Un développeur a créé un outil anti-ransomware open source baptisé RansomLord. Ce logiciel automatise la création de fichiers PE exploitant les vulnérabilités des ransomwares avant leur chiffrement. Son créateur l’a rendu public sur GitHub.
1 « J'aime »
J’ai vu cette news chez Korben, mais pareil pas compris, on s’en sert comment pour se protéger des ransomwares ?
1 « J'aime »
1 « J'aime »
Un extrait de l’article de Korben qui vulgarise le fonctionnement du logiciel :
« Pour réussir cet exploit (sans mauvais jeu de mot), RansomLord génère des fichiers « DLL » qui se font passer pour des fichiers légitimes dont les rançongiciels ont besoin. En réalité, ces DLL sont remplis de code malicieux qui court-circuite le processus de chiffrement et met fin à la carrière du malware avant même qu’il n’ait pu crier « Bitcoin » ! »
https://korben.info/ransomlord-v3-outil-anti-rancongiciel-open-source-exploite-failles.html
Il faudra quand même se méfier des ransomwares qui essaieront d’usurper le nom de ce logiciel…
6 « J'aime »
Utiliser la substitution de dll, technique « simple » de piratage, pour contrer des pirates, ça me plait! 
1 « J'aime »
Protéger grâce aux DLL çà limite donc à Windows. Il y a quand même énormément d’attaques sur les VPN (Fortinet) les SSL non patchés, les injections SQL, etc…
2 « J'aime »
Oui enfin windows 10 & 11, c’est 1,4 milliards de PC et là on parle de ransomwares pas d’attaque DDoS
3 « J'aime »
Partager en open source semble bien, mais est-ce que ça ne révèle pas leurs failles aux auteurs des ransomware, qui seront donc plus à même de les boucher ?
J’aurais publié ça en closed source tout en proposant les sources aux chercheurs en sécurité reconnus.
1 « J'aime »
c’est enfin une bonne initiative : ça resoud un des plus gros problème de la cybercriminalité, c’est libre et gratuit. en revanche, le désavantage du libre c’est que dès lors tu livre ta technique, automatiquement tu révèle la méthode de contournement. donner ses clés à son ennemi n’est pas judicieux. En revanche c’est louable malgré tout et très rare de nos jours.
2 « J'aime »
Le faire en proprietaire n’aurait strictement rien changé tout en n’inspirant pas confiance aux gens qui cherchent a l’installer
5 « J'aime »
- Strictement rien changé => tu peux développer ? Là on a expliqué à tout le monde que la protection se base sur des failles des ransomware, et on montre le code qui les exploite. Ça me semble plus facile pour les criminels d’essayer de partir de là pour corriger leurs failles que s’ils savaient juste qu’il y a un logiciel de protection dans la nature (son fonctionnement doit pouvoir s’analyser sans accès au code source mais c’est un brin plus compliqué surtout si on ne sait pas qu’il s’appuie sur des failles)
- Pas confiance => c’est bien pour ça que je précise « tout en proposant les sources aux chercheurs en sécurité reconnus »
2 « J'aime »
Attendons les prochaines attaques pour voir si c’est efficace. Malheureusement, je fais confiance aux hackers pour trouver rapidement une parade. C’est à la fois le gros avantage mais aussi le gros inconvénient de l’informatique. Tout est possible et n’est qu’une histoire de temps.
1 « J'aime »
Bah c’est très simple, Windows, son noyau, ses composants, tout ce qui le compose ou presque en fait, est closed source.
Est-ce que ça empêche les ordures d’en analyser le code pour en trouver les failles ?
À contrario, le système le plus utilisé au monde sur les serveurs qui font internet, à savoir GNU/Linux, est open source, est-ce qu’internet s’est écroulé à cause de ça ?
Le closed source n’a jamais empêché le hack, l’open-source permet la révision du code, et sa correction le cas échéant, par bien plus de monde qu’en closed source.
Combien de failles 0 day laissées ouvertes un temps hallucinant par des projets closed source, windows en tête ?
probablement le service web d’hébergement et de gestion de développement de logiciels le plus populaire
Il l’est peut-être encore, mais ça ne va pas durer.
Depuis le rachat de github par Microsoft, de nombreux projets s’en barrent pour passer à sourceforge/gitlab/autre, le problème étant que migrer un projet, suivant sa taille et le nombre de contributeurs, peut prendre sacrément longtemps vu les ressources restreintes de nombreux projets.
UBports, l’assoc qui gère le dev d’Ubuntu Touch, a mis plus d’un an pour migrer de hub vers lab, et je ne suis pas sûr qu’ils aient encore finis.
Bref, désormais GitHut est contrôlé par l’ancêtre de tous les gafam, et franchement, personne ne devrait avoir confiance, ça va finir comme Amazon qui regarde ce qui se vend le mieux pour le copier et supplanter le vendeur tiers…
6 « J'aime »
Je ne parle pas ici de trouver des failles dans le logiciel dont nous débattons ici du caractère open source, ce pourquoi ta comparaison avec Windows/Linux aurait du sens.
