Accidentellement rencontré le code source de certains logiciels malveillants, que faire?
Par hasard, l'autre jour, je suis allé sur un site douteux, et aujourd'hui j'ai découvert que dans ma cache se trouvait un fichier texte. Et après avoir lu le contenu du fichier, j'ai déduit que c'est le code source de certains logiciels malveillants potentiellement nouveaux qui exploitent une vulnérabilité dans un programme de sécurité.
Maintenant, je veux le soumettre à mon fournisseur d'antivirus, mais dois-je simplement le soumettre sous forme de fichier texte (car ils devraient le compiler afin d'obtenir une signature de virus et je ne sais pas à quel point le processus est automatisé) ), ou dois-je le coller dans mon IDE, le construire et ensuite leur envoyer la version construite, ou comment dois-je le leur envoyer? De la manière la plus sûre et responsable qui soit.
dois-je le coller dans mon IDE, le construire et ensuite leur envoyer la version construite
Ce n'est pas une bonne option. À moins qu'il y ait une raison de croire que l'auteur du logiciel malveillant et vous avez un environnement de développement en commun auquel le fournisseur AV ne peut pas raisonnablement accéder, le vendeur AV peut le faire lui-même et le fera s'il pense que cela aiderait. Il est fort probable qu'ils puissent mieux étudier la question "à quoi pourraient ressembler les logiciels malveillants publiés et comment pouvons-nous détecter toute la variété de logiciels malveillants que nous verrons probablement attaquer cette faille? que vous ne le pouvez, parce que c'est carrément dans leur ligne de travail.
Considérez: que dans vos mains, puisque vous n'êtes pas malveillant, cela devient une preuve de concept exploitez le code. Il pouvait être destiné à être un malware, et vous n'avez pas découvert le défaut vous-même, mais en laissant de côté les détails du crédit et de la priorité, vous êtes dans fondamentalement la même position en matière de divulgation que si vous aviez découvert le défaut vous-même et écrit ce code pour le prouver exploitable.
Vous devez au moins:
Recherchez en ligne de courtes sections reconnaissables du code pour vous assurer que ce code source spécifique n'est pas déjà publié. Je sais que vous en avez déduit le contraire, mais je ne peux pas ébranler le sentiment persistant que peut-être cela est une preuve de concept exploitant du code et non un malware.
Passez par le processus de divulgation des failles du fournisseur du "programme de sécurité" que ce code exploite. S'ils n'ont pas de processus, envoyez un e-mail ou contactez-les d'une autre manière et demandez. Faites tout ce que vous pouvez dans ce processus pour transmettre votre conclusion qu'un exploit fonctionnel pour la faille est déjà dans la nature.
Si cela n'obtient pas de réponse satisfaisante, consultez un ou plusieurs fournisseurs AV. Découvrez comment votre fournisseur choisi préfère recevoir des soumissions de logiciels malveillants ou utiliser ne liste existante de coordonnées . Comme il s'agit d'un cas quelque peu inhabituel, dans la mesure où vous avez une source à soumettre plutôt qu'un simple binaire malveillant, je vous conseille de vous pencher vers tout ce qui pourrait ressembler à un humain à l'autre bout.
Ne vous concentrez pas uniquement sur l'AV que vous utilisez: si vous pouvez persuader n'importe quel fournisseur AV (majeur) de reconnaître le problème, d'autres y compris le vôtre suivront. Les grands fournisseurs audiovisuels sont également mieux placés pour convaincre le vendeur du logiciel défectueux de faire quelque chose que, sans vous offenser, une personne au hasard. Si vous pouvez identifier dans la couverture de presse des chercheurs en sécurité qui ont déjà découvert des failles dans le même logiciel ou des logiciels du même fournisseur, incluez-les dans votre liste de personnes à contacter. Ils ont déjà traité le processus de divulgation qui n'a pas réussi à vous satisfaire.
Si cela n'obtient toujours pas de réponse satisfaisante, alors en dernier recours absolu, soumettez une version binaire compilée [*] du malware suspect comme ci-dessus, et espérez que leur routine pour les binaires soumis fera un meilleur travail qu'avec la source.
[*] vous l'avez déjà compilé, donc le navire a navigué sur toutes les préoccupations qu'il pourrait exploiter votre compilateur ainsi que étant du code pour l'exploiter programme de sécurité. D'ailleurs, il pourrait exploiter votre éditeur de texte, et vous l'avez déjà regardé avec ça. Il pourrait exploiter votre pile réseau, et vous l'avez déjà téléchargée. C'est la vie.
Je crains que votre binaire compilé diffère beaucoup du malware réel qui peut être trouvé dans la nature. Différents compilateurs et drapeaux de ligne de commande produiront des fichiers binaires complètement différents, et le binaire malveillant peut être optimisé/obscurci davantage à l'aide d'outils supplémentaires ou même manuellement.
Leur soumettre votre binaire compilé est susceptible d'être contre-productif et ne fera que perdre du temps à tout le monde. Au lieu de cela, si vous ne pouvez pas soumettre directement le fichier de code source (car leur formulaire attend un binaire, etc.), essayez de contacter un humain et de lui donner la source.
La solution la plus courante pour traiter les fichiers malveillants consiste à les compresser (par exemple dans un fichier Zip). Cependant, comme de nombreux outils AV regardent désormais à l'intérieur des archives, vous devrez peut-être contrecarrer les tentatives d'inspection automatisée - la solution la plus simple consiste à simplement mettre un mot de passe sur le fichier Zip (qui crypte le contenu).
En règle générale, le mot de passe est distribué juste à côté de l'échantillon de logiciels malveillants, car vous essayez de l'empêcher d'être ouvert par des machines, mais pas par des humains. Souvent, le mot de passe sera une sorte de texte d'avertissement, comme "malware" ou "ceci est un virus" ou quelque chose, afin de faire clairement comprendre aux humains que le contenu peut être dangereux.
Si vous utilisez Avast AntiVirus, une fois que vous avez ouvert l'interface utilisateur, il devrait y avoir des informations de contact quelque part. Même une adresse e-mail fera l'affaire. Copiez-collez et envoyez-le. D'une manière ou d'une autre, un employé l'enverra là où il doit aller.
Maintenant, pour une mesure de sécurité, au cas où un logiciel malveillant ferait quelque chose "Derrière les rideaux", c'est une bonne idée d'exécuter une analyse au démarrage. (Une option disponible dans la plupart des AV).
Je ne sais pas à quel fournisseur AV vous souhaitez l'envoyer (en fait, je ne sais pas pourquoi vous voudriez limiter votre soumission à un seul fournisseur AV)
Ce que vous devez faire est de contacter le fournisseur AV. Ils auront un e-mail/liste de diffusion/forum/chat… disponibles. Expliquez que vous disposez d'un code source malveillant et que vous souhaitez le lui soumettre. Votre problème est d'obtenir le fichier à un humain (en supposant que personne ne jettera un coup d'œil léger aux binaires non exécutables qui leur sont soumis, ce qui semble être une erreur de leur part), -ou parfois, au bon service-, qui puis assurez-vous qu'il arrive à la bonne personne.
Notez cependant que le code source que vous avez trouvé peut pas être malveillant, leurs analystes sont trop occupés pour traiter votre échantillon (mais assurez-vous qu'ils le garderont archivé juste au cas où c'est utile à l'avenir), ou la société AV peut même ne pas déranger (ils n'ont aucune obligation d'examiner vos soumissions, après tout).