FloreSecurity - Lab

01 février 2021

Démystification - Le Ransomware

Je fais ici un article pour parler d'une menace qui fait peur.

Le Ransomware, c'est ce truc que vous voyez arriver sur votre ordinateur et qui vous demande une rançon après avoir chiffré vos fichiers.

 

Comment ça marche?

- Le Ransomware arrive sur le système et met sa persistance en place pour être sur de chiffrer les nouveaux fichiers arrivant sur la machine. Il peut aussi se propager.

- Il commence à lister les fichiers présents sur le système (il cible bien souvent pour gagner du temps et être sur de faire mouche, le bureau, les documents, images, vidéos, photos, téléchargement, favoris et fichiers récents et disques amovibles sont principalement ciblés).

- Il les chiffre avec un chiffrement spécial.

C'est  qu'il vous demande une rançon en échange d'une clé de déchiffrement pour que vous retrouviez vos données.

On ne paye pas, c'est la première des choses! Payer, c'est encourager ces gens qui n'ont pas inventé l'eau chaude à continuer leurs exactions indéfiniment dans le temps.

 

Le cas WannaCry, tellement cité par les compagnies d'antivirus, est particulier dans le sens ou il a été d'une part médiatisé.

D'autre part, le programme était équipé d'un exploit pour se propager via les vulnérabilités du protocole SMB (port 445) pour se propager dans le réseau local, et avait une méthode de chiffrement qui changeait un peuvent des Ransomware traditionnels.

Le processus de WannaCry est utilisé pour charger un (.dll) dans une autre instance de processus, ce qui a pour but de tromper les antivirus. C'est le module qui fait le chiffrement, pas le processus, qui n'a à chaque démarrage que pour rôle celui de recharger le module.

 

Cela a été utilisé avec le Wyper Petya quelques semaines après, qui utilisaient la méthode de WannaCry, sauf qu'il ne chiffrait pas mais endommagés le secteur de démarrage Master Boot Record pour empêcher le système de démarrer. Dans son cas, le système de rançonnage ne fonctionnait pas (sans blaguer, les mecs ont bien joué leur coup).

 

Voilà pourquoi je le répète ici. Le fonctionnement d'un Anti-Ransomware n'est PAS de bloquer le ransomware ou de l'empêcher de nuire, mais uniquement d'alerter l'utilisateur d'un début d'attaque. Sauf que bien souvent, c'est déjà trop tard.

 

Toujours dans les grandes lignes, un anti-Ransomware peut créer un fichier dans la racine disque "C:\". Un au début est un à la fin ce qui nous donne "C:\A1txt" et "C:\Z9.txt". S'ils sont chiffrés, une extension va être ajoutée et le contenu serra illisible. La routine de sécurité vérifie l'extension et la lisibilité des fichiers qui sont là considérés comme des sortes de balises.

Dans un autre cas, la surveillance a lieu au niveau du bureau. Si les fichiers listés ont une extension ajoutée  sont illisibles (dans le cas d'une balise), une alerte.

 

Vous l'avez compris, l'anti-ransomware ne repose que sur la surveillance de l'État de certains fichiers, et non sur le comportement de nouvelles instances processus/service/script/etc sur l'ordinateur.

Il est donc loin d'être aussi performant qu'un antivirus pour vous protéger des attaques de ransomware.

 

L'aspect peu pratique peut lui aussi être étayé avec aisance...

Un antivirus, un pare-feu, comme une suite de protections complètes, cela prend de la ressource sur votre machine.

Avoir pour votre sécurité l'antivirus, le pare-feu, l'anti-ransomware, l'anti-wiper, l'anti-rogue, l'Anti-silentminer, et toutes les déclinaisons possibles d'anti-programme malveillant est inutile et contre-productif.

Vous perdrez en ressources parce qu'une quantité de routine de sécurité par forcément efficace serrons présente sur votre système.

Un antivirus peut quant à lui faire anti-ransomware, n'étant plus aujourd'hui configuré pour arrêter seulement les virus mais toutes les déclinaisons de programme malveillant, ce qui est un gain de temps pour les développeurs de programme de sécurité, et un gain de ressource pour l'utilisateur qui n'a quant à lui pas à jongler entre les interfaces de contrôle et le gestionnaire des tâches pour voir ce que lui prennent en ressources les instances ouvertes, et à faire le deal entre utiliser Google et le dernier anti-machin à la mode trouvée sur securite-de-con.World !

 

Je vous laisse comparer les offres de ce type de programme. Testez et jugez par vous-même de l'inefficacité affligeante de ce genre de programme (de préférence sur une machine virtuelle, le monde vous remercie).

 

Vincent Léon Flores.

Posté par FloreSec73 à 15:58 - Commentaires [0] - Permalien [#]
Tags : , , , , ,


Démystification - La bande a RootKit

EmotetTrick BotDridex et Necurs sont de grands noms de la virologie.

Nous ne sommes plus  sur les traditionnels chevaux de Troie que l'on rencontre habituellement (NjRATDarkComet RAT, NanoCore RAT, etc).

 

Nous sommes  sur des programmes malveillants présentant beaucoup d'option similaire aux chevaux de Troie classiques, mais avec une différence de taille.

 

Faisons une petite comparaison.

Groupe 1 (G1) = NjRAT, NanoCore, DarkComet, etc.

Groupe 2 (G2) = Emotet, TrickBot, Dridex, Necurs, etc.

 

Comparaison :

G1 et G2 vont utiliser les mêmes méthodes de persistance.

G1 et G2 vont utiliser les mêmes méthodes de propagation (cela va surtout dépendre de l'organisation de l'attaquant).

G1 et G2 ne vont PAS se présenter de la même façon.

