des macros. DDE a finalement été désactivé par défaut, ce qui a permis aux macros de regagner en popularité, mais les macros étant désormais également désactivées par défaut, il est probable que d'autres méthodes ou formats de fichiers domineront dans les années à venir.
Les fichiers Adobe PDF sont également un format courant, bien qu'ils soient beaucoup moins répandus que ceux de Microsoft Office, probablement en raison de l'utilisation de JavaScript comme langage de script, qui est beaucoup plus limité du point de vue des attaquants que le langage VBScript utilisé par les macros. En fait, il est assez courant que les logiciels malveillants PDF invoquent VBScript, ce qui peut expliquer la moindre popularité des logiciels malveillants PDF, étant donné qu'il n'y a pas vraiment de raisons pour que les fichiers légitimes le fassent, ce qui facilite la détection.
Au fur et à mesure que les pratiques et les logiciels de sécurité progressent, l'ingénierie sociale occupe une place de plus en plus importante dans les méthodes d'attaque, car il suffit qu'un seul utilisateur soit piégé pour qu'il accède à l'ensemble d'un réseau. L'ingénierie sociale est également moins coûteuse que la recherche et l'exploitation de bogues logiciels, tout en étant efficace. Inversement, l'utilisation de la technologie est une méthode de sécurité bien plus simple qu'une formation adéquate à la sécurité pour chaque utilisateur ou employé, et même une formation adéquate ne donne pas toujours des résultats cohérents et efficaces. Néanmoins, une formation adéquate en matière de sécurité est essentielle pour lutter contre les menaces actuelles, y compris les logiciels malveillants.
Par Jonathan Tanner
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour
