Websense détecte une nouvelle méthode de contournement des antivirus

Tendances IT

La « fragmentation de script » consiste à décomposer le code malveillant en différents morceaux apparemment inoffensifs pour le reconstituer ensuite dans la mémoire du navigateur. Le code échapperait ainsi aux analyses des antivirus.

Selon Stephan Chenette, responsable de la sécurité pour Websense, une nouvelle forme d’attaque via le Web pourrait rendre les produits antivirus inefficaces. Baptisée « fragmentation de script », cette méthode consiste à morceler un code malveillant en pluseirs parties et à les distribuer de manière synchrone pour échapper aux systèmes de détection par signatures.

« Ce type d’attaque permet de faire transiter le code [malveillant]du serveur vers la mémoire du navigateur puis de l’exécuter », a confié le chercheur à eWeek.com. « Une fois que vous êtes en mesure de déclencher le code, vous êtes en possession de cette machine, ce qui signifie que vous pouvez désactiver tous ses mécanismes de protection. »

La méthode fonctionne de la manière suivante : une routine Javascript anodine, utilisant XDR (eXternal Data Representation ) ou XHR (XMLHttpRequest), est intégrée dans une page web. Quand un internaute visite celle-ci, du code supplémentaire est alors lentement téléchargé à partir d’autres serveurs web, quelques octets à la fois. Le moteur antivirus de l’utilisateur n’est alors en mesure d’analyser que quelques octets inoffensifs pour déterminer si le site web est à caractère malveillant.

Ces données sont alors stockées dans une variable Javascript interne. Javascript est alors utilisé pour créer un élément Script au sein du DOM (Document Object Model) du navigateur et ajouter l’information sous forme de texte. Cela permet de modifier le DOM et d’exécuter le code dans l’élément de script.

Selon Stephan Chenette, tout ce processus échappe aux radars des antivirus car il se déroule entièrement dans la mémoire. De plus, les transferts de données se font sous la forme de fragments si minuscules que les antivirus ne disposent pas d’assez d’éléments de contexte ou d’information pour comparer les signatures. Cette méthode d’attaque constitue une sérieuse menace pour tous les sites en environnement Web 2.0.

Désactiver le Javascript permet de s’en prémunir mais ce n’est pas une solution réaliste pour les utilisateurs du Web. « Le problème de la désactivation du Javascript est qu’elle bloque l’accès à la plupart des grands sites web qui utilisent cette technologie », explique le chercheur. « Les éditeurs d’antivirus doivent comprendre que dans un monde Web 2.0, […] il est très important non seulement de scanner le contenu statique sur le disque mais également de détecter les modifications opérées au sein même du navigateur. »
(Adaptation d’un article de eWeek.com.)