 

Voyez le groupe 1 comme des programmes malveillant mono-module. Ils n'ont qu'un module et s'en contentent.

Le groupe 2, plus évolué, est modulaire, plusieurs modules donc.

 

Dans les grandes lignes, en vulgarisant, la stratégie va être d'arriver sur le système de la même façon qu'un membre du groupe 1, sauf qu'au lieu de rester sous forme d'instance de processus pour lancer ses actions malveillantes, le programme va charger plusieurs modules (.dll pour exemple probant). Ou dans ça propre instance de processus, ou dans d'autres instances de processus.

Le processus (.exe) qui est utilisé par le programme malveillant n'ont plus que pour vocation de gérer quelle module est chargé/déchargé des processus, il peut parfois devenir passif en se ferment ou en se mettent en attente pour ne pas éveiller les soupçons des analyses comportementales de certains antivirus.

C'est ce processus qui est relié à la persistance, cela passe par les répertoires de démarrage, les clés de registre qui peuvent permettre l'exécution d'un programme au démarrage, les tâches planifiées. Pareillement que pour le groupe 1, mais parfois la persistance peut passer par la création d'un service.

 

Pour empêcher les modules d'être chargé en mémoire par notre processus gestionnaire, c'est lui que la stratégie de défense veut que l'on attaque en premier.

La difficulté est en revanche un peu plus élevée que le groupe 1 car dans certains cas une routine sous forme,  aussi de module charger extérieurement peut réinitialiser en boucle l'instance du processus gestionnaire a l'image d'une tache planifiée.

 

  il faut relativisé, c'est que d'une part ces programmes malveillants sont très bien détectés par les antivirus aujourd'hui.

D'autre part, les méthodes de désinfection et d'atténuation sont connus des sociétés de cyber sécurité.

 

Vincent Léon Flores.

28 janvier 2021

Emotet n'est pas mort.

On m'a réveillé aujourd'hui à 2 heures du matin pour me raconter d'immondes conneries au téléphone, dans ces conditions, ne vous étonnez pas de ma nonchalance!

On m'informe que le réseau de machine zombie (botnetEmotet aurait été... Détruit....

 

Non mais ce n'est pas possible d'entendre de pareilles conneries.

Ce n'est pas possible, non mais je rêve éveiller (sans mauvais jeux de mots).

 

Que s'est-il passé?

Une opération internationale visant à supprimer le botnet Emotet s'est transformé en une altération du réseau d'Emotet, et non pas d'une mort complète. Nos chères amis sortant d'IUT avec mention très bien ce sont trop rapidement enjoyer, a tort.

 

Je le répète. Ce n'est PAS parce-que vous fermez des serveurs, arrêtez quelques clampins, que vous avez démonté un programme malveillant.

Non, déjà on ne démonte un programme malveillant que quand on sait parfaitement le détecter et le neutraliser ce que vous n'avez pas fait, les antivirus ont toujours du mal avec Emotet et les systèmes sont toujours aussi vulnérables.

Vous avez juste désactivé les robots à partir des serveurs de contrôle, mais si le programme malveillant revient sous une autre forme, il ne serra pas contrôler par vous, mais par un autre serveur de contrôle.

En 2019 déjà, la gendarmerie Française prétendait avoir supprimé le botnet "Retadup".

Ils ont juste pris le contrôle d'un serveur et ont retiré supprimer tous les robots.

Ils ont supprimé un serveur, pas tous. Si c'était aussi simple, ça ce saurait!

 

Si la supression du serveur de Retadup a fait peur à ces propriétaires, qui n'ont pas retenté l'expérience ce qui explique entre autres que le botnet n'a pas été détecté à nouveau...

Ce n'est pas le cas d'Emotet qui a refait parler de lui moins de 24 heures après l'annonce de ça supposée destruction et qui en plus, a largement fuité ces dernières années.

 

Vous pouvez arrêter d'autres clowns, vous pouvez prendre leur ordinateur et fermer leur serveur.

Mais vous ne pouvez pas supprimer définitivement un programme malveillant qui a été partager sauf en sécurisant correctement tous les systèmes de la planète.

 

Cessez d'affirmer des conneries pour vous rendre intéressant. Vous ne faites que désinformez les utilisateurs lambda.

 

Aller, pour le plaisir, quelques titres de merde. Tous des torchons d'incompétence.

 

lemondeinformatique : "Europol casse le redoutable botnet Emotet"

Non, on le casse pas un programme informatique. On le supprime d'un système mais ce n'est pas physique un programme informatique. ça ne peut pas casser.

 

lefigaro : "Le logiciel pirate le plus dangereux du monde neutralisé"

Non plus. On ne neutralise pas un programme malveillant. On le supprime d'un système et dans le cas présenté, juste fermer les serveurs de contrôle.

 

RTL : "La police fait tomber Emotet, pierre angulaire de la cybercriminalité mondiale"
Toujours pas. D'ailleurs, il n'est pas angulaire. Il a servi à propager des programmes malveillants importants comme par exemple le botnet Trick Bot, qui lui-même eaient le ransomware Ryuk, mais d'aucune façon il ne gérait toutes les attaques informatiques. Il en a géré beaucoup, mais pas assez pour être angulaire. Aucun ne le serra jamais, il faut une logistique trop importante.

 

Le parisien : "Cybercriminalité : comment une opération internationale a mis fin au puissant réseau Emotet"

Ouai bon, ils sont parisiens quoi. De vrais moutons.

 

Le seul titre potable à défaut d'avoir un contenu réaliste, c'est Le Monde : "Le réseau Emotet, l’un des plus gros logiciels de cybercriminalité, démantelé lors d’une opération internationale".

