Les experts de l’éditeur allemand G DATA ont découvert de nouveaux programmes malveillants liés à un botnet Andromède. Un de ces codes, qui se distribue via des macros dans les documents Word manipulés, utilise une technique rare de camouflage par stéganographie. « Le malware se comporte comme une poupée russe sur le système. Il révèle progressivement son objectif« , explique à DataSecurityBreach.fr Ralf Benzmüller, directeur du G Data SecurityLabs. « Les systèmes infectés sont destinés à être utilisés comme PC zombies dans le botnet Andromède / Gamarue« .
Infection en 5 étapes
Le début de l’attaque s’effectue par un document MS Word manipulé. Un tel document se propage par e-mails de spam. Dans le cas étudié, le nom du document suggère qu’il s’agit d‘un contrat. En ouvrant le document et en activant les Macros Office, la victime active une série d’actions qui vont amener à l’infection. Un premier programme déchiffre un second code stocké dans une image (stéganographie). Celui-ci lance en cascade un troisième code en mémoire (le payload) qui injecte la charge utile dans le système. Ce dernier programme malveillant, msnjauzge.exe, intègre une entrée de démarrage automatique dans le Registre pour survivre au redémarrage système : le système cible est infecté.
Le Botnet Andromède identifié
Le fichier msnjauzge.exe est le point d’entrée d’un botnet bien connu appelé Andromède, aussi connu sous le nom de Gamarue. Ce botnet est connu pour avoir livré le cheval de Troie bancaire ZeuS en 2011. Lors de cette analyse, le serveur C&C contacté par l‘échantillon étudié était en ligne, mais n’avait pas délivré de code supplémentaire sur la machine infectée. Par conséquent, l’utilisation prévue pour ce botnet n‘est pas encore déterminée. (Gdata)
Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.
Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :
· Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
· Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
· Livraison – Transmettre le contenu malicieux avec un vecteur de communications
· Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
· Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
· Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
· Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.
Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.
Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :
Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.
Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.
Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.
Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)
Un malware complexe, connu sous le nom de Regin, a été utilisé dans le cadre de campagnes d’espionnage systématique envers des cibles internationales depuis au moins 2008. Trojan de type backdoor, Regin est un malware complexe dont la structure suppose des compétences techniques rarement vues.
Avec un grand nombre de fonctionnalités qui s’adaptent selon la cible, il permet à ses commanditaires d’opérer une surveillance massive et a été utilisé dans des opérations contre des organisations gouvernementales, des opérateurs d’infrastructures, des entreprises, des scientifiques et des individus. Il est probable que son développement ait pris plusieurs mois, voire plusieurs années, et ses auteurs ont tout fait pour assurer sa discrétion. Ses capacités ainsi que le niveau de ressources derrière Regin indiquent qu’il s’agit de l’un des principaux outils de cyber espionnage utilisé par un état.
Comme décrit dans le livre blanc publié par Symantec, Backdoor.Regin est une menace en différentes phases, chacune d’entre elles étant dissimulée et chiffrée, à l’exception de la première. L’exécution de la première étape génère un effet domino de déchiffrement et de chargement de la phase suivante. Chaque étape individuelle fournit peu d’informations sur l’ensemble de la menace. Seule la réalisation de l’ensemble permet l’analyse et la compréhension de la menace.
Les cinq étapes de Regin
Regin utilise également une approche modulaire, lui permettant de charger des fonctionnalités adaptées selon la cible. Cette approche modulaire a déjà été vue dans des familles de malwares sophistiqués tels que Flamer et Weevil (TheMask), alors que l’architecture en plusieurs étapes est similaire à celle observé dans Duqu/Stuxnet.
Déroulé et profil des cibles
Les infections par Regin ont été observées dans différents types d’organisations entre 2008 et 2011, date à laquelle il a été brutalement retiré. Une nouvelle version du malware a refait surface à partir de 2013. Les cibles incluent des entreprises privées, des organisations gouvernementales et des instituts de recherche. Alors que près de la moitié des infections concerne des adresses appartenant à des fournisseurs de services Internet, les cibles de ces infections étaient les clients de ces sociétés plutôt que les sociétés elles-mêmes. De la même manière, les attaques contre des entreprises de télécommunications visaient l’accès aux appels passant par leurs infrastructures.
