IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 359
    Points : 195 972
    Points
    195 972
    Par défaut Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours
    Microsoft avertit qu'une campagne de diffusion du malware voleur d'informations Astaroth est en cours,
    via des attaques sans fichier

    L’équipe de sécurité de Microsoft a lancé un avertissement au sujet des campagnes malveillantes de diffusion du malware Astaroth à l’aide de techniques sans fichier (fileless) qui empêchent les solutions antivirus traditionnelles de détecter les attaques en cours. Le cheval de Troie Astaroth est une souche de logiciels malveillants capable de voler des informations sensibles telles que les informations d’identité de ses victimes à l’aide d’un module d’enregistrement des clés, l’interception des appels du système d’exploitation et la surveillance du presse-papiers.

    Astaroth est également connu pour son utilisation abusive de binaires LOLbins, tels que l'interface de ligne de commande de la ligne de commande WMIC (Windows Management Instrumentation), pour télécharger et installer de manière furtive des charges utiles de logiciels malveillants en arrière-plan.

    Les attaques ont été détectées par l'équipe derrière Windows Defender ATP, la version commerciale de l'antivirus gratuit Windows Defender de la société.

    Appelées « file-less » ou « zero-footprint » ces attaques n’ont pas besoin d’enregistrer de fichier sur la machine pour s’exécuter et ne chargent pas de nouveaux processus en mémoire. Elles utilisent généralement des outils légitimes pour exécuter des commandes malveillantes. Par définition, il n’existe donc pas de signature de fichier et ces attaques échappent aux traditionnels systèmes de détection. Les malwares sans fichier ne sont pas nouveaux mais étant donné leur fonctionnement l’intérêt des cybercriminels, pour ceux-ci, grandit.

    Il n’est donc plus nécessaire de piéger une cible et l’inciter à télécharger un fichier infecté ; ces attaques misent sur la discrétion. Le code s’exécute directement en mémoire dans un processus existant en détournant l’utilisation d’applications légitimes comme PowerShell, Visual Basic, JavaScript, WMI… Ces attaquent utilisent principalement des vulnérabilités logicielles, par exemple, le plug-in d’un navigateur (Java, Flash…) qui ne serait pas à jour permettrait d’exécuter du code dans la mémoire du processus appartenant au navigateur (ce qui permet de contourner également les méthodes de fonctionnement en liste blanche des applications).

    Andrea Lelli, membre de l'équipe Windows Defender ATP, a affirmé que « parmi les préoccupations majeures de l’industrie de la sécurité aujourd’hui, la perception qui prévaut actuellement est que les solutions de sécurité sont impuissantes face à ces menaces supposées invincibles. Étant donné que les attaques sans fichier exécutent les données utiles directement en mémoire ou utilisent des outils système légitimes pour exécuter du code malveillant sans avoir à déposer de fichiers exécutables sur le disque, elles constituent un défi pour les solutions traditionnelles basées sur des fichiers ».

    Et d’assurer que ce type d’attaque n’est pas sans faille : « mettons les choses au clair: une attaque sans fichier n’est pas synonyme d’attaque invisible; cela ne signifie certainement pas que c’est une attaque indétectable. La cybercriminalité parfaite n’existe pas ». Selon lui, même les logiciels malveillants sans fichiers laissent une longue traînée de preuves que les technologies de détection avancées peuvent détecter et arrêter.

    La campagne de vol d'informations via une attaque sans fichiers

    Andrea Lelli raconte : « Je faisais un examen standard de la télémétrie lorsque j'ai remarqué une anomalie d'un algorithme de détection conçu pour intercepter une technique spécifique sans fichier. La télémétrie a fait apparaître une nette augmentation de l’utilisation de l’outil WMIC (Windows Management Instrumentation) en ligne de commande pour exécuter un script (technique que MITRE désigne comme traitement de script XSL), ce qui indique une attaque sans fichier. Après quelques recherches, j'ai découvert la campagne qui visait à gérer la porte dérobée Astaroth directement en mémoire ».

    Nom : malware.png
Affichages : 2841
Taille : 39,4 Ko

    La campagne de programmes malveillants découverte par l'équipe de recherche Microsoft Defender ATP utilise plusieurs techniques et un processus d'infection en plusieurs étapes qui commence par un courrier électronique contenant un lien malveillant qui a conduit les victimes potentielles vers un fichier LNK.

    Lorsque vous double-cliquez dessus, le fichier LNK provoque l'exécution de l'outil WMIC avec le paramètre “/ Format”, qui permet le téléchargement et l'exécution d'un code JavaScript. Le code JavaScript à son tour télécharge des données utiles en abusant de l'outil Bitsadmin.