Le réseau, a été altéré. Voilà.

 

Je ne vais pas tous vous les cités, ils se répètent dans leur titre comme dans leur article et je n'est pas que ça à foutre de me répéter personnellement.

 

Mais vous l'avez compris, on ne détruit pas un programme malveillant comme ça. C'est de la foutaise, et déjà l'on constate que c'est faux.

 

Vincent Léon Flores.

21 janvier 2021

VPNFilter, toujours actif? Mais LOUL!

Trend Micro informe le monde que le programme malveillant VPNFilter, connus pour infecter les routeurs, est toujours actif sur des centaines de routeurs (c'est peu).

 

Désireux de faire parlé d'eux, les oubliés de Trend Micro on oubliait de nous donner la localisation géographique des ordinateurs, histoire que l'on sache ou le groupe APT28 à décider de frapper.

 

Alors dans le doute que certains d'entre-vous ne se soient fait pirater par le programme malveillant, dans un premier temps, je vous renvoie vers une règle de détection pour analyser votre système et déterminer si un module de VPNFilter a été déposé.

Je précise que FloreSecurity ne développe pas de règle YARA. Seulement des procédures de désinfection.

Règle de détection : https://gist.github.com/arunl/e66c9aee232eee7d4881c6e691f020ae

 

Voici la méthode pour supprimer VPNFilter.

Veuillez noter que : le FBI conseillait de seulement redémarrer le routeur infecté, et après analyse il a été observé que VPNFilter persistait.

- Commencez par tenter une réinitialisation mode usine.
Si cela ne retire pas le logiciel malveillant, persistez dans les mesures suivantes.

- Sauvegardez les paramètres du routeur infecté. (Enregistrer les paramètres n'enregistre pas VPNFilter).

- Télécharger la dernière version du Firmware du routeur.
Cela se trouve dans le site support du routeur.

- Déconnectez le routeur.

Éteignez le, compté jusqu'à 30 et rallumez-le.

- Si une nouvelle version est disponible, mettez à jour votre firmware. Si vous possèdes la dernière version, réinstallez.

- Si vous pouvez configurer votre routeur manuellement, il est recommandé de le faire. Sinon, utilisé les paramétrages sauvegarde.

- Désactiver l'administration à distance.

- Modifiez vos identifiants d'administration.

- Reconnectez votre routeur.

 

J'avais écrit sur mon ancien blog un article sur VPNFilter, je pensais le problème résolu, je me suis trompé.

 

Nous avons ici un exemple typique d'une menace qui aurait pu être rendu inutilisable si tout le monde avait fait le nécessaire (des distributeurs des routeurs aux responsables sécurité informatique).

 

Vincent Léon Flores.

Posté par FloreSec73 à 16:13 - Commentaires [0] - Permalien [#]
Tags : , , , ,

26 décembre 2020

SolarWinds infecté par Supernova.

Bonjour.

Cet article vient compléter le précédent en rapport avec les soucis de l'entreprise SolarWinds quant à sa suite de logiciels Orion.

Un autre programme malveillant a été détecté, écrit en C# (tout comme SunBurst), il se prénomme Supernova (décidément, on en finit plus avec les noms a couché dehors avec un ticket de logement).

Commençons par expliquer ce qu'est Supernova.

Il faut tout d'abord savoir que Supernova est très similaire au niveau de la méthode d'attaque a son homologue sunburst.
Supernova modifie comme SunBurst un fichier .dll légitime et est charger par ce biais dans le logiciel Orion.

La .dll "app_web_logoimagehandler.ashx.b6031896.dll" est remplacé par une version malveillante. Contrairement à SunBurst, la .dll n'est pas signée.

La persistance se fait via le chargement de la .dll par le programme Orion, ce qui rend Supernova très furtif, mais aussi très fragile tout comme SunBurst.

Il est aussi fait mention d'un second module malveillant capable quand à lui d'exploiter le programme Orion pour permettre le déploiement du code malveillant.

Mais, personne n'a eu la présence d'esprit ni de nous transmettre le nom et les indicateurs de copromissions de ce second module, ni de nous dire s'il se trouvait sur tous les systèmes infectés par Supernova, ou seulement sur les ordinateurs de la société SolarWinds, qui distribue le programme Orion.

Côté fonctionnalité, c'est une sorte de porte dérobée qui est conçue pour d'une part, recevoir des instructions de son propriétaire, d'autre part, générer le code qui lui est envoyé et l'exécuter en mémoire (cela fait qu'il n'y a pas de fichier compiler sur l'ordinateur, tout le code est généré et exécuter en mémoire pour empêcher les programmes antivirus de détecter le code malveillant).

Jais déjà vue plusieurs fois du code permettant d'exécuter en mémoire un autre code, ce qui change c'est qu'ici c'est un module .dll qui génère le code et est parfaitement bien intégrer au programme qui charge le module .dll malveillant.

Pour information, la dernière mise à jour de Orion permet de résoudre les vulnérabilités et assainir le programme.

Le programme que FloreSecurity a développé pour SunBurst prendra aussi en charge Supernova.

 

Vincent Léon Flores.

Posté par FloreSec73 à 17:23 - Commentaires [0] - Permalien [#]
Tags : , , , , ,


25 décembre 2020

Démystification de BackDoor.SunBurst (SolarWinds)

Bonjour/bonsoir.

Cet article est dans un premier temps pour moi, l'occasion de vos souaihtez un joyeux Noël.

Mais vous vous en doutez, je ne suis pas venu ici pour distribuer des papillotes en chocolat.

Depuis quelque temps, je vois passer sur mon fil d'actualité les mentions "Sunburst" et "Solar Winds".

