_____________________
Presentation des IDS / HIPS
Un IDS/HIPS (Intrusion Detection System) est un programme qui scrute votre système afin de détecter toute modification ou activité suspecte.
Lorsqu'un élément douteux ou comportement douteux est détecté, l'IDS peut alerter ou annuler la modification.
Dans le cas où l'IDS vous alerte, vous avez la possibilité de stopper l'activité suspecte, ce qui permet dans le cas d'une tentative d'infection de stopper l'infection avant son installation.
Les IDS/HIPS peuvent aussi détecter les accès à certains fonctions du systèmes (appels API) qui peuvent par exemple être utilisé par des rootkits ou keyloggers.
Un IDS fonctionne un peu comme un firewall, vous pouvez créer des règles afin que l'IDS puisse prendre les mesures adéquates automatiquement. En règle général, les IDS sous Windows intègre un "learning mode" c'est à dire que l'IDS est capable de prendre automatiquement les désicisions adéquates.
Néanmoins en général, il vaut mieux laisser à l'utilisateur le choix laisser ou non l'action s'opérer et créer la règle au sein de l'IDS, ainsi ce dernier sera éduquer au fur et à mesure.
Un HIPS intègre lui en plus des vérifications au niveau du réseau, l'HIPS est donc capable selon les connexions établies sur l'ordinateur détecter des tentatives d'intrusions, scan de ports etc..
Les IDS et surtout HIPS (et N-HIPS qui surveillent analyent le traffic global d'un réseau) sont à la base utilisés dans le monde de l'entreprise, avec la multiplication des menaces, il existe maintenant des IDS pour grand public.
Voici quelques liens qui détaillent le fonctionnement des IDS :
* http://www.commentcamarche.net/detection/ids.php3
* (En anglais) : http://www.la-samhna.de/library/scanners.html
* http://www-igm.univ-mlv.fr/~dr/XPOSE2001/liyun/IDS.html
* http://www.securite.org/db/securite/ids
* http://dbprog.developpez.com/securite/ids/
Fonctionnement et Avantage des IDS
Le gros avantage des IDS est qu'il n'est dépendant d'aucune base de données de reconnaissances des menaces.
L'IDS détecte les intrusions en scrutant le comportement de l'ordinateur, de ce fait, l'IDS peut détecter et contrer des menaces connues et inconnues.
De ce fait, l'IDS est le parfait compagnon de votre antivirus, puisqu'il permet de continuer à protéger votre ordinateur entre le moment où une nouvelle menace fait son apparition et le moment où celle-ci est intégrée à la base de données de définitions virales.
L'IDS est aussi le seul barrage à l'heure actuelle contre l'installation des Les rootkits au sein de votre système. Les rootkits étant des menaces capables de se dissimuler dans le système et qui peuvent se cacher des autres applications, votre antivirus y compris.
En règle générale, la protection d'un ordinateur est de nos jours un antivirus, un antispyware et un pare-feu.
Les Antispywares et Antivirus sont maintenant très proches du point de vue fonctionnement (base de données virales, détection en temps réel etc..) car beaucoup d'adwares implantent maintenant des trojans ou rootkits pour afficher des popups de pubs (Magic.Control, Trojan.DNS, Wareout, Gromozon etc..).
Ces infections utilisant des techniques très avancées, les antivirus & antispywares ne peuvent en règle générale rien même en cumulant les deux bases de données virales.
Le schéma ci-dessous permet de constater que le dropper qui installe l'infection sur le système devra passer outre la détection de l'antivirus ainsi que la détection comportementale de l'IDS, ce qui rend la tâche plus difficile.
Le fonctionnement de l'IDS est assez simple, lorsque un élément tente de s'introduire, l'IDS vous demande si ce dernier a le droit ou non.
Dans le cas de l'installation d'une nouvelle application, il faut accéder tout en vérifiant si l'élément installé n'est pas dangereux.
Si par exemple, lors de la visite d'un site WEB, l'IDS détecte une tentative d’exécution d'un fichier, vous pouvez alors être sûr que c'est une tentation d'intrusion.
Voici par exemple, l'installation de l'infection Magic.Control à partir du programme piégé MailSkinner.
L'IDS System Safety Monitor détecte pendant l'installation de MailSkinner la création d'un fichier avec un nom plutôt bizarre. C'est le fichier de l'infection Magic.Control, en refusant l'execution du fichier, l'infection n'est alors pas installée sur votre système.
