Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Voyage au cœur du centre nerveux d’ESET

mai 2015 par Marc Jacob

Pour tout éditeur d’antivirus le centre nerveux c’est la recherche sur les malwares et de développement de nouvelles technologies de détection des menaces. Chez ESET, les laboratoires de recherche sont répartie sur les 5 continents et concernent près de la moitié des effectifs soit environ 600 à 700 personnes. Le centre de recherche de Bratislava nous a été présentés par Roman Kovac, Head of Security Research Laboratory et Peter Stancik, Security Evangelist.

ESET a été créée en 1987 par deux jeunes programmeurs Peter Pasko et Miroslav Trnka à l’époque en Tchécoslovaquie. Puis après la séparation de ce pays en deux, le siège étant à Bratislava, la société a pris la nationalité Slovaque. Aujourd’hui ESET est forte de plus de 1000 collaborateurs et protège plus de 100 millions d’utilisateurs dans le monde. En 2014 son CA était de 133 millions de $ avec une croissance de 139% prévu pour les 5 ans à venir. Elle a été reconnue par le Gartner comme le 5ème éditeur d’antimalwares au niveau mondial. En France la croissance annuelle est d’environ 25%.

La salle de recherche et d’analyse

L’équipe de recherche sur les malwares se compose d’environ 600 à 700 personnes dans le monde réparti pour la majorité au siège à Bratislava, mais aussi à Cracovie, Prague, Montréal, San Diego (pour la recherche mais pas pour la détection), Sidney (bureau commercial), Bueno-Aires, Sao Paulo (bureau commercial) et récemment à Singapour de façon à couvrir l’ensemble des fuseaux horaires. Les équipes d’analystes sont les plus souvent des employés venant des pays dans lesquels ils travaillent sauf pour Singapour où ESET a envoyé des personnes du siège. Les équipes d’analystes proviennent aussi de différents pays afin de pouvoir mieux analyser les malwares. Ainsi, on y trouve des russes, des espagnols… Il faut noter que les chercheurs en malwares se répartissent en plusieurs catégories : les analystes et les chercheurs. Les premiers analysent les malwares et mettent à jour les technologies de détection. Les seconds font un véritable travail de recherche qui va jusqu’à la publication d’études portant sur l’industrie du piratage informatique. La salle de recherche chez ESET a été nommé « Houston » du fait de ses similitudes avec le fameux centre de contrôle de la NASA.

Afin d’illustrer le travail de leur équipe, Roman Kovac, Head of Security Research Laboratory et Peter Stancik, Security Evangelist ont présenté quelques travaux de recherche en matière d’analyse de malwares.

Roman Kovac a présenté trois types de campagne de malware :

Operation Buhtrap apparu en avril 2015
Mumblehard découvert mai 215 malware pour Linux
Moose, un malware ciblant Linux, lancé sur la toile la semaine dernière

Operation Buhtrap apparu en avril 2015 est un malware qui s’attaque aux comptes en banque. En premier les victimes reçoivent un mail avec un fichier malveillant qui exploite une vulnérabilité Microsoft. Le document attaché ressemble soit à une facture soit à un contrat d’opérateurs de téléphonie mobile. Le malware s’exécute à l’ouverture du fichier. Il recherche les url de banques, mais aussi tous les fichiers concernant des informations bancaires. Puis, il installe des exécutables dont certains servent à prendre le contrôle de la machine pour préparer des attaques ou des actions malicieuses, d’autres sont des backdoors et des spywares pour installer des DLL malicieuses, des key locggers… et procéder à des vol de données et manipuler le navigateur pour réaliser à l’insu des utilisateurs des manipulations sur les comptes. Ainsi, les pirates peuvent non seulement récupérer des données mais aussi prendre la main sur la machine attaquée.

Linux Mumblehard, a été créé en 2009, mais n’était pas très actif. Il n’a été découvert qu’en mai dernier car des serveurs envoyaient des Spams. Ce malware s’attaque au Webserveurs. Il contient une backdoor et un moteur d’envois de spams. Une fois la backdoor ouverte il communique avec le centre de contrôle du pirate qui lui adresse les messages de spams. Ces derniers sont ensuite diffusés par le serveur. Le site Yellsoft qui propose des logiciels de mailing, comme Directmailer a hébergé le malware sans le savoir. Yellsoft a alors contacté ses clients pour les prévenir du problème.

