Face à l’armada des virus venus de Chine lors de l’attaque concertée souvent désignée sous le nom de code « Aurora », quelques groupes de chercheurs se sont mobilisés pour décortiquer les techniques utilisées à cette occasion. Et notamment le cabinet HBGary Federals. Il explique comment « reconnaître » une attaque Aurora, et ce n’est pas franchement simple.
Car le vecteur est complexe. En premier lieu, un code JavaScrip exploite une vulnérabilité d’Internet Explorer 6. Un IE6 qui est encore très largement utilisé en entreprise pour des raisons de compatibilité avec des applications Web. Ledit JavaScript contient un shellcode qui à son tour télécharge un « dropper ». Du dropper est extrait une « porte dérobée » ainsi qu’une DLL peu innocente, laquelle s’installe dans le répertoire Système de Windows et se charge en mémoire sous forme de « Service ». A ce stade, la DLL se modifie afin d’échapper aux détecteurs les plus classiques, tandis que le dropper se suicide par effacement afin d’éliminer toute trace de l’intrusion. Les deux articles s’attachent notamment à démonter les mécanismes de l’attaque JavaScript
NdlC Note de la Correctrice : le titre de cet article est une œuvre originale, qui, bien qu’inspiré par les écrits de Pierre Etienne, ne semble pas figurer dans ses ouvrages ou dans un quelconque recueil. Il ne sera donc pas censuré pour cette seule et unique raison.