Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’enquête de l’Unit42 révèle tout sur Shamoon 2

mars 2017 par Palo Alto Networks

Depuis fin novembre 2016, la campagne de cyberattaques du virus Shamoon 2 a donné lieu à trois vagues d’attaques destructrices ciblant des entités en Arabie saoudite. L’enquête que l’Unit42 a réalisé sur elles a mis au jour des informations détaillées sur la méthode employée par leurs auteurs pour libérer la charge utile du logiciel malveillant Disttrack. Plusieurs indices tendent à démontrer que ces acteurs associent des outils légitimes et des scripts de commandes pour déployer cette charge utile sur des noms de domaines dont l’existence est connue des pirates sur le réseau ciblé.

l’Unit42 établit que ces acteurs ont probablement constitué cette liste de noms de domaines connus à partir des informations recueillies depuis Active Directory directement ou lors des missions de reconnaissance réseau effectuées depuis un hôte compromis. Cette reconnaissance réseau, couplée au vol d’authentifiants indispensables au codage en dur des charges utiles Disttrack à l’aide de noms d’utilisateur et mots de passe légitimes, laisse supposer qu’il est très probable que les acteurs en question avaient régulièrement accès aux réseaux ciblés avant le déclenchement des attaques Shamoon 2. Cette étude confirme que le vol d’authentifiants au préjudice des entités ciblées faisait partie de la stratégie des cyberassaillants derrière le virus Shamoon 2, et que ceux-ci se sont servis des authentifiants ainsi dérobés pour infiltrer à distance ces établissements et se déplacer latéralement dans leur réseau informatique.

L’analyse de l’Unit42 établit également que, pour propager Disttrack au sein du réseau ciblé, un acteur commence par compromettre un système dont il se sert comme serveur de diffusion Disttrack sur ce réseau. L’acteur utilise ensuite ce serveur pour compromettre d’autres systèmes en réseau, en utilisant l’adresse du nom de domaine pour copier et exécuter le logiciel malveillant Disttrack. À partir de chacun des systèmes désignés effectivement compromis, le malware Disttrack cherchera à se propager sur 256 adresses IP supplémentaires sur le réseau en local. Ce système de diffusion rudimentaire, mais efficace, permet à Disttrack de se propager quasi-automatiquement sur d’autres systèmes à partir d’un seul système compromis au départ.

L’Unit42 s’est également intéressée aux liens possibles entre Shamoon 2 et la campagne Magic Hound, et présentons des éléments concrets qui tendent à mettre en évidence un possible lien entre ces deux campagnes d’attaques.
Elle a constaté que les acteurs à l’origine des attaques Shamoon 2 utilisent un système compromis comme point de diffusion pour déployer le cheval de Troie Disttrack sur d’autres systèmes du réseau ciblé, le malware Disttrack s’efforçant ensuite de s’auto-propager sur ce réseau. Au moyen d’un utilitaire Open Source baptisé PAExec et de plusieurs scripts de commandes, ces acteurs copient la charge utile Disttrack sur d’autres systèmes du réseau, identifiés à partir d’Active Directory directement ou lors de missions de reconnaissance réseau. Sitôt la charge utile Disttrack déployée sur ces premiers hôtes, Disttrack tente de se propager sur leurs réseaux locaux afin d’amplifier la portée de l’attaque. Si les acteurs interagissent directement avec le système de diffusion, il leur suffit d’exploiter ce seul système compromis pour automatiser le déploiement de la charge utile afin d’infecter en un clin d’œil les systèmes sur le réseau ciblé. De même, il ressort de ces observations un possible lien entre les campagnes d’attaques Shamoon et Magic Hound. L’Unit42 continuera à analyser ces attaques afin de déterminer les autres activités auxquelles se livrent ces acteurs et mettre au jour les éventuelles autres corrélations avec les menaces connues.

Le vol et la réutilisation ultérieure des authentifiants sont des constantes dans les stratégies de nombre de cyberassaillants. L’Unit42 a publié récemment un rapport intitulé « Credential-Based Attacks : Exposing the Ecosystem and Motives Behind Credential Phishing, Theft and Abuse » (Attaques ciblant les authentifiants : le contexte et les raisons derrière l’usurpation, le vol et l’utilisation abusive d’authentifiant) qui expose la manière dont s’opère le vol d’authentifiants et l’emploi abusif qui en découle ; cet ouvrage prodigue des conseils sur les actions qu’il convient de prendre pour que les entreprises puissent se défendre contre ce type de menaces. Les attaques Shamoon 2 illustrent parfaitement la manière dont les pirates parviennent à se procurer des authentifiants, mais aussi ce qu’ils font des authentifiants ainsi dérobés.


Voir les articles précédents

    

Voir les articles suivants