La géographie des infections est également diverse, et concerne principalement dix pays.
Vecteur d’infection et charges utiles
Le vecteur d’infection varie selon les cibles et aucun vecteur reproductible n’a été identifié à l’heure où ce rapport a été rédigé. Symantec estime que certaines cibles ont été leurrées vers la visite de fausses versions de site Internet bien connus, et que la menace s’est installée via un navigateur web ou lors de l’exploit d’une application. Sur un ordinateur, les fichiers log montraient que Regin venait de Yahoo ! Instant Messenger via une faille non confirmée.
Regin utilise une approche modulaire, donnant ainsi une certaine flexibilité à ses commanditaires et opérateurs qui peuvent ainsi adapter ses fonctionnalités selon les cibles individuelles et les besoins. Certaines charges utiles sont particulièrement avancées et laissent supposer un haut degré d’expertise dans des secteurs bien précis: une preuve supplémentaire du niveau de ressources dont ont bénéficié les auteurs de Regin.
Regin comporte des douzaines de charges utiles. Ses capacités de base incluent plusieurs fonctionnalités de Remote Access Trojan (RAT), telles que la capture d’écrans, la prise de contrôle de la souris, le vol de mots de passe, la surveillance du trafic réseau et la restauration de fichiers supprimés.
Des modules de charge utile plus spécifiques et avancés ont également été découverts, tels que le monitoring de trafic de serveur web Microsoft IIS et l’aspiration du trafic des contrôleurs des stations de téléphonie mobile.
Furtivité.
Les développeurs de Regin ont fourni des efforts considérables pour le rendre indétectable. Son caractère discret semble indiquer une utilisation lors de campagnes d’espionnage qui ont duré plusieurs années. Même lorsque sa présence est détectée, il est très difficile de déterminer précisément ses actions. Symantec n’a été en mesure d’analyser les charges utiles qu’après déchiffrement des échantillons de fichiers.
Regin présente plusieurs fonctionnalités de furtivité, notamment des capacités anti-forensics, un système de fichiers virtuel chiffré unique, un chiffrement alternatif sous la forme d’une variante de RC5, qui n’est pas communément utilisé. Regin utilise de multiples moyens sophistiqués pour communiquer avec l’attaquant, notamment via ICMP/ping qui intègre des commandes dans les cookies http, via des protocoles TCP et UDP sur mesure.
Regin est une menace hautement complexe qui a été utilisée dans la collecte systématique de données ou lors de campagnes de renseignements. Le développement et l’opération de ce malware ont certainement demandé des investissements financiers et en temps importants, laissant supposer qu’un état en est le commanditaire. Sa conception en fait un outil hautement adapté pour des opérations de surveillance persistantes et à long terme contre ses cibles.
La découverte de Regin met en lumière l’importance des investissements pour le développement d’outils informatiques à des fins de renseignement. Symantec estime que de nombreuses composantes de Regin restent à découvrir et que des fonctionnalités et des versions supplémentaires existent. Symantec continue son travail d’analyse et publiera les mises à jour de ses recherches. (Par Symantec Security Response)
Un code malveillant s’adresse aux utilisateurs de manière courtoise et crypte une partie de son code avec des versets de la Bible, pour être le plus indétectable possible par les antivirus. Les Laboratoires antivirus Bitdefender mettent en garde les utilisateurs de Facebook et de Yahoo qu’un cheval de Troie se diffuse actuellement via les messageries instantanées. Le malware est détecté par Bitdefender sous le nom Gen:Variant.Downloader.167 et sévit déjà en France, aux États-Unis, au Royaume-Uni, en Allemagne, au Canada, au Danemark et en Roumanie.