Je ne m'étais dans un premier temps pas penché sur cette attaque informatique, étant fortement occupé ailleurs, et ayant la prématurée conviction que c'était un service ou un logiciel qui était impacté par un détournement.

La conviction fut confirmée, et devant l'insistance de la communauté InfoSec et des médias, je me suis penché sur la question.

La première chose que je suis allé voir, c'est de quoi il s'agit.
Si c'est une attaque touchant des infrastructures web, ce n'est pas mon domaine professionnel.
Si c'est une attaque touchant le réseau, alors il suffit que les administrateurs mettent à jour leurs règles de pare-feu et les protocoles comme ce fut fait avec les exploitations du protocole RDP l'an passé,   SMB il y a 2/3 ans.
Si c'est une attaque virologique (et c'est le cas), alors, c'est mon domaine et il ne fera pas long feu (sans mauvais jeu de mots).

Les chercheurs lui ont donné pour nom "SolarWinds", parc-que c'est le nom de l'entreprise qui développe et distribue "Orion", le programme exploité pour charger la porte dérobée Sunburst.

D'après ce que jais lut et en vulgarisant pour que tout le monde comprenne bien...

Jais tout d'abord entendu dire que le vecteur d'attaque serrait le système de mise à jour du logiciel Orion, ce qui aurait facilité l'infection. Vrais? faux? C'est à SolarWinds de répondre à ce propos.

Un fichier du logiciel Orion de la société SolarWinds est remplacé par un autre cette fois malveillante, contenant la charge utile de Sunburst.

Le fichier "SolarWinds.Orion.Core.BusinessLayer.dll" (une librairie chargée en module) est remplacé par un fichier .dll du même nom, mais contenant la charge de SunBurst.

Le programme Orion est mis à jour, et à la suite de cela, selon la version du système, le fichier .dll malveillant serra charger dans les instances de processus légitime d'orion SolarWinds.BusinessLayerHost.exe ou SolarWinds.BusinessLayerHostx64.Exe

C'est un fichier .dll légitime qui est remplacé par une mauvaise copie. Je le répète.

On parle donc bien de module chargé dans une instance de processus, ce qui signifie que pour fonctionner, la même .dll a besoin de cette instance.
Pour mettre hors fonctionnement la .dll, il suffit alors de désactiver le processus et de chercher la .dll afin de la supprimer.

Après ça, Orion ne fonctionnera pas correctement, il faudra alors le réparer (contactez le staff SolarWinds, qu'ils fassent leur travail).

Et surprise... Jais réussi à me procurer l'échantillon de la charge utile de Sunburst.
La charge est bien détectée par le moteur d'analyse antivirus que je développe.
Quant à la suppression, l'outil de désinfection que j'utilise en opération peut résoudre l'attaque.

Une nouvelle règle de détection serra ajouter pour identifier SunBurst plus facilement, même si je doute que je le croise régulièrement.

Alors, vous allez me dire, mais c'est tout simple en fait, pourquoi en font-ils tout un plat?

Et je répondrais comme toujours que les chercheurs en cybersécurité ont un intérêt : être référencé pour être connus, et que les gens qui ne comprennent pas grand chose achètent leur livre ou leurs programmes de sécurité.

Les chercheurs comme à leur habitude grossissent les traits d'une attaque informatique avec la complaisance cette fois des autorités qui se sentent dépassé.

SunBurst a été utilisé pour attaquer la première puissance mondiale militaire en se chargeant dans un programme normalement légitime et donc peu surveiller.
C'est une attaque qui reste assez sophistiquée, mais détectable et retirable par les bons antivirus.
Le souci fut que SunBurst a la capacité de désactiver la plupart des antivirus, ou s'évader de l'analyse dans des environnements virtuels ou des bacs à sable des autres.

Nous pouvons parfaitement le qualifier de RootKit (mais alors très basique), ainsi que de BackDoor HTTP.

"Plus de 40 organisations piraté dans 8 pays".
Donc pas une attaque importante au niveau du nombre de machines touchées, mais importante par ce qu'elle a touché.
Des agences gouvernementales, des sociétés de conseil, de technologie, de télécommunications de pétrole et de gaz, ont été touchées.

Lefigaro : "Avec l’attaque SolarWinds, la cybersécurité occidentale en pleine remise en cause".
Et c'est tout à fait normal quand on connaît l'état de la sécurité informatique occidentale. Surtout que rien n'a été fait pour atténuer significativement les attaques informatiques.

Lefigaro : "C’est la campagne d’intrusion aux conséquences les plus profondes jamais connue à ce jour"
Non. En Allemagne, Septembre 2020, une femme est morte parce-qu'une attaque informatique a mise hors-service des machines médicales.
ça c'est grave! Que Microsoft ce soit fait voler des dossiers? Que certains est perdu de l'argent ou vus leur petit secret volé? C'est minime comparé à ce qui vous attend, et donc m'attend car je n'ai pas de contrôle sur vos systèmes de sécurité donc ce qui nous attend, si vous n'évoluez pas sur la gestion de vos systèmes informatique.

Récemment, c'est un hôpital à côté de chez moi qui a subi une attaque informatique.

Sans gravité, fort heureusement, mais je suis assez agacé de lire que l'Agence Nationale de la Sécurité des Systèmes d'Information (l'ANSSI) à "tenter d'enrayer" une attaque de ransomware.

Quand l'agence la plus importante dans la cyberdéfense Française se contente de "tenter", d'autres n'ont jamais de soucis avec les ransomwares parce-qu'ils sont : bien sécurisé, prudent et sérieux.

Conclusion finale.

Le programme malveillant SunBurst n'est pas franchement une nouveauté en matière d'attaque informatique.

La faute à qui? À la négligence d'une entreprise comme SolarWinds qui ne vérifie pas la viabilité de ces modules en temps réel.
La faute aux prétentieux qui avec leur programme complexe pensent améliorer la sécurité et la gestion, alors qu'ils fragilisent durablement nos systèmes.

Un virus informatique, ce n'est pas très compliqué quand on connaît la démarche des attaquants.

Je vous souhaite à nouveau un joyeux Noël, et une bonne fin d'année.

Certains articles étant en préparation depuis un certain temps, ils risquent de sortir d'ici à la fin Janvier.

FloreSecurity reste à la disposition de ses clients. Un outil de suppression de SunBurst a été développé, IceBurst.

 

Vincent Léon Flores.

Posté par FloreSec73 à 16:28 - Commentaires [0] - Permalien [#]
Tags : , , , , ,

06 septembre 2020

NjRAT 10, 11, 12, BLA, BLA, BLA ...

Golden Edition, Original Edition, Lime Edition, peu importe le nom, la couleur ou le chiffre, l'architecture de NjRAT est condamné à ne pas évoluer significativement.

De facto, nous ne considérons plus ce programme comme une menace depuis des années.

Beaucoup de petits pirates utilisent cette menace devenue open source pour tenter de se faire un nom dans la gamme de la virologie.

 

Nous allons ici détailler les grandes lignes du fonctionnement de NjRAT pour que tout le monde comprend bien de quoi il s'agit, et nous ne referrons des articles à propos de cette famille de cheval de Troie que si nous observons une réelle nouvelle menace.

 

Premièrement, un cheval de Troie NjRAT peut vous être délivré de plusieurs façons. Par exemple ;

- Par un téléchargement hasardeux fait sur un site douteux.

- Par mail ou par serveur de discussion (phishing).

 

L'infection se passe de la façon générique suivante.

Le programme malveillant est importé et lancer, il vérifie s'il se trouve dans le répertoire sélectionné par le pirate dans le panel de création du client. S'il n'est pas, il se copie de lui-même et ferme la précédente instance de processus.

 

Par la suite, il établit sa persistance de différentes façons selon la version.
La persistance, c'est ce qui permet au programme malveillant comme au programme de sécurité de redémarrer après chaque arrêt du système.
Il peut créer une valeur dans une des clés de registre suivantes, qui pointera sur son chemin.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Ou il peut se copier ou créer un raccourci pointant sur son chemin d'accès dans un des répertoires suivants :

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Il peut aussi dans les versions comme NjRAT Lime Edition créer une tâche planifiée qui ne permet pas seulement de redémarrer à chaque démarrage, mais aussi d'être relancé toutes les minutes/heures/jours si le processus est arrêté par l'utilisateur ou un programme, ce qui rend quasiment impossible la désinfection manuelle de ce type de menace.

Pour ce faire, une simple commande de l'invite de commande Windows (CMD) ou l'utilisation d'API spécialisé dans la gestion des tâches planifiées.

 

Pour se protéger, le programme malveillant peut s'il est lancé en administrateur mettre son processus en processus critique, de sorte a ce que s'il est tué par l'utilisateur, tout le système redémarré parce-qu'un composant critique a été arrêter.

Il faut alors utiliser des programmes spéciaux pour retirer cette protection afin de pouvoir tuer le processus du programme malveillant.

Certaines versions comme NjRAT Danger Edition ont été observées recopiant un RootKit de Ring 3.

C'est un simple détournement d'appel d'API qui ne fonctionne fans le cas de NjRAT Danger Éditions que sur les systèmes 32 bits (presque plus commercialisé aujourd'hui).

Le programme fait juste en sorte de ne pas apparaitre dans les outils comme le gestionnaire des tâches en demandant à l'API d'ignorer son processus. Là aussi, des programmes spéciaux sont disponibles pour afficher les processus cachés.

 

Persistance et protection établie, la seule propagation sur ces menaces observées à ce jour sont celles par les périphériques USB.

Ils comptent principalement sur l'exploitation de la fonction AutoRun de Microsoft Windows pour exécuter tous les fichiers .inf présents dans un périphérique quand une connexion sur un port USB est établie

 

Dans majorité des cas, la fonction AutoRun est désactivée par défaut sur Windows, rendant inefficace les fichiers .inf.

Le fichier .inf créé par le programme malveillant pointe sur le chemin d'accès du programme malveillant, avec des instructions pour que quand la fonction AutoRun est enclenchée, elle exécute tous les fichiers .inf présents dans un disque USB connecté, ce qui permet la propagation.

La seconde méthode, est beaucoup plus brute. Le programme cache ou supprime tous les fichiers et répertoires présents dans un disque amovible, les remplace par des raccourcis pointant tous sur une copie du programme malveillant sur le disque. 

Quand la personne va sur un autre ordinateur pour transférer des fichiers et les exécute, l'infection est enclenchée.

 

On parle dans les deux cas d'avantage de petit bidouillage que de grande technique comme la propagation en réseau en utilisant des vulnérabilités par exemple. C'est plus du niveau des petits pirates ça.

 

Pour que le pirate informatique puisse contrôler votre ordinateur à distance, il a sur son ordinateur ce qu'on appelle un serveur, et tous les clients (chaque programme malveillant envoyé et activé par des victimes (vous, moi, le voisin, etc).

Les clients se connectent au serveur pour donner des indications. Adresse IP, géolocalisation, type de système, niveau de connexion, etc.

Une fois que le client présent sur votre ordinateur envoie la notification d'activation au serveur de commande, le pirate n'a plus qu'a se connecter.
Il envoie des messages au client pour déclencher des commandes.
Par exemple, s'il clique sur le bouton pour actionner la caméra, le serveur enverra un message comme par exemple "%CAM%" pour activer la caméra et voir votre joli minois.