    Toutes les données utiles sont codées en Base64 et décodées à l'aide de l'outil Certutil. Deux d'entre eux donnent des fichiers DLL simples (les autres restent chiffrés). L'outil Regsvr32 est ensuite utilisé pour charger l'une des DLL décodées, qui décryptent et chargent d'autres fichiers jusqu'à ce que la charge finale, Astaroth, soit injectée dans le processus Userinit.

    Ci-dessous, ce schéma montre la chaîne d’attaque

    Nom : technique.png
Affichages : 3118
Taille : 109,4 Ko

    « Il est intéressant de noter que, tout le long de la chaîne d’attaque, les fichiers exécutés sont des outils systèmes. Cette technique s'appelle “living off the land” : utiliser des outils légitimes déjà présents sur le système cible pour se faire passer pour une activité régulière », note l’ingénieur.

    Il précise que « la chaîne d'attaque ci-dessus ne montre que les étapes d'accès initial et d'exécution. À ces étapes, les attaquants ont eu recours à des techniques sans fichier pour tenter d'installer le logiciel malveillant en mode silencieux sur les machines cibles. Astaroth est un voleur d’informations notoire, doté de nombreuses autres fonctionnalités postérieures à une violation qui ne sont pas abordées dans ce blog. Prévenir l'attaque à ces étapes est essentiel ».

    Conclusion

    Pour Andrea Lelli, « abuser des techniques sans fichiers ne place pas les logiciels malveillants au-delà de la portée ou de la visibilité des logiciels de sécurité. Au contraire, certaines techniques sans fichiers peuvent être si inhabituelles et anormales qu'elles attirent immédiatement l'attention sur les logiciels malveillants, de la même manière qu'un sac d'argent se déplaçant par lui-même ».

    En février, Cybereason a observé une autre campagne Astaroth qui exploitait les techniques living off the land et abusait des binaires living off the land (LOLbin) pour dérober les informations de cibles en Europe et au Brésil.

    La technique est devenue incroyablement populaire auprès des auteurs de logiciels malveillants au cours des trois dernières années et est maintenant largement utilisée.

    La prochaine étape de l'évolution des produits antivirus modernes consiste sans doute à passer d'un mode de fonctionnement classique de détection de signature de fichier à une approche axée sur le comportement, dans laquelle ils peuvent également détecter des actions « invisibles » telles que l'exécution sans fichier (en mémoire) et l’utilisation de techniques de type living off the land où des outils légitimes sont utilisés à mauvais escient pour des opérations malveillantes.

    Source : Microsoft

    Et vous ?

    Qu'en pensez-vous ?
    Ce genre d'attaque est-il le signe que les solutions anti-virus doivent évoluer dans leur mode de fonctionnement ?
    Comment protégez-vous les informations sur vos dispositifs ?
    Si vous utilisez un antivirus, pouvez-vous préciser son nom ? Utilisez-vous la version gratuite ou payante ? Pourquoi ?

    Voir aussi :

    Les États-Unis auraient placé des logiciels malveillants au cœur du réseau électrique russe, d'après le New York Times
    HiddenWasp : un programme malveillant détecté sur Linux, capable de contrôler totalement les machines infectées
    Les dispositifs de streaming piratés sont truffés de logiciels malveillants, selon un nouveau rapport d'étude
    La NSA publie en open source Ghidra, son framework d'ingénierie inversée de logiciels, pour « aider à analyser les codes malveillants »
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de sergio_is_back
    Homme Profil pro
    Responsable informatique, développeur tout-terrain
    Inscrit en
    Juin 2004
    Messages
    1 075
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Responsable informatique, développeur tout-terrain
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Juin 2004
    Messages : 1 075
    Points : 5 541
    Points
    5 541
    Par défaut
    Dans le schéma présenté on lit clairement en étape 1 : "When cliked, the .lnk file runs a BAT command-line..."

    Il ne s'agit donc en aucun cas d'une attaque "sans fichier" même si le .lnk ne porte pas la charge virale en lui-même il ouvre la voie pour la télécharger et l'installer
    On voit d'ailleurs dans les étapes suivantes qu'une série de javascripts / XLS sont utilisés... C'est ça la définition d'une attaque sans fichiers... mais avec fichiers....

  3. #3
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Citation Envoyé par sergio_is_back Voir le message
    Il ne s'agit donc en aucun cas d'une attaque "sans fichier"
    Un peu de lecture sur le sujet (lien présent dans l'article de Microsoft) : https://docs.microsoft.com/en-us/win...leless-threats
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

Discussions similaires

  1. Réponses: 5
    Dernier message: 02/11/2015, 01h15
  2. Réponses: 33
    Dernier message: 03/04/2013, 16h52
  3. Réponses: 34
    Dernier message: 14/04/2010, 09h22
  4. Réponses: 34
    Dernier message: 14/04/2010, 09h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo