Discussion :

[Michael Guilloux]

Les programmes VBA malveillants refont surface
Quelles techniques les pirates utilisent-ils pour masquer leurs intentions?


La firme de Sécurité Sophos Labs avertit les utilisateurs de Microsoft Office de la réapparition de malwares VBA dans les applications de la suite bureautique et en particulier Word et Excel.

Comme l'indique Sophos, la préférence pour Word et Excel réside dans le fait que les utilisateurs sont plus portés à ouvrir ce type de fichier. La raison est que Word et Excel sont des types de fichiers couramment utilisés pour envoyer des avis de livraison de courrier ou de facture, ou similaire. Les pirates ont donc tendance à les exploiter pour leurs campagnes de spam.

La firme remarque aussi que les pirates ont une certaine préférence pour les anciennes versions d'office à savoir le format « 1997-2003 », même si les versions récentes ne sont pas exclues. Les nouvelles versions d'Office sont compatibles avec les versions antérieures, alors que cela n'est pas réciproque. Ce qui signifie qu'un fichier piégé dans un vieux format peut facilement infecter le PC d'un utilisateur d'une version récente d'Office. Cela pourrait donc justifier la préférence pour les vieux formats.

« Au cours des six derniers mois, les programmes VBA malveillants sont devenus des menaces récurrentes et une arme essentielle dans les campagnes de spam », a déclaré la firme. Les programmes VBA sont couramment utilisés parce qu'ils sont « faciles à écrire, flexibles et faciles à remanier. Une fonctionnalité similaire peut souvent s'écrire de différentes façons qui donnent aux auteurs de malwares plus d'options pour la production de versions distinctes, réalisables de leur logiciel. »

Pour masquer leurs intentions dans les codes sources des programmes utilisés dans leurs attaques, les pirates ont utilisé des techniques traduisant leur expertise en VBA. Un programme analysé par Sophos a permis de déceler ces différentes techniques.

Après avoir extrait le code VBA du programme, celui-ci semblait très complexe à première vue; et pourtant, il était très simple, a indiqué Sophos.

L'auteur du malware a rembourré son code « dans une tentative de déguiser ses véritables intentions ». Il a d'entrée de jeu déclaré des chaines de caractères absurdes au début de son programme. Ensuite, il a introduit des codes redondants en les réécrivant simplement de différentes façons de sorte à pouvoir tromper la vigilance d'un amateur.

Un fait remarquable est que le résultat de l'exécution de ces codes redondants ne sera jamais utilisé dans un autre calcul. L'exécution d'un tel code ne fait que gaspiller le temps de calcul et la mémoire. Ce genre de code est connu sous le nom de « code mort » et son élimination donne un code source plus clair et plus compréhensible.

Le programmeur du malware a encore inséré dans son code source, une portion de « code inaccessible ». Il s'agit en fait d'une partie du code source d'un programme qui ne peut jamais être exécutée parce qu'il n'existe aucun moyen d'y accéder à partir d'un autre point du programme. En l'éliminant, on parvient toujours à un code beaucoup plus clair.

En simplifiant le code source du malware, la firme de sécurité est parvenue à identifier les intentions de l'auteur du programme VBA malveillant. Voici ci-après les différentes étapes depuis le code source initial jusqu' à sa version simplifiée.

Début du code source : les parties en rouge sont redondantes

Code source après élimination des codes redondants et codes morts : les flèches indiquent des sauts de codes inaccessibles

Code source après élimination des codes inaccessibles, et avec une petite mise en forme:

Comme vous pouvez le remarquer, les intentions du malware sont plus claires. Le code établit une connexion HTTP au port 8080 sur le serveur 178.xx.xx.xx. Ensuite, il télécharge un fichier sur le serveur appelé abs5ajsu.exe. Après, il enregistre le fichier dans le dossier TEMP sous le nom fdgffdgdfga.exe, avant de l'exécuter.


Source: Sophos Labs

Et vous ?

Quelles sont vos impressions ?

[Grimly]

C'est tout à fait normal d'avoir ce genre de fichier qui circule quand au départ on demande à ce que Excel réalise ce dont il n'est pas fait pour.

La faille reste le facteur humain.

[Sirus64]

Quand je vois les nouvelles précédentes sur la qualité du code, et que je vois celui-ci, je me peux pas m'empêcher de faire un lien mais où sont passées toutes les règles d'ingénierie ??

[Citrax]

Comme dans l'informatique la loi du yin et yang existe...

Heureusement que ceux qui s'y connaissent un tant soit peu, arriveront a reconnaitre ce type de code, quand ils ont cet aspect là.
Pour les autres et neophytes, il faudra appliquer le principe strict de precaution. Et ne jamais ouvrir n'importe qu'elle fichier.

[Marc-L]

Les codes VBA malveillants refont surface ?

Mais ont-ils jamais disparus ?! Je ne crois pas, rien n'a changé en dix ans !

Peut-être une fréquence accrue récemment selon des vecteurs ou media, mais la menace a toujours été là !

Peut-être de nouveaux utilisateurs se font bernés mais que ce soit une pièce jointe ou un lien dans un courriel,
si la source est inconnue, à quoi bon prendre des risques ?

Sans compter les sécurités des macros d'Office déjà présentes depuis au moins la version 2003 …
Et en activant le mode création ou en gardant la touche Shift enfoncée lors de l'ouverture d'un fichier,
il est possible d'ouvrir un document sans activer de code … (en tout cas avec Excel)

__________________________________________________________________________________________________
Tous unis, tous Charlie

[sevyc64]

Quand je vois les nouvelles précédentes sur la qualité du code, et que je vois celui-ci, je me peux pas m'empêcher de faire un lien mais où sont passées toutes les règles d'ingénierie ??

Détrompe-toi ! Faire sciemment et volontairement du très mauvais code est tout un art, utilisé ici justement pour perdre l'ennemie et cacher les intentions réelles.
Je l'ai eu pratiqué jadis, en guise d’offuscation sur du code asm, par exemple, ou il était pas inhabituel de faire exécuter des centaines de lignes codes dans un sens et dans l'autre,v oire en travers au grès de la valeur de quelques variables, tout ça pour cacher le rôle réel de la 10ène de lignes réellement utiles

[GonMad]

Effectivement, ceci n'est pas nouveau.

L'infection par fichier office avec des macros VBA (.docm par exemple) reprends le dessus, les antivirus mettant leur nez un peu partout, ils ne sont pas conçus pour voir ça (comme un flash embarqué dans un .pdf).
Reste les "sandbox", et encore, payer des centaines de milliers d'euros pour une analyse automatisée qui s'arrête au bout de 10 minutes, c'est de l'arnaque ? Tout en sachant que la plupart des sociétés mettent une sandbox non bloquantes et ne font que remonter les évènements.

Mais le fichier .zip avec un exécutable (surtout un .scr qui ressemble à une image légitime) reste tout de même le mode privilégié pour l'utilisateur lambda.

Pour les "grosses" sociétés (cac40 et compagnie) les techniques d'attaques restent nombreuses, et toujours efficaces. En moyenne une vraie attaque (pas un ddos, quelque chose de bien pensé) donne les clés d'administration du domaine en une dizaine d'heures (le fameux utilisateur krbtgt sur les AD). Et ça m'étonnerais pas que certains se baladent depuis des dizaines d'années (je pense à un des géants pétrochimique Français si vous me suivez).
Aussi à noter, les techniques de "spear phishing" et le "water holling" se développent et deviennent de plus en plus courant. C'est normal vu l'implémentation de la sécurité actuelle en général. Pourquoi passer par une porte blindée alors que la fenêtre est ouverte ?

La validation sur une gateway mail deviens de plus en plus courante, un utilisateur accrédité va lire les mails avec pièces jointes, et vérifier qu'ils soient légitimes. Mais la encore, des failles résident. Cet utilisateur est un humain et peut être facilement manipulé. Pire, certaines sociétés ont mis cette procédure en place, mais le "validateur" est dans le groupe, avec les droits administrateur du domaine. C'est vraiment faciliter la tâche aux attaquants.

Tout ça pour vous dire que dans la sécurité il y à beaucoup à faire, et les procédures actuelles ne sont que des pansements sur une jambe de bois.

[clementmarcotte]

Bonjour,

Peut-être de nouveaux utilisateurs se font bernés mais que ce soit une pièce jointe ou un lien dans un courriel,
si la source est inconnue, à quoi bon prendre des risques ?

On n'a pas encore parlé de l'épidémie de fichiers-joints à la première question (surtout sur le forum Excel. Les forums Word et PowerPoint sont heureusement beaucoup plus tranquilles à cet égard) qui passent directement avec une extension de fichier contenant des macros, (genre .xlsm) et que les modérateurs n'effacent même pas; malgré le texte de Pierre Fauconnier qui dit que les fichiers-joints à la première question sont susceptibles d'être effacés.

Je trouve que Developpez.com est pas mal hypocrite à cet égard. Ils mettent des articles sur la sécurité des macros, mais ils laissent n'importe quel quidam balancer n'importe quel fichier Excel, même pas "zippé", même si c'est un fichier avec des macros, avec sa première question.

Je veux bien admettre qu'Excel vienne avec des mesures de sécurité, mais il y a encore des (vieux) classeurs avec des macros non-signées qui obligent certains utilisateurs à autoriser toutes les macros. Ce ne sont pas tous les individus qui savent qu'ils peuvent se créer un certificat, valide un an, sur leur propre machine. Encore faut-il que le projet VBA soit accessible.