"%KEYLOGGER%" pour enregistrer les frappes, "%STEALER%" pour voler les mots de passe, etc.
Dans les grandes lignes, le programme peut sur ordre de son pirate :

contrôler la souris de l'ordinateur et avoir un aperçu visuel de l'écran piraté.

- Contrôler la caméra.

Écouter et enregistrez-l'est sortant du Micropone.

- Créer, supprimer, déplacer des fichiers et des répertoires.

- Créer, supprimer, modifier des clés et des valeurs de registre.

- Voler les mots de passe enregistrer dans les navigateurs et certains logiciels.

- Enregistrer les frappes du clavier et les éléments copier dans le presse-papiers.

- Ouvrir une discussion avec vous pour vous dire des mots doux.

La phrase "control is an illusion" ou "le control est une illusion" en Français viens en parti de ce type de programme malveillant. L'utilisateur pense que tout va bien, qu'il contrôle son système, mais au final il est piraté. Sauf s'il applique un certain nombre de règles utiles et qu'ils ont de bons programmes de sécurité.

 

Petite subtilité ; Dans le cas de NjRAT on parle de Serveur-Client.

Dans le cas d'un client-serveur, le Client est l'outil de contrôle présent sur l'ordinateur du pirate, et le serveur le programme malveillant sur l'ordinateur infecté. 

Les Serveur-Client ne sont pas utilisés fréquemment dans la cyber criminalité, en cause la difficulté de gérer plus d'une connexion.

 

NjRAT développer de base par Njq8 a fait du chemin de ça première version a au dernier officiel (NjRAT 7).
NjRAT 7 a été repris pour NjRAT Lime Edition, Lime RAT, NjRAT 11, NjRAT 12, NjRAT Danger EditionNjRAT Golden EditionLeGend RAT et toute la clique des bon à rien de la cyber criminalité éduqué par une bonne dose de tutoriel Youtube bidon.

À moins qu'un type réellement callé reprenne le projet en main, ce ne sont pas ces gamins qui vont représenter une réelle menace pour des systèmes bien sécurisés.

 

Et ce ne sont pas toutes leurs tentatives de chiffrement du code de leur programme, ou d'atteinte a l'intégrité de suite de sécurité ou l'évitement pur et simple de ces dernières que ces merdeux vont faire quoi que ce soit.

 

Vincent Léon Flores.

Posté par FloreSec73 à 03:13 - Commentaires [0] - Permalien [#]
Tags : , , ,

13 janvier 2020

WSH RAT - vous en avez fait tout en plat...

2019 a été rhytmé par les petits soucis de sécurité avec le protocole RDP (Remonte Desktop Protocol), la logistique merdique de Comodo Security, et l'apparition de nouvelle menace.

 

Parmi celle-ci, WSH RAT proposé par wshsoftware, sous licence payante, mais à l'exemple de 888 RAT, a été cracker par des concurrents puis télécharger par un connard d'analyste qui l'a dépecé, analysé, et vous sert aujourd'hui ces résultats pour le moins rassurant.

 

Alors, pourquoi un tel titre?

Parce-que les sociétés de cybersécurité en on fait vraiment tout un plat en 2019, a coup d'article et de propagande pour nous sortir leur traditionnel : une nouvelle menace super mega trop dangereuse de la mort qui tue est apparu, il est novateur et utilise blablabla et blablabla pour en fin de compte blablabla. Mais nous avons la solution, donc achetez notre antivirus!.....

 

On va expliquer ici pourquoi ce programme n'est pas particulièrement dangereux, et du même temps, pourquoi il aurait fallu faire gage de réserve quant aux aux expressions utilisées.

 

Premièrement, il faut savoir que WSH RAT, littéralement "Windows Script Host Temote Administration Tool", utilise deux langages script à savoir, Javascript (jsscript/js) et VisualBasicScript (vbscript/.vbs).

Une fois le script généré par le constructeur de WSH RAT, on lance le script. Alors, dans le cas de ma machine, je ne vais pas vous refaire le sketch que jais déjà fait sur l'article de 888 RAT, mais ma configuration est sérieuse et jais dus la réduire pour que le programme puisse être exécuté.

Par la suite, le script va générer un exécutable dans le répertoire sélectionner par l'attaquant. Une élévation des privilèges est possible par le programme si l'attaquant l'a sélectionné, mais tout ça pour pas grand-chose excepté avoir plus de contrôles sur la machine a l'éxécution, le programme n'étant pas capable après un redémarrage de la machine d'obtenir a nouveau ces privilèges.

 

Des options traditionnelles de contrôle et de surveillance sont bien entendu présente, mais elles sont parfaitement détectables par un antivirus ou un analyseur correct.

 

Coté propagation, WSH RAT suit une mode très mauvaise.

Une méthode consiste en fait a lister tout les fichier et les répertoires d'un disque amovible, et les caché dans le meilleur des cas (le pire, mais plus rare, étant la suppression), pour les remplacer par des raccourcis de même nom, avec les mêmes logos, pointant tous sur une copie du script malveillant, elle aussi caché sur le disque amovible.

Une astuce consiste a aller dans "ordinateur", sélectionner le disque amovible et faire un clique gauche sur "propriété". Que les fichiers soit caché ou non, Windows affichera si oui ou non ils sont présent ce qui vous permettra de déterminé si vos fichiers on été supprimé, ou juste caché.

Dans le cas ou les objets dans le disque on été supprimer, formatez le disque.

