Mot à coucher dehors : le CaaS

Il fallait s’y attendre : la mode du tout “as a service” a fini par atteindre l’industrie du code malveillant. Le Crimeware as a Service (CaaS) en est une illustration originale.

Nous devons le terme à Ryan Sherstobitoff, chef évangéliste pour l’éditeur Panda Security. Il définit ainsi le CaaS comme étant la fourniture de services à un code malveillant local depuis un serveur distant (et potentiellement, pourrions-nous ajouter, depuis une infrastructure telle celle d’Amazon, dont la nature “in the cloud” se prête parfaitement à ce besoin).

Ryan Sherstobitoff cite plus précisément l’exemple du polymorphisme viral : tandis que les codes malveillants embarquent le plus souvent avec eux leur routine de polymorphisme, le modèle du CaaS déporte leur moteur polymorphique en ligne. Pour les puristes, le bon vieux temps de Dark Avenger et de son MtE est décidément bien loin !

Sherstobitoff offre deux applications du modèle CaaS : les serveurs qui infectent les internautes avec des souches variées générées très rapidement, et les bots capables de muter sur demande via HTTP. Mais il est tout à fait possible d’imaginer d’autres débouchées pour le CaaS, par exemple via des services web de mutation interrogeables par messages SOAP (avec propagation de l’authentification du code malveillant par SAML bien entendu !). Dans tous les cas, le moteur de polymorphisme est situé sur un serveur et non dans le code malveillant récupéré.

Et qu'est-ce que cela change, finalement ? Selon Ryan Sherstobitoff cette approche pose surtout un problème aux chercheurs antivirus dans la mesure ou elle rend plus difficile l’analyse de la routine polymorphique et la génération d’un échantillon suffisant de spécimens en un temps acceptable.

Mots clés : CaaS, virus, polymorphisme, code malveillant, Dark Avenger, antivirus, Panda Security, Sherstobitoff, Crimeware as a service, cybercrime