IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Rombertik : un logiciel malveillant qui détruit les PC


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 939
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 939
    Points : 88 211
    Points
    88 211
    Billets dans le blog
    2
    Par défaut Rombertik : un logiciel malveillant qui détruit les PC
    Rombertik : un logiciel malveillant qui détruit les PC
    Lorsqu’il détecte qu’il fait l’objet d’une analyse de sécurité ou d’un débogage

    Le groupe de chercheurs en sécurité Talos de Cisco vient de révéler l’existence d’un malware qui est susceptible de détruire les PC pour échapper à la détection des logiciels de sécurité. Baptisé Rombertik, le logiciel malveillant est doté de multiples couches d’obscurcissement. Il est également conçu avec une fonctionnalité anti-analyse qui lui permet d’échapper aux outils d’analyse. Dans le cas où Rombertik détecte qu’il est en cours d’analyse ou de débogage, il devient très agressif au point de rendre le PC complètement inutilisable et les données quasiment irrécupérables.

    Le malware se propage via les spams et les messages de phishing envoyés aux futures victimes. Rombertik se cache dans une pièce jointe qui lorsqu’elle est ouverte, déclenche le processus qui permet de compromettre le PC de la victime.

    Dans un exemple présenté par Talos, les attaquants ont convaincu l'utilisateur d’ouvrir une pièce jointe. Le fichier infecté qui semblait être une sorte de PDF au vu de l'icône, était en fait un fichier exécutable .SCR qui contenait le malware. Une fois que l'utilisateur double-clique pour ouvrir le fichier, Rombertik se déploie automatiquement sur sa machine.

    A ce stade, le malware commence à effectuer des actions de routine. D’abord, il exécute un ensemble de contrôles anti-analyse pour vérifier s’il s’exécute dans un sandbox. Une fois les vérifications terminées, Rombertik va procéder à son déchiffrement puis s’installer sur l’ordinateur de la victime de sorte à maintenir la persistance. Il effectue ensuite une copie de lui-même qu’il remplace avec les fonctionnalités de base du malware.

    L’étape qui suit est celle qui détermine si le logiciel malveillant va remplir sa mission d’espionnage ou non. Elle peut également s’avérer fatale pour l’utilisateur. En effet, Rombertik va effectuer une dernière vérification pour s’assurer qu’il n’est pas en cours d’analyse en mémoire. Si c’est le cas, le malware tente activement de détruire le Master Boot Record (MBR) de sorte à rendre le PC inutilisable. S’il ne dispose pas des autorisations nécessaires, il s’attaque alors aux fichiers dans le dossier utilisateur, qu’il chiffre avec une clé RC4 générée aléatoirement. Ensuite, il redémarre l’ordinateur.

    Lors du redémarrage, le malware exécute un code avant l’OS qui entre dans une boucle infinie de sorte à ce que le démarrage ne puisse pas se poursuivre. La réinstallation du système s’impose donc à l’utilisateur.

    Mais en modifiant le MBR, Rombertik écrase encore les octets des partitions de disque avec des octets nuls, ce qui rend encore plus difficile de récupérer les données du disque dur endommagé.

    Dans le cas où la vérification d’analyse en mémoire s’effectue avec succès, le PC de l’utilisateur échappe à la destruction mais la menace n’est que reportée tant que le malware demeure sur la machine. Rombertik peut alors passer à l’action mais est susceptible de déclencher le processus de destruction de la machine, s’il détecte qu’il est en cours d’analyse ou de débogage.

    A cette étape, il analyse tous les processus exécutés par l’utilisateur pour détecter un navigateur en cours d’exécution. Lorsqu’il en trouve un, il s’injecte alors dans le navigateur et peut commencer à collecter les données personnelles de l’utilisateur sans aucune discrimination entre les sites, qu’ils soient bancaires ou non. Le malware utilise des API qui lui permettent de gérer les données en texte clair. Il parvient ainsi à lire et capturer les données que l’utilisateur tape dans son navigateur bien avant qu’elles soient chiffrées si elles doivent être envoyées via HTTPS. Les données sont par la suite envoyées à un serveur contrôlé par les attaquants.

    Vu le mode de propagation de la menace, ne pas cliquer sur les pièces jointes provenant des expéditeurs inconnus reste une mesure de protection simple mais efficace contre Rombertik. Les chercheurs suggèrent également la mise en place de politiques de sécurité robustes pour le courrier électronique et l’utilisation de logiciels de sécurité sûrs et maintenus à jour.

    Source : Cisco Blogs

    Et vous ?

    Qu’en pensez-vous ?

  2. #2
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Novembre 2008
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2008
    Messages : 41
    Points : 28
    Points
    28
    Par défaut
    ça ne concerne que le système d'exploitation Windows ou tous les systèmes tournant sur PC (Windows, Mac et Linux) ?

  3. #3
    Membre expert
    Profil pro
    undef
    Inscrit en
    Février 2013
    Messages
    1 001
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : Février 2013
    Messages : 1 001
    Points : 3 660
    Points
    3 660
    Par défaut
    Citation Envoyé par cueffic Voir le message
    ça ne concerne que le système d'exploitation Windows ou tous les systèmes tournant sur PC (Windows, Mac et Linux) ?

    .scr est l'extension Windows des fichiers d'écrans de veilles, je dirais donc Windows. En sus, à la lecture de l'article, j'ai eu l'impression de me retrouver en 1995, époque où ce genre de virus étaient courant.

  4. #4
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2014
    Messages
    69
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Janvier 2014
    Messages : 69
    Points : 43
    Points
    43
    Par défaut
    Wouah, c'est impressionnant, je trouve !

    Qui développe ce genre de monstre ? Bien évidemment, la faille, c'est l'interface chaise-clavier, mais quand même ! J'ai plusieurs interrogations :

    • Qui fait ça, et comment les chercheurs en sécurité sont tombé sur un virus de la sorte ?
    • Il n'y a besoin d'aucune autorisation spéciale pour chiffrer les fichiers ? Pas besoin de mot de passe ?
    • Comment le virus peut passer la sandbox ? Je pensais que le but d'une sandbox était justement de faire tourner les logiciels suspicieux dans un environnement déconnecté des fonctions sensibles

  5. #5
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 387
    Points
    9 387
    Par défaut
    Citation Envoyé par Nairolf21 Voir le message
    Wouah, c'est impressionnant, je trouve !

    Qui développe ce genre de monstre ? Bien évidemment, la faille, c'est l'interface chaise-clavier, mais quand même ! J'ai plusieurs interrogations :

    • Qui fait ça, et comment les chercheurs en sécurité sont tombé sur un virus de la sorte ?
    • Il n'y a besoin d'aucune autorisation spéciale pour chiffrer les fichiers ? Pas besoin de mot de passe ?
    • Comment le virus peut passer la sandbox ? Je pensais que le but d'une sandbox était justement de faire tourner les logiciels suspicieux dans un environnement déconnecté des fonctions sensibles
    Il ne passe pas à travers la sandbox, il détecte juste s'il est exécuté sur une sandbox ou non.
    Je suppose que s'il ne détecte pas un environnement natif il ne fait rien car aucun intérêt.

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 184
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par Nairolf21 Voir le message
    [*]Qui fait ça, et comment les chercheurs en sécurité sont tombé sur un virus de la sorte ?
    C'est simple soit un utilisateur suspicieux a envoyé le fichier sur virustotal qui distribue les fichiers aux sociétés d'antivirus pour analyse. Le fait que ce soit un exécutable qui contienne une icone pdf est hyper douteux...

    Citation Envoyé par Nairolf21 Voir le message
    [*]Il n'y a besoin d'aucune autorisation spéciale pour chiffrer les fichiers ? Pas besoin de mot de passe ?
    Il génére des clés aléatoire et s'il a accès à un fichier en écriture il peut le chiffrer ou le supprimer.

    Citation Envoyé par Nairolf21 Voir le message
    [*]Comment le virus peut passer la sandbox ? Je pensais que le but d'une sandbox était justement de faire tourner les logiciels suspicieux dans un environnement déconnecté des fonctions sensibles
    Le virus peut détecter qu'il s’exécute dans une sandbox par diverses techniques comme le nom de la vm, les process en cours d’exécution, ou encore les drivers et périphériques qu'il détecte. Il ne va pas forcement s’exécuter sur l’hôte de la sandbox mais il va simplement se désinstaller pour éviter d’être analysé, le but étant d’être fiché par les antivirus le plus tard possible.

  7. #7
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    ce virus utilise des moyens un peut extrême pour ne pas se faire analyser
    mais vus que l'on en parle il à déjà été analysé

  8. #8
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 789
    Points : 7 276
    Points
    7 276
    Par défaut
    Citation Envoyé par Michael Guilloux Voir le message
    Rombertik : un logiciel malveillant qui détruit les PC
    [...]

    Vu le mode de propagation de la menace, ne pas cliquer sur les pièces jointes provenant des expéditeurs inconnus reste une mesure de protection simple mais efficace contre Rombertik. Les chercheurs suggèrent également la mise en place de politiques de sécurité robustes pour le courrier électronique et l’utilisation de logiciels de sécurité sûrs et maintenus à jour.

    Source : Cisco Blogs

    Et vous ?

    Qu’en pensez-vous ?
    Dans une entreprise, ce genre de message ne devrait jamais passer la politique de sécurité de la messagerie. Donc l'employé ne peut être "concerné" mais bien l'admin.



    Je recommande à tous ceux que cela intéressent de bien lire le blog Cisco même s'ils doivent se munir d'un dictionnaire : très instructif parce que c'est un type de virus qui a malheureusement un grand avenir.
    Pour l'instant il ne concerne que windows pour se déclencher mais le mbr ou le chiffrement des données regarde tous les systèmes d'exploitation.
    Ce genre de cochonnerie dans le cloud...