Je parle de l’opportunité pour les auteurs des malware d’identifier ce qu’ils peuvent faire pour rendre leurs horreur plus fortes, et ne plus être contrés par ce logiciel ! Le raisonnement n’est plus du tout le même (et ta comparaison tombe à l’eau D’ailleurs ne t’en fais pas, je ne suis pas contre l’open source et si tu remontes les commentaires clubic suffisamment loin tu me verras écrire exactement la même chose que toi sur ce sujet ! Bref, je suis au courant).
On a un logiciel qui protège contre leurs horreurs. Pour eux, le but est donc de comprendre comment on se protège et comment ils peuvent faire pour contourner la protection. Là, on leur donne deux éléments : (1) on utilise des failles dans leurs horreurs, ce qui est très différent par exemple d’une reconnaissance par signature ou comportement comme le font les antivirus classiques. Donc déjà les gars partent avec une info importante : ils ont une faille à corriger et non une protection à contourner (2) on a le code qui exploite la faille, donc des indices sur ladite faille.
1 « J'aime »
- Avoir un code propriétaire n’empêche pas de decompiler le dit code et faire du reverse engineering. L’obfuscation de code n’est PAS une protection.
Encore plus face à des gens qui font des malware et ransomwares, c’est totalement inutile et c’est très facile de savoir ce que fait ce programme sans avoir accès au code source - Si le code source n’est pas publique personne ne peut le compiler soit même, le rendre dispo uniquement à des chercheurs est encore une fois inutile
1 « J'aime »
Heu… il n’est d’ailleurs pas du tout open-source…
Ce qui a été posté sur github est juste un exe…
Et il suffit de regarder le readme :
*** DOWNLOAD « RansomLord_v3.1.exe » EXE file and NOT the « Source code(zip) » .ZIP archive as that contains older versions
Pour se rendre compte que ce qui est appelé « Source code(zip) » est juste un zip d’anciennes versions du binaire…
2 « J'aime »
Aucun crédit à accorder à ce logiciel.
Bah si, il est open source…
Ce n’est certes pas une GPL3.0, mais une licence MIT, mais ça reste open source… Et compatible GPL…
https://github.com/malvuln/RansomLord?tab=MIT-1-ov-file#readme
1 « J'aime »
Ben oui on peut décompiler et faire du reverse engineering, je l’ai déjà écrit noir sur blanc ci-dessus (même si je n’ai pas utilisé ces termes).
Le problème c’est que, dès le départ, tu as compris de travers (cf. ton laïus avec la comparaison Windows/Linux) et que tu tiens à persévérer dans ta contradiction de mon propos initial pour l’unique vraie raison que c’est dans cette voie que tu t’es embarqué.
Mon propos initial étant sous forme de question, sa contradiction est bienvenue … mais avec une explication claire pour démonter qu’on ne facilite pas la tâche des pirates en annonçant qu’on exploite des vulnérabilités dans leur code et en leur montrant comment (sans besoin pour eux de découvrir le premier et de passer par la décompil’/reverse engineering pour le second, ce qui amha nécessite des compétences un cran au dessus).
Si j’étais le pirate et que j’apprenais qu’un logiciel anti ransomware était sorti, je m’embarquerait dans une analyse longue et chiante pour comprendre la protection mise en œuvre et comment la contourner, comme je le ferais déjà avec les antivirus classiques. Si j’étais le pirate et que j’apprenais qu’une protection open source se base sur mes failles, j’ouvrirais directement mon propre code pour identifier et boucher lesdites failles, en comptant sur le code publié pour m’aider à les identifier. Et là comme ça, assis devant mon écran avec mes quelques compétences de dev, j’ai l’impression que la seconde est plus facile.
Quant à monter le code aux chercheurs en sécurité reconnus, je pense que si, ça sert à quelque chose : à montrer patte blanche et à avoir une validation reconnue que le soft fait un truc bien. Évidemment si tu veux une confiance totale (dans l’hypothèse où on ajouterait un malware dans le logiciel censé protéger), il faut associer la version du code validé à un hash de l’exécutable. Mais entre nous, est-ce qu’à chaque fois que tu installes un logiciel open source, tu le compiles toi même, ou vérifies que le hash de l’exécutable téléchargé est identique au hash non pas annoncé par la plateforme de DL mais par un tiers qui a compilé lui-même avec le même compilateur ? La grande majorité des gens, moi le premier, ne le font pas. On se contente de la réputation.
1 « J'aime »
Il manque une information essentielle : On l’utilise quand??
Je n’ai pas trouvé l’information.
Faut-il être infecté donc quand tout est chiffré ou sert-il d’anti-malware en surveillance active avant infection?