Même chose avec l'IDS ProcessGuard
Un autre exemple est la consultation d'un site WEB exploitant une faille sur le navigateur WEB pour executer le dropper automatiquement et à votre insu sans que vous puissiez faire quelque chose.
Sur cette capture, on voit qu'System Safety Monitor C:\xx123225.exe plutôt bizarre non ?
en empéchant l'execution du fichier, on obtient un message d'erreur d'Internet Explorer qui n'a donc pas pu executer le dit fichier.
Comme vous pouvez le voir, les IDS permettent de protéger votre ordinateur de toute forme d'intrusion.
Voici une vidéo avec DefenseWall et Virut
Les limites des IDS
Les limites des IDS peuvent bien sûr être d'ordre techniques. Des malwares peuvent bien sûr passer outre (bypasser) l'IDS.
Ils font donc bien choisir l'IDS à installer puisque certains sont plus performants que d'autres (comme tout programme).
L'autre limite est plus une limite sur les actions à mener lorsqu'une intrusion est détectée.
Les actions étaient accepter ou refuser, en acceptant un fichier infectieux en croyant que ce dernier est légitime et si votre antivirus ne le détecte pas.. c'est l'infection. Il convient donc de bien faire attention au message.
Vous allez voir que parfois, ce n'est pas simple de faire la distinctions :
Et si on lançait un petit setup du nom de review-play
L'IDS demande si explorer doit créer laisser le processus review-playt s'executer.. A priori, c'est le but non ?
Donc on l'autorise.
Ensuite le setup veut lancer un processus ns8.tmp qui se trouve dans les fichiers temporaires.
On peut voir dans le cadre rouge, que ça parle d'unrar (qui permet de décompresser des fichiers).
Ca semble bizarre, mais si on part du principe que le setup est compressé.. il peut effectivement vouloir se décompresser dans les fichiers temporaire pour s'executer donc on peut à priori laisser l'action se poursuivre.
Ensuite le setup souhaite lancer un processus 01.exe qui se trouve toujours dans les fichiers temporaires.
Le nom ne semble pas trop bizarre... Que faisons nous ?
Allez poursuivons...
Ok le setup se lance, les fichiers se copient.. bref tout semble normal..
Comme vous pouvez le voir durant une installation, il peut se passer beaucoup de choses et beaucoup de questions peuvent arriver.
A priori dans notre cas, rien de bien anormal.. pas de fichiers de type dlzeksdjze.exe comme avec Magic.Control ou de fichier sedd556.exe.
Et bien sans le savoir vous avez infecté votre ordinateur.
Le fichier 01.exe que nous avons autorisé durant l'installation.. est un fichier trojan.
Le scan ci-dessous nous montre qu'il s'agit de Trojan.DNS/Trojan.Zlob.
Le setup que nous avons executé (si vous regardez les captures il s'agit de MovieBox) est un faux codecs.
Il s'agit plus précisément d'une variante de VideoAccess qui installe donc un rootkit Trojan.DNS sous le nom kdxxxx.exe et qui est à l'origine des redirections Googles lors des recherches
Comme vous pouvez le constater Avast! qui est un antivirus très populaire ne détecte même pas la présence du Trojan dans le fichier 01.exe ce qui signifie que si vous lancez l'installation de ce programme, c'est l'infection.
Je vous invite à lire ce papier concernant Avast! : un-point-sur-les-antivirus-t3123.html
Un scan avec le programme catchme confirme la présence d'un fichier kdxxxx.exe caché (il est rootkité) à l'origine des redirections.
Comme vous pouvez le voir ce n'est pas toujours facile de "deviner" une infection derrière un programme.
Conclusion : Les IDS, c'est bon ! mangez-en
Les IDS ouvrent une nouvelle dimension dans la protection de votre système.
Ils permettent de détecter les tentatives d’intrusions d’infection connue ou non, un IDS est donc un allier précieux pour votre antivirus.
Néanmoins, même si vous installez un IDS, il convient de continuer à avoir une attitude vigilante sur internet.
Notamment concernant les applications que vous installez puisque les auteurs de malwares tentent de dissimuler de plus en plus les virus dans des applications légitimes afin de semer la confusion.
Dans notre exemple précédent, il faut savoir que MovieBox se récupère sur des sites pornographiques ou de cracks.. donc ça veut tout dire quant à l'origine douteuse de ce programme.
Les programmes de sécurités ne remplacent pas une attitude vigilante et de bon sens !
Vous trouverez une liste des principaux IDS pour Windows à partir de ce lien : Liste des IDS
De manière générale, les conseils pour sécuriser Windows : Comment sécuriser Windows
.