Linux Moose s’attaque au serveur Linux et au routers des utilisateurs finaux. Il est utilisé pour infecter les réseaux sociaux. Il agit comme un Proxy. Il n’utilise pas de vulnérabilités, mais procède à une attaque en « Brute Force ». Dans ce cas, la victime ne s’aperçoit de rien car son poste n’est pas touché. Par contre, le malware se diffuse par rebond via l’accès à d’autres routers. Au début l’attaque commence par un scan des IP, puis il essaye de se connecter vie le TCP 10073, il essaye aussi par le Telnet TCP23. Si le port est ouvert, il essaie de trouver les login et mot de passe par une attaque de « Brute Force ». Une fois les identifiant trouvés, il prend le contrôle du serveur pour voler les identifiants de connections aux réseaux sociaux et toutes les informations envoyées. Par la suite, il vole les contacts des « fowlowers » de la victime afin d’élargir sa propre base de contacts. On peut s’en apercevoir en voyant sur la page de l’attaquant qu’il y a peu d’information par rapport au nombre de followers élevé… Par la suite le pirate vend de la publicité sur sa page en s’appuyant sur sa base de contacts. Il est possible de détecter l’attaque en mesurant l’activité des routeurs et en voyant l’hyper activité des échanges sur les réseaux sociaux.
Ce malware peut aussi réaliser du DNS hijacking, du sniffing de réseaux, des DDoS… IL peut infecter les routeurs des marques : Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXel, Zhone. Bien sûr, tous ces constructeurs ont été contactés par ESET. Il est toutefois facile de contrer cette attaque en réinstallant le soft par exemple.

Puis Peter Stancik a présenté les problèmes issues des Ransomware et des botnet comme par exemple « Need Visa »

Chez ESET, on divise les Ransomware en deux catégories les screen locker et les cryptolocker. Ce ne sont pas des nouveaux malwares, mais ils s’amplifient en ce moment. Ils sont localisés en fonction des pays. Par exemple, en France l’utilisateur voit sur son écran un message qui semble provenir de la Gendarmerie Nationale, aux Etats-Unis c’est le « département de la Justice » qui demande de régler une amende suite à des « actions illégales » qui auraient été commises par la victime. Les messages sont aussi adaptés à l’utilisateur de la machine selon son âge, sa CSP… En Russie par exemple on peut trouver une image de Poutine faisant un doigt d’honneur, au Japon, c’est un personnage de manga…

Si l’utilisateur n’a pas de sauvegarde de ses données, elles sont le plus souvent totalement perdues car il faut réinstaller totalement la machine. Evidemment payer la rançon ne garantie aucunement l’envoi d’une code de déchiffrement. De plus très souvent l’envoi d’un fichier de déchiffrement permet au pirate d’adresser dans le même temps un cheval de Troie comme dans le cas de CTB-Locker et Elenoocka. Inversement dans le cas d’Elennocka il peut être associé à CTB-Locker. En cliquant sur le premier on installe le cryptlocker CTB Locker.

Need Visa est un botnet qui propose d’obtenir un rendez-vous pour obtenir un Visa pour aller dans certains pays. En cliquant sur le lien l’utilisateur pense être sur le site officiel de l’Etat concerné comme par exemple celui de la Pologne dans le cas présenté. Une fois installé ce Botnet scan l’ordinateur afin de découvrir toutes les vulnérabilités mais aussi d’utiliser le carnet d’adresses. Cela permet au pirate de récupérer aussi des informations personnelles afin de les revendre.

Puis Peter Stancik a décrit des attaques sur Android qui concernent surtout des Adwares sur les Smartphones et le Trojan Dropper.Mapin diffusé via la marketplace de Google. Il était contenu dans Plants vs Zombies 2, une application de jeu gratuite téléchargée plusieurs millions de fois. Ce malware une fois installé modifie la connectivité du Smartphone.

Il a décrit un trojan pour les applications Mobile bancaire qui s’attaque aux clients de 3 banques espagnoles : Santander, BBVA, Banesto.

Le malware Jagonca, pour sa part, s’installe entre le mobile et l’application bancaire pour intercepter les SMS lors de transactions sécurisées. On voit aussi apparaitre des cryptlocker pour Android comme Simplocker. Ce malware a déjà plus de 48 variantes et localise ses versions en fonction du pays. La rançon demandée varie entre 15 et 500$. Aujourd’hui, il évolue en chiffrant le device, mais aussi les fichiers ZIP, RAR… Pour ce malware, ESET propose une solution afin de récupérer les données.


Voir les articles précédents

    

Voir les articles suivants