Dans le cas ou les objets on été juste caché, dé-caché les, supprimez tout les raccourcis malicieux et les fichiers inconnus pour garder un disque sein.

 

Pour être bon aujourd'hui dans le domaine du développement de chevaux de Troie, il faut faire comme "N A P O L O N", le programmeur de Revenge RAT, qui a réussi en moins de 3 versions a proposé un cheval de Troie presque in-détectable, qui a demandé énormément de mise à jour chez les antivirus et là, oui, le bruit que ça a fait était davantage légitime, parce-que c'était un cheval de Troie développé en langage .Net mais qui ne copiaient pas les principes de ces homologues NjRAT (VB.Net), NanoCore (C#.Net), ou même encore d'autres programme connu comme DarkComet (Delphi), Zeus (C/C++), qui sont tous les géniteurs de grande et longue famille!

 

Voilà tout. WSH RAT a été surévalué par les experts en cybersécurité, qui ont vu en lui non pas une menace, mais un prétexte pour inciter les gens a acheté leur produit. Fin de l'histoire. Mais je me doute que nous n'aborderons pas ça qu'une fois.

 

Vincent Léon Flores.

Posté par FloreSec73 à 21:49 - Commentaires [0] - Permalien [#]
Tags : , , ,

Analyse 888 RAT - l'ange qui n'en es pas un...

Une page youtube promotionel : https://www.youtube.com/channel/UClN2vlwP-lbh72Wg9mXtX3A

Un SITE WEB promotionel :

888CRASH

Et un programme malveillant commercialisé, mais qui a été craké un nombre de fois incalculable :

888CRACK

 

Tout ça pour un programme vraiment, vraiment, vraiment... a chié.

*Oui, je sais. Je tiens ce second blog plus pour tourner en dérision les "experts" de la virologie, que pour leur faire bonne publicité.*

 

888 RAT est un énième cheval de Troie "Remote Administration Tool", que jais testé au labo.

 

Alors pour commencé, jais exécuté le programme et il a... Beugé.

Il a mis sa persistance et il s'est barré. Plus envie de discuter. Il s'est déconnecté... Je suis vraiment un type chiant.

En gros, il a tenté d'exécuter un script vbscript avec "Windows script Host", qui est désactivé sur la machine d'essai.

Jais rit au lait devant ce petit poney qui essayait en boucle d'activer son script, sans jamais réussir, et qui coupais son fonctionnement de lui-même comme un grand.

Jais ouvert le gestionnaire des tâches, jais tuer le processus, jais supprimer son fichier, puis je suis allé me balader dans le registre avant de décider d'aller manger un petit yaourt sur mon hamac.

 

Le lendemain, peu intéresser par la suite de cette expérience, je décide de m'attaquer à un test plus élaboré.

Jais réactivée le WSH mais je me suis endormi avant de pouvoir lancer l'exécutable. La digestion du yaourt fut laborieuse.

 

Enfin, je me réveille et clique sur l'exécutable (la configuration du cheval de Troie est en full persistance option).

Je vois des instances CMD/VBSCRIPT/SCHTASKS s'exécuter en doublon/en boucle dans le gestionnaire des tâches.

Un processus lancé initialement sur mon bureau, quant à lui, s'exécute puis s'éteint en boucle. Le développeur de 888 RAT n'a pas cherché à déplacer ce fichier qui semble être utilisé pour la persistance de son programme.

 

Le curseur de mon ordinateur clignote entre la traditionnelle petite flèche, et le curseur "en attente", l'historique de la RAM et du CPU montre qu'après l'exécution du programme malveillant, la consommation double. Paye le programme furtif quoi...

 

Je décide de tuer le processus du dropper, mais il réapparaît sans cesse. Je m'attaque au processus de la charge malveillante, la aussi pas grand-chose ne se passe.

En vérité, le yaourt m'a littéralement épuisé. Processus de digestion trop fastidieux pour moi.

J'en ai oublié que les programmes malveillants de la famille R.A.T, facilement détectable mais difficilement arrêtable manuellement requièrent tous une suppression automatisée et schématisé. Du moins dans le cas de mes essais full option.

Après avoir supprimé son fichier, je me rendis compte que le second processus cesse d'apparaitre et de disparaître. Il est à présent fixe, et n'utilise ni mémoire ni processeur. Je me décide, a l'achever. Et il ne résiste pas, le con!

Précision utile: je test les chevaux de Troie en full option, mais il est évident que ce programme mort né doit être lancé avec toutes les options de persistance. Sans quoi, il serrait complètement vulnérable au moindre agacement d'un utilisateur classique (ma mère par exemple), qui serrait en totale mesure de le désactiver et le supprimer manuellement.

 

Bref, la mécanique de persistance est brouillon, pour ne pas dire crade...

Elle est inférieure à celle d'un NjRAT (même les modèles antérieurs à 2015), et le programme en lui-même est juste le R.A.T le plus bruyant, le plus visible et le plus ridicule de l'histoire des R.A.T...

D'un prix initiale de 100 dollars soit 89,56 euros, le programme ne vaut pas un clou.

Pas même pour un usage professionnel, les possibilités d'exploit n'excédant pas celles d'un programme toute publique. Que ce soit en test d'intrusion (pente Sting), ou dans une démonstration quelconque.

Et pour l'usage criminel, les pirates informatiques se sont appliqués à cracker un programme qui a un tôt de détection énorme en "bonus" d'une mécanique grotesque! Bravo les gars, vous savez utiliser votre temps!

 

La seule chose à retenir c'est que si la machine est bien configurée, il ne va pas réussir à exister.

Et s'il arrive à exister par un quelconque miracle biblique, il va se montrer très facilement détectable, et supprimable par un professionnel comme par un utilisateur n'ayant pas de connaissances particulières en informatique.

