IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

EternalRocks : un autre malware plus complexe que WannaCry qui s'appuie sur sept exploits de la NSA


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut EternalRocks : un autre malware plus complexe que WannaCry qui s'appuie sur sept exploits de la NSA
    EternalRocks : le malware ciblant le service SMB s'appuie sur sept exploits de la NSA,
    tandis que WannaCry n'en utilise que deux

    Le ransomware WannaCry, qui a fait couler beaucoup d’encre et a été la raison pour laquelle des DSI de plusieurs entreprises dans le monde ont ouvert des cellules de crise durant le weekend passé, s’appuyait sur deux outils de la NSA pour se propager via le service Windows Server Message Block (SMB) : ETERNALBLUE et DOUBLEPULSAR.

    Cette fois-ci, EternalRocks, un autre logiciel malveillant, a été découvert et se propage lui aussi par le service SMB. La différence avec WannaCry ? Il exploite sept outils de la NSA, notamment ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY, qui sont des exploits SMB utilisés pour compromettre les ordinateurs vulnérables, tandis que SMBTOUCH et ARCHITOUCH sont deux outils de la NSA utilisés pour les opérations de reconnaissance SMB. Une fois que le ver a obtenu une entrée, il utilise ensuite un autre outil NSA, DOUBLEPULSAR, pour se propager vers de nouvelles machines vulnérables.

    Contrairement à EternalRocks, WannaCry n'a utilisé qu’ETERNALBLUE pour la compromission initiale, et DOUBLEPULSAR pour se propager vers de nouvelles machines vulnérables.

    C’est le chercheur en sécurité Miroslav Stampar, membre du CERT croate et accessoirement créateur de l’outil sqlmap, un outil open source permettant d'identifier et d'exploiter une injection SQL sur des applications web, qui l’a découvert après qu’il a infecté son pot de miel SMB.

    Contrairement à WannaCry, EternalRocks n'a pas de commutateur kill pour empêcher l'exécution du code. Il utilise certains fichiers avec les mêmes noms que WannaCry pour essayer de tromper les chercheurs de sécurité qui vont alors penser qu’ils sont en face de WannaCry.

    Une fois dans la machine, EternalRocks télécharge le navigateur web Tor, qui est supposé permettre de naviguer sur le Web de façon anonyme, mais également d’accéder à des sites hébergés sur le Dark Web qui ne peuvent pas être consultés à partir de navigateurs Web normaux comme Chrome, IE ou Firefox.

    Lorsque Tor est installé, EternalRocks lance le téléchargement de composants de base qui seront utilisés plus tard. Tor se connecte à un serveur C&C sur le Dark Web. Après un délai, qui est réglé sur 24 heures, le serveur C&C répond et une archive contenant les sept exploits SMB est téléchargée. Ce délai est susceptible d'avoir été mis en place pour éviter les techniques de sandboxing.

    Ensuite, le ver scanne Internet à la recherche de ports SMB ouverts afin de propager l’infection à d'autres organisations.

    EternalRocks est beaucoup moins dangereux que WannaCry, dans la mesure où il ne fournit actuellement aucun contenu malveillant. Ceci, cependant, ne signifie pas que EternalRocks est moins complexe. Selon Stampar, c'est en fait le contraire.

    En raison de son arsenal d'exploitation plus large, de l'absence d'un domaine de substitution permettant de tuer ses processus, et en raison de sa dormance initiale, EternalRocks pourrait constituer une menace sérieuse pour les ordinateurs avec des ports SMB vulnérables exposés à Internet, si son auteur venait à décider d'armer son ver d’un Ransomware, d’un Troyen bancaire, d’un RAT, ou autre chose.

    À première vue, le ver semble être une expérience issue d’un auteur de logiciels malveillants qui effectue des tests et affûte ses flèches en prévision d’une attaque future.

    Ceci, cependant, ne signifie pas que EternalRocks est inoffensif. Les ordinateurs infectés par ce ver sont contrôlables via les commandes du serveur C&C et le propriétaire du ver peut exploiter ce canal de communication caché pour envoyer de nouveaux logiciels malveillants aux ordinateurs précédemment infectés par EternalRocks.

    En outre, DOUBLEPULSAR, cet implant de la NSA qui dispose de fonctionnalités de porte dérobée, reste actif sur les PC infectés par EternalRocks. Malheureusement, l'auteur du ver n'a pas pris de mesures pour protéger l'implant DOUBLEPULSAR, ce qui signifie que d'autres acteurs malveillants pourraient l'utiliser comme une porte dérobée sur les machines infectées par EternalRocks en envoyant leur propre logiciel malveillant à ces PC.

    Source : résultats de la recherche sur EternalRocks
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2016
    Messages
    223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2016
    Messages : 223
    Points : 561
    Points
    561
    Par défaut
    Aller pour être sympa, pas de railleries, bon courage amis des DSI : )

    Ceci dit, on a pas encore eu de vers qui s'installe dans le bios machine (ou similaire), malgré que cela soit possible.

    J'attends avec impatience ce doux moment de délectation où les pcs seront compromis dans leurs hardware.

  3. #3
    Membre éprouvé

    Homme Profil pro
    Consultant ERP
    Inscrit en
    Janvier 2013
    Messages
    372
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Consultant ERP
    Secteur : Conseil

    Informations forums :
    Inscription : Janvier 2013
    Messages : 372
    Points : 1 202
    Points
    1 202
    Par défaut
    Le service SMB est-il toujours d'actualité sur W10?

    Citation Envoyé par mh-cbon Voir le message
    Ceci dit, on a pas encore eu de vers qui s'installe dans le bios machine (ou similaire), malgré que cela soit possible.
    J'attends avec impatience ce doux moment de délectation où les pcs seront compromis dans leurs hardware.
    Ce moment est peut-être déjà passé, un peu d'auto-promotion éhontée pour en discuter ici

  4. #4
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2016
    Messages
    223
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2016
    Messages : 223
    Points : 561
    Points
    561
    Par défaut
    Citation Envoyé par MaximeCh Voir le message
    Le service SMB est-il toujours d'actualité sur W10?
    Il semble que oui https://www.rootusers.com/disable-sm...-0-windows-10/

    Citation Envoyé par MaximeCh Voir le message
    Ce moment est peut-être déjà passé, un peu d'auto-promotion éhontée pour en discuter ici
    osef de l'auto promo, on a besoin de
    - corréler les infos les unes autres tellement elles sont nombreuses et biaisées
    - l'intelligence collective pour repérer les âneries

    +10^6

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    le service SMB ca concerne que windows ?

  6. #6
    Membre chevronné

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    Juin 2002
    Messages
    598
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2002
    Messages : 598
    Points : 2 016
    Points
    2 016
    Par défaut
    Citation Envoyé par MaximeCh Voir le message
    Le service SMB est-il toujours d'actualité sur W10?
    Ben oui, c'est ce qui permet le partage de fichiers (et d'imprimante si je ne dis pas de bétises).
    Mais la faille a été corrigé.
    SMB 1.0 est conservé pour des raisons de compatibilité avec les OS anciens.

    Citation Envoyé par Aiekick
    e service SMB ca concerne que windows ?
    L'alternative (compatible) Linux s'appelle SaMBa.
    Je dis compatible car il existe d'autres systèmes de partages.
    --
    vanquish

Discussions similaires

  1. Réponses: 3
    Dernier message: 01/06/2012, 19h55
  2. multipathd et oracleasm : l'un est plus rapide que l'autre
    Par exanlb dans le forum Administration
    Réponses: 0
    Dernier message: 04/04/2012, 16h54
  3. JSF et Tableau un peu plus complexe que la norme!
    Par magellan dans le forum JSF
    Réponses: 4
    Dernier message: 27/05/2011, 16h25
  4. Réponses: 13
    Dernier message: 17/11/2009, 16h00

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo