(EN) How to fool antivirus software?
Comment tromper un antivirus ?
Cours de rattrapage pour la CIA et autres agences gouvernementales…
Depuis quelques temps déjà, de plus en plus de fuites de données nous informent au sujet des moyens d’attaque informatique dont disposent les agences de renseignement pour leurs programmes de surveillance. Les médias ont beaucoup écrit sur la sophistication des attaques, des techniques employées, des zero-days utilisées… D’après certains, cet arsenal de cyber-armes n’a jamais été aussi sophistiqué. Et pourtant… Les attaques montrées ne sont pas si sophistiquées que cela et les nouveautés n’en sont que très rarement. De là à les qualifier de sophistiquées…
Le but de cette présentation est de proposer des solutions élégantes pour passer, leurrer et désactiver les sécurités installées sur Windows par les logiciels de sécurité. Des plus simples aux plus avancées, du ring 3 (administrateur ou simple utilisateur) au ring 0 avec l’utilisation de structures non documentées ou juste l’API documentée de Windows, les méthodes ont été testées sur de nombreux antivirus. Des démonstrations en direct achèveront de démontrer l’efficacité des différents moyens employés, une seule règle : pas vu, pas pris. La plupart des techniques présentées ici sont génériques à tous les produits de sécurité puisqu’ils partagent tous certains points communs propres aux fonctions d’API de Windows.
Si vous avez toujours rêvé de passer du côté obscur, d’injecter des malwares dans les systèmes, de vous incruster parce que la place est confortable, de faire du « cyber » dans un contexte réellement opérationnel ou simplement pour vous amuser à railler sur le dos des éditeurs d’antivirus, alors c’est ici que ça se passe. Passer la sécurité des antivirus n’est ni un sport bien complexe ni réservé aux gouvernements. Les hackers font ça depuis longtemps et bien mieux. Les faits sont là : si la présence d’un antivirus est nécessaire, elle n’est pas suffisante pour assurer la sécurité, les professionnels du numérique doivent prendre cela en compte. Il est temps que les mentalités évoluent !
About Baptiste DAVID @Hackerzvoice
Baptiste DAVID is a PhD student at the (C+V)^O laboratory in ESIEA. His research is mainly focused on malware analysis, security under windows operating system, kernel development and vulnerabilities. Sometime math, physic or anything cool from that stuff to enhance everyday life. He has worked on the DAVFI antivirus project. He although like good food and good vine (we never change), but he is okay if you offer him beers.
He has already made several conferences included: iAwacs, Cocon, Ground zero summit, EICAR, ECCWS, Defcon.