Avant que nous n’en ayons connaissance

Une étude empirique intéressante de Leyla Bilge et Tudor Dumitras (de chez Symantec) sur les attaques de type zero-day : Before we knew it.

Par rapport à nebule, on peut noter une similitude dans la méthode d’identification des objets. Chaque objet de l’étude est un fichier référencé par une empreinte MD5 et une empreinte SHA2. Si le contenu des fichiers n’est pas conservé, la base de données conserve avec les empreintes le type de fichier, le lien de téléchargement et la date de téléchargement. Un des problème est qu’il n’est pris en compte que les fichiers exécutables Windows, exit donc les exécutables UNIX, les fichiers PDF ou multimédia piégés. Chaque hash de fichier peut apparaître comme téléchargé plusieurs fois à des dates différentes et sur des sites web différents. Et enfin les attaques zero day sont détectées à posteriori de façon plus fiable lorsque un fichier particulier est publiquement reconnu comme néfaste, avec un historique de son exploitation, que des sites sources, mais aussi potentiellement des clients impactés.

On est proche de la réflexion sur l’anti-virus dans nebule. L’une des possibilité pour la ré-utilisation de ces empreintes est de pouvoir marquer certains objets comme néfastes sans avoir à les re-scanner sur chaque station qui les voit passer…

Mais ne rêvons pas, cela ne sera pas suffisant pour supprimer les attaques zero day.

Copie de l’étude : bilge12_zero_day

Liens :
http://users.ece.cmu.edu/~tdumitra/public_documents/bilge12_zero_day.pdf
http://www.schneier.com/blog/archives/2012/10/studying_zero-d.html

Laisser un commentaire