EAX et le virtuel, est-ce la luuuute finale ?
C'est une petite -et légère- leçon d'assembleur et de lecture de registre que nous donne Fabien Perigaud du Cert-Lexsi. Le but de ce mini-exposé est de nous faire découvrir la manière avec laquelle un malware pouvait découvrir la véritable nature du milieu dans lequel il a élu domicile : machine réelle, propice à la prospérité, ou système virtuel, qu'un simple rappel de snapshot remettra sur pied en éliminant jusqu'au souvenir du virus ? la réponse est dans EAX. « On peut s'attendre à voir de plus en plus de malwares utiliser ce genre de méthodes de détection, empêchant ainsi les analyses automatisées basées sur des machines virtuelles » craint l'auteur de ces savantes lignes. L'évasion des honeypots est un thème fort ancien, donc l'un des premiers défricheurs était le père des honeypot, Fred Cohen lui-même. Puis, plus tard -il y a plus de 6 ans-, Davide Del Vecchio s'est intéressé au problème. La course est loin d'être finie pense Perigaud. Elle a commencé il y a 6 ou 8 ans avec la détection des adresses MAC un peu trop connues, elle flirte aujourd'hui avec les registres. Les chercheurs de l'Avert Lab faisaient il y a peu une remarque analogue, estimant qu'il deviendrait de plus en plus difficile de constituer des « pièges » à malwares à base de VMWare par exemple.
N'est-ce pas là la marque d'un léger pessimisme? Il manquait au monde virtuel, pour qu'il se développe, la puissance de feu marketing d'un poids lourd de l'informatique. Microsoft arrive avec Hyper-V, Virtual Server, Softgrid et tous les tambours du roi. VMware pourrait d'ailleurs bien en profiter un peu, du moins durant l'année à venir*. La machine virtuelle va passer du stade de « morceau de honeypot » à celui de « morceau de choix », car il s'en trouvera une au moins très rapidement sur chaque serveur d'entreprise, sur chaque poste mobile, sur la moindre station de travail familiale (une machine pour papa, une machine pour maman, une machine pour Jeannot, une machine pour la petite soeur...). Bref, la banalité va noyer le honeypot. En voilà une aubaine pour les chasseurs de malwares
*Note de la Correctrice (NdlC) : Après, c'est une autre paire de Vlan. C'est généralement ce que l'on raconte au chat avant de l'écorcher.
