Discussion :

[Michael Guilloux]

Rombertik : un logiciel malveillant qui détruit les PC
Lorsqu’il détecte qu’il fait l’objet d’une analyse de sécurité ou d’un débogage

Le groupe de chercheurs en sécurité Talos de Cisco vient de révéler l’existence d’un malware qui est susceptible de détruire les PC pour échapper à la détection des logiciels de sécurité. Baptisé Rombertik, le logiciel malveillant est doté de multiples couches d’obscurcissement. Il est également conçu avec une fonctionnalité anti-analyse qui lui permet d’échapper aux outils d’analyse. Dans le cas où Rombertik détecte qu’il est en cours d’analyse ou de débogage, il devient très agressif au point de rendre le PC complètement inutilisable et les données quasiment irrécupérables.

Le malware se propage via les spams et les messages de phishing envoyés aux futures victimes. Rombertik se cache dans une pièce jointe qui lorsqu’elle est ouverte, déclenche le processus qui permet de compromettre le PC de la victime.

Dans un exemple présenté par Talos, les attaquants ont convaincu l'utilisateur d’ouvrir une pièce jointe. Le fichier infecté qui semblait être une sorte de PDF au vu de l'icône, était en fait un fichier exécutable .SCR qui contenait le malware. Une fois que l'utilisateur double-clique pour ouvrir le fichier, Rombertik se déploie automatiquement sur sa machine.

A ce stade, le malware commence à effectuer des actions de routine. D’abord, il exécute un ensemble de contrôles anti-analyse pour vérifier s’il s’exécute dans un sandbox. Une fois les vérifications terminées, Rombertik va procéder à son déchiffrement puis s’installer sur l’ordinateur de la victime de sorte à maintenir la persistance. Il effectue ensuite une copie de lui-même qu’il remplace avec les fonctionnalités de base du malware.

L’étape qui suit est celle qui détermine si le logiciel malveillant va remplir sa mission d’espionnage ou non. Elle peut également s’avérer fatale pour l’utilisateur. En effet, Rombertik va effectuer une dernière vérification pour s’assurer qu’il n’est pas en cours d’analyse en mémoire. Si c’est le cas, le malware tente activement de détruire le Master Boot Record (MBR) de sorte à rendre le PC inutilisable. S’il ne dispose pas des autorisations nécessaires, il s’attaque alors aux fichiers dans le dossier utilisateur, qu’il chiffre avec une clé RC4 générée aléatoirement. Ensuite, il redémarre l’ordinateur.

Lors du redémarrage, le malware exécute un code avant l’OS qui entre dans une boucle infinie de sorte à ce que le démarrage ne puisse pas se poursuivre. La réinstallation du système s’impose donc à l’utilisateur.

Mais en modifiant le MBR, Rombertik écrase encore les octets des partitions de disque avec des octets nuls, ce qui rend encore plus difficile de récupérer les données du disque dur endommagé.

Dans le cas où la vérification d’analyse en mémoire s’effectue avec succès, le PC de l’utilisateur échappe à la destruction mais la menace n’est que reportée tant que le malware demeure sur la machine. Rombertik peut alors passer à l’action mais est susceptible de déclencher le processus de destruction de la machine, s’il détecte qu’il est en cours d’analyse ou de débogage.

A cette étape, il analyse tous les processus exécutés par l’utilisateur pour détecter un navigateur en cours d’exécution. Lorsqu’il en trouve un, il s’injecte alors dans le navigateur et peut commencer à collecter les données personnelles de l’utilisateur sans aucune discrimination entre les sites, qu’ils soient bancaires ou non. Le malware utilise des API qui lui permettent de gérer les données en texte clair. Il parvient ainsi à lire et capturer les données que l’utilisateur tape dans son navigateur bien avant qu’elles soient chiffrées si elles doivent être envoyées via HTTPS. Les données sont par la suite envoyées à un serveur contrôlé par les attaquants.

Vu le mode de propagation de la menace, ne pas cliquer sur les pièces jointes provenant des expéditeurs inconnus reste une mesure de protection simple mais efficace contre Rombertik. Les chercheurs suggèrent également la mise en place de politiques de sécurité robustes pour le courrier électronique et l’utilisation de logiciels de sécurité sûrs et maintenus à jour.

Source : Cisco Blogs

Et vous ?

Qu’en pensez-vous ?

[cueffic]

ça ne concerne que le système d'exploitation Windows ou tous les systèmes tournant sur PC (Windows, Mac et Linux) ?

[23JFK]

ça ne concerne que le système d'exploitation Windows ou tous les systèmes tournant sur PC (Windows, Mac et Linux) ?

.scr est l'extension Windows des fichiers d'écrans de veilles, je dirais donc Windows. En sus, à la lecture de l'article, j'ai eu l'impression de me retrouver en 1995, époque où ce genre de virus étaient courant.

[Nairolf21]

Wouah, c'est impressionnant, je trouve !

Qui développe ce genre de monstre ? Bien évidemment, la faille, c'est l'interface chaise-clavier, mais quand même ! J'ai plusieurs interrogations :

• Qui fait ça, et comment les chercheurs en sécurité sont tombé sur un virus de la sorte ?
• Il n'y a besoin d'aucune autorisation spéciale pour chiffrer les fichiers ? Pas besoin de mot de passe ?
• Comment le virus peut passer la sandbox ? Je pensais que le but d'une sandbox était justement de faire tourner les logiciels suspicieux dans un environnement déconnecté des fonctions sensibles

[transgohan]

Wouah, c'est impressionnant, je trouve !

Qui développe ce genre de monstre ? Bien évidemment, la faille, c'est l'interface chaise-clavier, mais quand même ! J'ai plusieurs interrogations :

• Qui fait ça, et comment les chercheurs en sécurité sont tombé sur un virus de la sorte ?
• Il n'y a besoin d'aucune autorisation spéciale pour chiffrer les fichiers ? Pas besoin de mot de passe ?
• Comment le virus peut passer la sandbox ? Je pensais que le but d'une sandbox était justement de faire tourner les logiciels suspicieux dans un environnement déconnecté des fonctions sensibles

Il ne passe pas à travers la sandbox, il détecte juste s'il est exécuté sur une sandbox ou non.
Je suppose que s'il ne détecte pas un environnement natif il ne fait rien car aucun intérêt.

[miky55]

[*]Qui fait ça, et comment les chercheurs en sécurité sont tombé sur un virus de la sorte ?

C'est simple soit un utilisateur suspicieux a envoyé le fichier sur virustotal qui distribue les fichiers aux sociétés d'antivirus pour analyse. Le fait que ce soit un exécutable qui contienne une icone pdf est hyper douteux...

[*]Il n'y a besoin d'aucune autorisation spéciale pour chiffrer les fichiers ? Pas besoin de mot de passe ?

Il génére des clés aléatoire et s'il a accès à un fichier en écriture il peut le chiffrer ou le supprimer.

[*]Comment le virus peut passer la sandbox ? Je pensais que le but d'une sandbox était justement de faire tourner les logiciels suspicieux dans un environnement déconnecté des fonctions sensibles

Le virus peut détecter qu'il s’exécute dans une sandbox par diverses techniques comme le nom de la vm, les process en cours d’exécution, ou encore les drivers et périphériques qu'il détecte. Il ne va pas forcement s’exécuter sur l’hôte de la sandbox mais il va simplement se désinstaller pour éviter d’être analysé, le but étant d’être fiché par les antivirus le plus tard possible.

[TiranusKBX]

ce virus utilise des moyens un peut extrême pour ne pas se faire analyser
mais vus que l'on en parle il à déjà été analysé

[marsupial]

Rombertik : un logiciel malveillant qui détruit les PC
[...]

Vu le mode de propagation de la menace, ne pas cliquer sur les pièces jointes provenant des expéditeurs inconnus reste une mesure de protection simple mais efficace contre Rombertik. Les chercheurs suggèrent également la mise en place de politiques de sécurité robustes pour le courrier électronique et l’utilisation de logiciels de sécurité sûrs et maintenus à jour.

Source : Cisco Blogs

Et vous ?

Qu’en pensez-vous ?

Dans une entreprise, ce genre de message ne devrait jamais passer la politique de sécurité de la messagerie. Donc l'employé ne peut être "concerné" mais bien l'admin.



Je recommande à tous ceux que cela intéressent de bien lire le blog Cisco même s'ils doivent se munir d'un dictionnaire : très instructif parce que c'est un type de virus qui a malheureusement un grand avenir.
Pour l'instant il ne concerne que windows pour se déclencher mais le mbr ou le chiffrement des données regarde tous les systèmes d'exploitation.
Ce genre de cochonnerie dans le cloud...

[Battant]

Bonjour,

Pour ce prémunir contre ce type d'attaque, que pensez-vous de l'idée de faire une sauvegarde du MBR ainsi qu'un clône complet avec un programme tel que clonezila ?

Merci pour votre réponse

Salutations

[supersnail]

@Battant: faire des sauvegardes régulières de ses données c'est un des principes de bases d'hygiène informatique (ça évite de pleurer quand ses données sont détruites par des cryptolockers ou malwares du genre, ou même plus trivialement une panne de disque dur ), tout comme éviter d'ouvrir des fichiers venants d'inconnus, éviter de laisser les extensions masquées par Windows et mettre régulièrement à jour son OS, son navigateur et les plugins associés (flash, java, etc).

Sinon ce genre de "protection" implémentée par le malware montre une fois de plus l'intérêt d'utiliser une machine virtuelle avec du matériel émulé si on veut se lancer dans l'analyse de logiciels malveillant, dans ce cas il suffit de restaurer la VM à un état "sain" avant l'infection, et je doute que cette protection soit réellement efficace protéger le bot de son analyse.

[Francois_C]

C'est vrai que ça rappelle les virus de la fin du siècle dernier, mais ils fonctionnaient en un temps où réinstaller le système était nettement mois difficile – et plus courant.

Ici, on a un logiciel qui est au premier niveau intéressé et orienté vers le vol de données, et qui devient à un deuxième niveau méchant et destructeur. Et d'une façon qui me semble un peu vaine sauf si on veut dissuader de l'usage des anti-malwares.

Les virus des années 80-90 qui étaient souvent des preuves de concept ne se sont pas multipliés justement parce qu'ils détruisaient trop vite le système infecté et se trouvaient ainsi privés de leur vecteur. Dans les années 2000, il y en avait encore un dont on disait qu'il flashait les BIOS. Ce n'est pas très intelligent en somme de la part des voleurs, sauf s'ils ont intérêt à développer une psychose.

[Watilin]

Les virus des années 80-90 qui étaient souvent des preuves de concept ne se sont pas multipliés justement parce qu'ils détruisaient trop vite le système infecté et se trouvaient ainsi privés de leur vecteur. […] Ce n'est pas très intelligent en somme de la part des voleurs, sauf s'ils ont intérêt à développer une psychose.

Au contraire. Il faut pousser un peu plus loin l'analyse. A priori, les développeurs de malware refléchissent à ce qu'ils font. Si Rombertik arrive à s'installer, on peut supposer que c'est parce que la machine cible n'est pas suffisamment protégée. Si, sur cette même machine, le malware fait ensuite l'objet d'une analyse approfondie, il est raisonnable d'en conclure qu'on a laissé l'infection se faire pour pouvoir l'étudier. Comme les méchants espions dans James Bond, il « avale une capsule de cyanure » en détruisant le système sur lequel il se trouve, pour empêcher qu'on lui soutire des informations. Il rend son analyse plus compliquée.

Même si les éditeurs d'antivirus arrivent finalement à analyser l'attaque, ce mode de protection est intelligent car il donne au malware un certain temps pour se propager avant qu'un moyen de protection soit publié.