Comprendre les attaques : les virus de types Trojan, Backdoor et Dropper sont les logiciels malveillants les plus recherchés par les analystes de cybersécurité
mer, 22/07/2020 - 10:00
Selon les statistiques anonymes établies à partir des demandes adressées sur le Threat Intelligence Portal de Kaspersky, près des trois quarts (72 %) des fichiers malveillants analysés appartiennent à trois catégories : cheval de Troie (Trojan), porte dérobée (Backdoor) et injecteur (Dropper). Ces statistiques montrent également que les types de logiciels malveillants auxquels les chercheurs consacrent le plus de temps ne sont pas nécessairement les plus répandus.
La détection d’activités malveillantes n’est que le point de départ d’une enquête sur une attaque. Pour élaborer des mesures de réponse aux incidents les plus appropriées, les analystes en sécurité doivent identifier la cible de l’attaque, l’origine d’un objet malveillant, son degré de popularité, etc. La plateforme Kaspersky Threat Intelligence Portal aide les analystes à révéler plus rapidement le contexte d’une attaque. Les experts de Kaspersky ont examiné les demandes adressées sur le Threat Intelligence Portal pour repérer à quelles menaces les objets malveillants traités par le portail sont le plus souvent associés.
Dans la plupart des cas, les hashtags soumis ou les fichiers téléversés suspects se sont effectivement révélé être des chevaux de Troie (25% des demandes), des portes dérobées (24%) — c’est-à-dire des logiciels malveillants qui permettent aux agresseurs de prendre le contrôle d’un ordinateur à distance — et des injecteurs de type Trojan-Dropper (23%), dont l’objectif est d’installer d’autres objets malveillants.
De plus, selon les statistiques publiées par le Kaspersky Security Network, l’infrastructure dédiée au traitement des flux de données de cybersécurité transmis par des millions de bénévoles du monde entier, les chevaux de Troie représentent la catégorie de malwares la plus répandue. Pour leur part, les logiciels malveillants de type Backdoor et Trojan-Dropper sont moins courants : en effet, ils ne représentent que respectivement 7 % et 3% de l’ensemble des fichiers malveillants bloqués par les solutions Kaspersky.
Cette différence s’explique notamment par le fait que les chercheurs s’intéressent souvent à la cible finale de l’attaque, tandis que les outils de protection des terminaux (endpoints) la bloquent le plus rapidement possible. À titre d’exemple, ces produits ne laissent pas l’utilisateur ouvrir un courriel suspect ou suivre un lien malveillant, empêchant ainsi les portes dérobées d’atteindre l’ordinateur de la cible. De plus, les chercheurs en sécurité doivent identifier tous les composants que contient un injecteur pour pouvoir l’analyser complètement.
Par ailleurs, la popularité de ces catégories de malware peut s’expliquer par l’intérêt porté à certaines menaces, ainsi que par l’obligation qu’ont les chercheurs de les analyser de manière plus détaillée. Par exemple, de nombreux utilisateurs ont activement recherché des informations concernant le malware Emotet à la suite des nombreux articles de presse qui lui ont été consacrés en début d’année. Un certain nombre des demandes analysées concernaient des portes dérobées destinées aux systèmes d’exploitation Linux et Android. Ces familles de logiciels malveillants intéressent les chercheurs en sécurité, mais leur niveau demeure relativement faible par rapport aux menaces qui pèsent sur Microsoft Windows.
« Nous avons remarqué que le nombre de demandes transmises au Kaspersky Threat Intelligence Portal pour vérifier des virus ou des éléments de code qui s’insèrent dans d’autres programmes, est extrêmement faible, à savoir moins de 1 %. Toutefois, c’est traditionnellement l’une des menaces les plus souvent détectées par les solutions de protection, détection et réponse aux incidents (EDR). Ce type de menace se réplique et déploie son code dans d’autres fichiers, ce qui peut entraîner l’apparition d’un grand nombre de fichiers malveillants dans le système infecté. Comme nous l’avons constaté, les virus sont rarement intéressants pour les chercheurs, probablement parce qu’ils manquent d’originalité par rapport aux autres menaces », explique Denis Parinov, directeur par intérim de la détection heuristique et de la surveillance des menaces, Kaspersky.
Kaspersky Threat Intelligence Portal est une référentiel d’accès aux renseignements sur les menaces traitées par l’entreprise. Il permet de consulter toutes les données et informations relatives aux cyberattaques que Kaspersky a recueillies depuis plus de 20 ans. Pour accéder gratuitement à l’ensemble des fonctionnalités permettant aux utilisateurs de vérifier des fichiers, liens URL et adresses IP, cliquez ici.