Les chercheurs d’ESET révèlent au grand jour des techniques d’obscurcissement uniques en vue d’aider l’écosysteme cybersécurité à protéger les utilisateurs contre les menaces sophistiquées.

Les chercheurs d’ESET ont analysé et décrit en détail plusieurs techniques utilisées par les cybercriminels pour empêcher l’analyse et la détection de leurs malwares. Ces techniques d’obscurcissement et d’évasion personnalisées ont été découvertes dans le cadre d’une investigation sur un nouveau module utilisé par les auteurs du botnet Stantinko.

« Les techniques de protection que nous avons rencontrées durant notre analyse sont plus avancées que le malware qu’elles protègent. Certaines d’entre elles n’ont pas encore été publiquement décrites », indique Vladislav Hrčka, ESET Malware Analyst qui a mené l’étude.

Parmi les techniques de protection, deux d’entre elles se démarquent des autres : l’obscurcissement des chaînes et l’obscurcissement du flux de contrôle.

L’obscurcissement des chaînes repose sur la construction de chaînes significatives présentes dans la mémoire uniquement lorsqu’elles doivent être utilisées. L’obscurcissement du flux de contrôle rend ce dernier difficile à lire, l’ordre d’exécution des blocs de base étant imprévisible sans une analyse approfondie.

« Nous avons décortiqué ces techniques et décrit des contre-mesures possibles pour certaines d’entre elles », ajoute Vladislav Hrčka.

Outre l’obscurcissement des chaînes et du flux de contrôle, les auteurs de malwares ont également utilisé d’autres techniques : le code mort, le code inutile, ainsi que les chaînes et les ressources mortes. Ces techniques sont destinées à empêcher la détection en donnant une apparence plus légitime au code ; par ailleurs, certaines mises en œuvre visent spécifiquement à contourner les détections comportementales.

Lire aussi  ESET reconnu pour la seconde année consécutive unique Challenger dans le Magic Quadrant Gartner 2019 des plate-formes d’Endpoint Protection

Pour plus d’informations sur le nouveau module du botnet Stantinko, consultez l’article « Stantinko’s new cryptominer features unique obfuscation techniques » sur WeLiveSecurity.com. Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux d’ESET Research.