Sa méthode d’action est peu banale : il s’adresse aux utilisateurs de Facebook et Yahoo de manière extrêmement polie (« I want to post these pictures on Facebook, do you think it’s ok ? » – j’aimerais poster ces photos sur Facebook, tu penses que c’est ok ?) et ajoute une URL vers les photos en question, sous forme de liens Dropbox ou Fileswap, des plateformes populaires pour l’échange de photos et vidéos.
Une fois le malware exécuté sur la machine, où il crée un dossier avec un nom aléatoire se terminant par .exe, il se propage sur Facebook et Yahoo! via la liste des contacts, et affiche une boite de dialogue sur l’écran de la victime lors de son installation : « Cette application n’est pas compatible avec votre version de Windows. Vérifiez les informations système de votre ordinateur pour déterminer si vous avez besoin du programme en version 32-bits ou 64-bits, puis contactez l’éditeur du logiciel ».
Un autre piège concernant Facebook remonte au mois de mars 2014, où l’on proposait de voir des vidéos de ses amis nus qui résultait en téléchargement d’un faux player Flash et infectait votre ordinateur.
Tout le monde partage des informations via les réseaux sociaux, plus que sur tout autre support. Mais avec les réseaux sociaux, les exploits sur des comptes personnels ainsi que des comptes d’entreprises font souvent les gros titres : il est donc temps de protéger les identités numériques des consommateurs avec de nouvelles méthodes. F-Secure et Facebook se sont associés pour aider les utilisateurs du plus grand réseau social au monde à sécuriser leurs données en ligne.
Facebook va offrir un scan de malware directement basé dans le navigateur comme service gratuit. Le service sera disponible pour les utilisateurs de Facebook dont le compte a été temporairement gelé en raison d’une activité suspecte provoquée par une infection potentielle de malware. Les malwares ou les logiciels indésirables sur un ordinateur ou un appareil mobile peuvent perturber les performances du dispositif, voler des informations personnelles mais également accéder au système. Ils peuvent duper les utilisateurs de Facebook et leurs amis en affichant des liens malveillants ou des spams qui semblent provenir du compte d’un utilisateur légitime.
« Aider les gens à rester en sécurité sur Facebook constitue une grande partie de notre travail. Nous sommes heureux de pouvoir ajouter la force de la technologie anti-virus de F-Secure à nos systèmes déjà existants pour bloquer et éliminer les logiciels malveillants », déclare Chetan Gowda, Software Engineer chez Facebook. « La croissance spectaculaire au niveau mondial de Facebook a considérablement changé la façon dont les gens interagissent avec leurs amis et leur famille », déclare Olivier Quiniou, Directeur de F-Secure France. « La popularité soudaine de Facebook en a fait une cible majeure pour les cybercriminels. Nous sommes heureux de collaborer avec Facebook pour empêcher les cybercriminels de détourner des données des utilisateurs à des fins malveillantes ».
L’outil de détection et de nettoyage en ligne des malware de F-Secure est entièrement intégré à l’expérience utilisateur de Facebook. Quand Facebook identifie un compte ayant un comportement suspect, il redirigera l’utilisateur vers le processus de nettoyage en ligne. Le scan et le nettoyage sont exécutés directement depuis la fenêtre du navigateur, au sein même de Facebook. Dès que le nettoyage est effectué, l’utilisateur pourra en toute sécurité se connecter à son compte Facebook et sera à l’abri des cybercriminels, et des logiciels espions.
Fonctionnement
· Quand un utilisateur se connecte à partir d’un appareil infecté, il verra apparaître à l’écran une notification lui indiquant l’infection par un malware avec une recommandation de lancer un scan F-Secure. Le scanner étant adapté au type de menace détecté, il est donc recommandé de l’exécuter même si l’appareil dispose déjà d’un programme anti-virus préalablement installé. Le scanner est mis à jour et se retire une fois l’action réalisée, il n’y a donc pas besoin de s’inquiéter de son entretien.