  9. #9
    Membre averti
    Inscrit en
    Février 2006
    Messages
    707
    Détails du profil
    Informations forums :
    Inscription : Février 2006
    Messages : 707
    Points : 366
    Points
    366
    Par défaut Sauvegarde du MBR
    Bonjour,

    Pour ce prémunir contre ce type d'attaque, que pensez-vous de l'idée de faire une sauvegarde du MBR ainsi qu'un clône complet avec un programme tel que clonezila ?

    Merci pour votre réponse

    Salutations

  10. #10
    Membre émérite
    Avatar de supersnail
    Homme Profil pro
    Inscrit en
    Novembre 2006
    Messages
    1 719
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Novembre 2006
    Messages : 1 719
    Points : 2 793
    Points
    2 793
    Par défaut
    @Battant: faire des sauvegardes régulières de ses données c'est un des principes de bases d'hygiène informatique (ça évite de pleurer quand ses données sont détruites par des cryptolockers ou malwares du genre, ou même plus trivialement une panne de disque dur ), tout comme éviter d'ouvrir des fichiers venants d'inconnus, éviter de laisser les extensions masquées par Windows et mettre régulièrement à jour son OS, son navigateur et les plugins associés (flash, java, etc).

    Sinon ce genre de "protection" implémentée par le malware montre une fois de plus l'intérêt d'utiliser une machine virtuelle avec du matériel émulé si on veut se lancer dans l'analyse de logiciels malveillant, dans ce cas il suffit de restaurer la VM à un état "sain" avant l'infection, et je doute que cette protection soit réellement efficace protéger le bot de son analyse.

  11. #11
    Membre averti
    Profil pro
    Inscrit en
    Mars 2006
    Messages
    196
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2006
    Messages : 196
    Points : 435
    Points
    435
    Par défaut
    C'est vrai que ça rappelle les virus de la fin du siècle dernier, mais ils fonctionnaient en un temps où réinstaller le système était nettement mois difficile – et plus courant.

    Ici, on a un logiciel qui est au premier niveau intéressé et orienté vers le vol de données, et qui devient à un deuxième niveau méchant et destructeur. Et d'une façon qui me semble un peu vaine sauf si on veut dissuader de l'usage des anti-malwares.

    Les virus des années 80-90 qui étaient souvent des preuves de concept ne se sont pas multipliés justement parce qu'ils détruisaient trop vite le système infecté et se trouvaient ainsi privés de leur vecteur. Dans les années 2000, il y en avait encore un dont on disait qu'il flashait les BIOS. Ce n'est pas très intelligent en somme de la part des voleurs, sauf s'ils ont intérêt à développer une psychose.

  12. #12
    Expert éminent
    Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    Juin 2010
    Messages
    3 094
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : Juin 2010
    Messages : 3 094
    Points : 6 755
    Points
    6 755
    Par défaut
    Citation Envoyé par Francois_C Voir le message
    Les virus des années 80-90 qui étaient souvent des preuves de concept ne se sont pas multipliés justement parce qu'ils détruisaient trop vite le système infecté et se trouvaient ainsi privés de leur vecteur. […] Ce n'est pas très intelligent en somme de la part des voleurs, sauf s'ils ont intérêt à développer une psychose.
    Au contraire. Il faut pousser un peu plus loin l'analyse. A priori, les développeurs de malware refléchissent à ce qu'ils font. Si Rombertik arrive à s'installer, on peut supposer que c'est parce que la machine cible n'est pas suffisamment protégée. Si, sur cette même machine, le malware fait ensuite l'objet d'une analyse approfondie, il est raisonnable d'en conclure qu'on a laissé l'infection se faire pour pouvoir l'étudier. Comme les méchants espions dans James Bond, il « avale une capsule de cyanure » en détruisant le système sur lequel il se trouve, pour empêcher qu'on lui soutire des informations. Il rend son analyse plus compliquée.

    Même si les éditeurs d'antivirus arrivent finalement à analyser l'attaque, ce mode de protection est intelligent car il donne au malware un certain temps pour se propager avant qu'un moyen de protection soit publié.

Discussions similaires

  1. Réponses: 48
    Dernier message: 03/08/2018, 17h31
  2. Réponses: 15
    Dernier message: 08/08/2013, 11h42
  3. Logiciel word vers PDF qui garde les hyperlien ?
    Par elitost dans le forum Word
    Réponses: 30
    Dernier message: 20/11/2007, 21h30
  4. [W2K] Recherche d'un logiciel qui masque les icones
    Par BiM dans le forum Windows 2000/Me/98/95
    Réponses: 2
    Dernier message: 25/08/2005, 20h51
  5. Un logiciel qui traduit les langages évolués vers l'asm
    Par Cygnus Saint dans le forum Assembleur
    Réponses: 6
    Dernier message: 13/06/2005, 09h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo