Qu’est-ce que c’est et comment détecter les logiciels malveillants obscurcis sur un serveur
Les logiciels malveillants sont un problème très présent dans notre vie quotidienne et qui mettent en danger la sécurité de nos appareils et systèmes. Il existe de nombreux types de menaces qui d’une manière ou d’une autre peuvent nous affecter et cela signifie que nous devons toujours prendre les précautions nécessaires. Nous devons disposer d’outils de sécurité et de moyens adéquats. Dans cet article, nous allons expliquer ce qu’est un malware masqué sur un serveur et ce que nous pouvons faire pour le détecter.
Qu’est-ce qu’un malware masqué sur un serveur
Tout d’abord, nous allons expliquer ce qu’est l’ obscurcissement des logiciels malveillants sur un serveur. De cette façon, nous comprendrons comment vous pouvez nous mettre en danger. Fondamentalement, nous pouvons dire que cela signifie transformer un code propre en un nouveau. Le code obscurci donnera exactement le même résultat que le code original, mais de cette façon, le code source ne sera pas lisible à l’œil nu. Généralement utilisé pour les codes de sortie, les opérations bancaires, les licences, etc.
Cela nous donne déjà une idée du danger d’obscurcissement sur un serveur. Ce qu’il fait, c’est qu’un utilisateur ne sait pas vraiment si ce code pourrait être malveillant et nous mettre en danger ou s’il s’agit en fait de quelque chose de légitime. Après tout, il est un peu caché, sans que nous puissions vraiment lire ce que cela signifie et comment cela peut nous affecter.
Les outils de sécurité ont amélioré la façon dont ils détectent ce type de malware. Cependant, il n’est pas toujours efficace, car il est fréquent de tomber sur des faux positifs. Bien sûr, avec le temps, les programmes et les méthodes que nous pouvons utiliser deviennent de plus en plus appropriés et réduisent le nombre de faux positifs.
Comment détecter les logiciels malveillants obscurcis sur un serveur
Nous avons expliqué ce qu’est un malware obscurci et maintenant nous allons parler de ce que nous pouvons faire pour le détecter sur un serveur. Nous savons déjà que la sécurité est un facteur fondamental et c’est quelque chose dont nous devons veiller à tous les niveaux.
Comme nous l’avons indiqué, les méthodes traditionnelles, comme un antivirus, ne sont pas toujours efficaces pour trouver ce type de problèmes. Le code source dans de nombreux cas n’est pas détecté comme une menace réelle et cela signifie une réduction des détections.
Une option est les techniques de détection basées sur les signatures de fichiers. Ce qu’il fait, c’est suivre le système de fichiers à l’ aide de fonctions PHP qui sont souvent utilisées dans les logiciels malveillants. De cette façon, nous pouvons détecter des listes d’obscurcateurs qui peuvent compromettre la sécurité.
Il existe également l’option de fonction de hachage , qui a été créée en tant qu’amélioration. Cela est dû au fait que la recherche de correspondances exactes entre la collection de codes propres aux logiciels malveillants et les fichiers nécessite beaucoup de ressources. Une solution similaire mais plus rapide a donc été créée. Avec la fonction de hachage, nous pourrions donner une chaîne ou un fichier et cela générera une chaîne de longueur fixe. Chaque fois que le code est le même, il générera le même hachage à partir de ce code. Les techniques de hachage les plus populaires sont MD5 et SHAx.
Mais bien sûr, le problème est que les pirates se sont rendu compte qu’il est assez facile de trouver les portes dérobées avec ces méthodes de détection. Il suffit de changer 1 octet, par exemple, d’ajouter un espace et le hachage sera complètement différent pour qu’il ne soit pas reconnu par les outils anti-malware .
Une autre alternative est la correspondance de motifs. Cette technique consiste à créer des chaînes et à essayer de les faire correspondre dans le fichier. Cependant, il est facile de tomber sur des faux positifs.
Pour résoudre tous ces problèmes, BitNinja Server Security entre en jeu . Il a beaucoup expérimenté ce sujet et a développé une nouvelle méthode de détection qui ne ressemble à aucune autre solution. Cette nouvelle méthode est basée sur la structure du code source. Lorsque nous nous appuyons sur la structure d’un malware, nous pouvons nous attendre à un très faible taux de faux positifs car la structure d’un malware ne peut pas être la même que celle d’un fichier légitime. Sinon, les codes valides pourraient être utilisés à des fins malveillantes.
Fondamentalement, la technique BitNinja détecte si la méthode d’obscurcissement a été utilisée sur un fichier. L’étape suivante est basée sur le comportement lors de l’exécution du code dans un bac à sable. Vous pouvez voir plus d’informations sur BitNinja .