· L’utilisateur peut choisir d’ignorer le processus de suppression des malware ou de télécharger le scan recommandé. Les utilisateurs qui sautent l’étape de suppression de logiciels malveillants peuvent être invités à le refaire plus tard.
· Les utilisateurs qui téléchargent et exécutent le scanner peuvent continuer à utiliser Facebook et d’autres services au cours de l’analyse. Lorsque cette dernière est terminée, l’utilisateur recevra une notification via Facebook et sera en mesure d’examiner les résultats de l’analyse.
Un code malveillant capable de subtiliser mots de passe et informations bancaires via des serveurs IIS infiltrés. La société Trustwave, spécialiste en sécurité informatique, a lancé une alerte, mi décembre, concernant une découverte assez troublante. Une nouvelle attaque sournoise, via un malware, vise les serveurs IIS.
Baptisé ISN, le « machin » vise les machines Microsoft IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit. Le code malveillant, une fois installé, intercepte les requêtes POST http qu’il sauvegarde dans un fichier que le pirate peut consulter, à distance. Autant dire que les informations collectées peuvent faire de gros dégâts.
Comme le rappel Developpez, le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair. Au moment de l’alerte, seulement 9 antivirus sur 49 avaient detecté l’outil pirate qui installait ISN. Fin décembre, 31 sur 49.
L’Université de Washington School of Medicine piégé par un logiciel espion. 900.000 patients touchés. Dans la série, « je vois une piéce jointe dans un courriel et je clique dessus » un fonctionnaire de l’University of Washington School of Medicine a trouvé l’idée bonne et a fait rentrer dans les machines du centre de recherche un logiciel espion. Le malware a permis au pirate derrière cette infiltration une balade de santé dans les machines de l’hôpital universitaire.
Bilan, 900.000 dossiers de patients ont été impactés par la visite. Les noms, numéros de sécurité sociale, numéro de téléphone, adresse, numéro de dossier médical et quelques autres détails ont pu être copiés. Sachant qu’un numéro de sécurité sociale aux USA peut permettre d’ouvrir un compte bancaire, autant dire que le pirate a de l’or en barre dans les mains. La direction a commencé à avertir les patients sur cet « incident ».
Il y a quelques jours, 1.300 patients, des malades ayant reçu une transplantation cardiaque, de poumons, … ont disparu d’un ordinateur volé à un médecin de l’Hôpital de Houston. Le centre médical a offert un an de protection (vie privée) aux malades touchés par cette fuite.
Pendant ce temps, un nouveau cheval de Troie bancaire appelé Qadars s’attaque à la France et aux Pays-Bas. Qadars, est un nouveau cheval de Troie détecté par ESET, un éditeur d’antivirus. L’outil aurait infecté des milliers d’utilisateurs à travers le monde. Il semble cibler principalement des utilisateurs de Pays-Bas et de la France. D’après les chercheurs, le voleur exploite le concept du malware Zeus. Il utilise les navigateurs pour agir. Qadars modifie la page du portail bancaire que l’internaute visite afin d’intercepter les données rentrées par le client ainsi piégé. Le logiciel espion posséde aussi des composants pour smartphone Android qui permet au malware de contourner les étapes de sécurité d’authentification mises en place par la banque en ligne. Le Canada, l’Australie, l’Inde et l’Italie sont les autres pays ciblés par Qadars.
Le code malveillant MisoSMS, pour Android, serait le plus virulent des malwares du moment. Les chercheurs en sécurité de FireEye ont découvert ce qu’ils nomment comme étant l’un des plus utilisé botnet Android. Baptisé MisoSMS, le malware a été exploité dans 64 campagnes de spywares. Selon le rapport des experts de l’entreprise, le malware est déguisé en une application dédiée aux « Paramétrages Android« .
Le logiciel pirate est conçu pour voler les messages (SMS) sauvegardés dans les smartphones. Les informations sont ensuite envoyées en Chine. FireEye explique qu’il collabore avec la justice et le webmail chinois qui permet aux pirates d’exploiter les données afin de perturber le botnet. Il y a eu du boulot, plus de 450 comptes emails étaient exploités dans cet espionnage. La majorité des victimes sont Coréennes.
Kévin FALCOZ, alias 0pc0deFR, chercheur français en sécurité informatique propose un outil fort intéressant permettant de tester la sécurité des plugins WordPress que DataSecuritybreach.fr vous conseille fortement. L’outil disponible sous le repository Bulk Tools permet actuellement de chercher des vulnérabilités de type SQL ou CSRF. Un outil d’audit ingénieux. « Je travaille dessus, souligne à la rédaction de Data Security Breach 0pc0deFR. Je vais le rendre encore plus puissant dans le but de détecter plus de vulnérabilités ». Bref, un excellent projet qui mérite d’être suivi et encouragé. A noter quelques règles Yara, pour les amateurs d’analyses de malwares.
Le dernier Rapport sur les Menaces Mobiles de F-Secure que Datasecuritybreach.fr a pu consulter rapporte une série de nouveaux malware Android, qui utilisent par exemple la messagerie en plus des applications pour se propager et infecter les appareils.
Le premier trimestre 2013 a été marqué par des nouveautés du côté des malware Android, qui se veulent de plus en plus complexes. Le Rapport sur les Menaces Mobiles de F-Secure du premier trimestre 2013 présente la première offensive dont la diffusion s’est faite hors des applications, (via des e-mails de spam), les premières attaques Android ciblées, et la première escroquerie prétextant une avance de frais. En parallèle, les revendeurs de malware Android se multiplient sur le web.
Le nombre de familles et variantes de menaces mobiles est en augmentation de 49 % par rapport au trimestre dernier, passant de 100 à 149. Parmi celles-ci, 136 (soit 91,3% d’entre elles) visaient Android et 13 (soit 8,7%),, étaient conçues pour Symbian. Pour rappel, 61 familles et variantes de menaces avaient été découvertes au premier trimestre 2012… cette croissance est donc à l’image de celle des parts de marché d’Android : exponentielle.
« Les nouvelles techniques utilisées par les cybercriminels pour attaquer Android sont inquiétantes», déclare à Data Security Breach Sean Sullivan, Security Advisor du Lab F-Secure. « A titre d’exemple : jusqu’à présent, je ne me suis jamais inquiété pour ma mère et son mobile Android, car elle n’utilise pas d’applications. Aujourd’hui, j’ai des raisons de m’inquiéter : avec des menaces comme Stels, des malware Android se propagent dans des spams, et ma mère consulte ses e-mails avec son mobile. ».
Ce cheval de Troie Android, plus connu sous le nom de Stels, a commencé à se répandre via un email falsifié de « l’U.S Internal Revenue Services », transportant un logiciel malveillant vendu sur Internet, conçu pour voler des informations confidentielles présentes dans les appareils Android et faire de l’argent en passant des appels à des numéros surtaxés. D’après Sean Sullivan, cet exemple de banalisation des malware « pourrait changer la donne ».
Le premier trimestre a été le théâtre des premières attaques ciblées utilisant des logiciels malveillants Android. Ainsi, des militants des droits de l’homme Tibétains ont été la cible d’emails contenants des pièces jointes infectées par des malware Android. De même, et un soi-disant « coupon de réduction » pour une chaine de café très populaire a permis de soutirer des informations à des téléphones localisés en Corée du Sud.
Des mobiles indiens ont été spécifiquement pris pour cible, avec ce qui constitue la première escroquerie Android prétextant une avance de frais. Dans ce cas, une fausse application Android « d’offres d’emploi » en Inde, informe son utilisateur qu’il est retenu pour un poste au sein de TATA Group, une multinationale indienne. Pour organiser l’entretien d’embauche, l’application demande un dépôt de garantie remboursable.
Petites entreprises, grandes menaces : restez informés, restez protégés