Un bon antivirus se suffit à arrêter cette merde, c'est dire le travaille de FOU qui a été réalisé sur ce programme.

 

On ne reconnaît alors qu'une chose, le mec c'est juste démené pour proposer plusieurs coloris diffèrent sur le panel... Panel qui ne marche pas correctement. Merci de votre utilité 888 Tools!

 

Le plus drôle, c'est que comme 888 tools a mis en place une bonne communication et des designs soignés sur les logos et interfaces du programme, tous les pirates informatiques de niveau bêta sont en train de télécharger le programme fraîchement cracker, et tous le trouvent fantastique pour leur magouille de bas étages! Ils vont être encore moins dangereux avec cette ignominie technique, qu'avec les plus traditionnels NjRATDarkCometNanoCore et autres cheveaux de Troie que le temps semble laissé intemporel... LOUL.

 

Vincent Léon Flores.

Posté par FloreSec73 à 21:30 - Commentaires [0] - Permalien [#]
Tags : , , ,

26 décembre 2019

Analyse NjRAT Danger Edition - Cheval de Troie en papier mâché.

NjRAT Danger Edition, c'est le nouveau modèle de cheval de Troie R.A.T tout public, copier coller par des script kiddies, pour des lamers.

*Script Kiddies: un "Hacker" utilisant les codes des autres. Généralement, ce type de "Hacker" copie colle un programme et met sont nom dessus sans rien améliorer.

*Lamer: un "Hacker" utilisant des logiciels tout fait.

 

Le programme malveillant est signé "Fransesco"... Qui est-ce?

 

Nous allons ici montrer pourquoi ce cheval de Troie est une énième réédition inutile, et qu'elle mérite de tomber dans l'oublis, tout comme NjRAT Lime Edition.

 

Je me suis procuré le programme en question histoire de voir les "nouveautés".
Jais créer via le panel un cheval de Troie que jais exécuter sur un de mes ordinateurs personnel.

Jais mis full option.

Chiffrement, Hide Server, protection du processus, persistance via tâche planifiée, clés de registre et fichiers de démarrages, protections anti décompileur/antivirus etc etc.

Pas mal d'option, je le concède volontiers. Mais attendez, vous allez voir.

Le programme a été lancé contre le prototype d'Antivirus de FloreSecurity.

Celui ci la aussitôt détecté sous 5 définitions.

1 - Il a détecté des capacités de chargement/modification de fichiers/chiffrement, ce qui lui a fait pensé a un Ransomware.
2 - Il a détecté des capacités d'interception/lecture des touches clavier, ce qui lui a fait pensé a un Spyware Keylogger.
3 - Il a détecté des capacités de lecture/d'écriture de mémoire d'instance, ce qui lui a fait pensé a un RootKit de Ring 3.
4 - Il a détecté des capacités de listing des périphériques USB, en plus de la création/modification de fichiers, ce qui lui a fait pensé a un ver USB.
5 - Il a détecté des capacités de création de répertoires/copie de fichier/modification de fichier, ce qui lui a fait pensé a un installeur.

Donc déjà, pour l'anti décompileur/antivirus, et le chiffrement, vas falloir repasser.

Source: Externe

 

S'il est de moins en moins rare de voir dans ce genre de HackTool/ToolKit des capacités de Ransomware, le Keylogging c'est une institution chez eux.

Les vers USB, la encore, présent dans majorité des chevaux de Troie R.A.T. Pas toujours très efficace, mais courant.

Par contre, un RootKit de Ring 3? Attendez. Ce genre de RootKit qui servent généralement a cacher une instance de processus des listing (taskmanager etc)?

Je me suis dit: Woaw. Les mecs on mis les moyens, c'est pas énorme, mais c'est mieux que NjRAT Lime Edition.

Puis en regardant en "profondeur" dans le code, jais trouver des strings et des fonctions qui m'étais familière, dont: "NtOpenProcess_AsmOpCode", "NtReadVirtualMemory_AsmOpCode", "NtQuerySystemInformation_AsmOpCode".

Je n'est même pas eu besoin de chercher dans mes fichiers.
Le RootKit est bien un RootKit de Ring 3, il a été codé par le programmeur Menalix, a but éducatif, il y a quelques années en arrière.

 

Les mecs, sans pression, on copier coller le code du module du RootKit dans NjRAT 7, on fait le raccord, et on renommé leur NjRAT "NjRAT Danger Edition"...

Ces minables aurais pus changer le nom de certaines fonctions. Histoire que ça paraisse pas du 100 pour 100 copier coller.

 

Petite précision sur les RootKits de Menalix.

Ils ne fonctionnent que sur les architectures 32 bits, et sont parfaitement détectable par les bons Antivirus avant infection, pendant infection, et après infection.

 

Et pour conclure, l'installeur...

Je vous est dit au début d'article que j'avais générer moi même le Cheval de Troie.

Généralement, un cheval de Troie bien construit est délivré après paramétrage de la façon suivante.
Un installeur qui importera d'une source extérieur, ou compilera lui même le programme malveillant, afin d'éviter une détection prématuré.

Sur ce cheval de Troie, il y a le programme malveillant, qui se contente de vérifier qu'il est bien dans le répertoire définit lors du paramétrage.

S'il n'est pas au bon emplacement, il se copie et ferme l'instance d'éxécution pour laisser champ libre a la nouvelle instance.

Preuve de plus que la détection est possible. Si votre Antivirus ne détecte pas ce programme, c'est qu'il faut en changer.

 

Jais envoyer le programme a VirusTotal. Avec un ratio de 46 Antivirus capable de détecter le programme malveillant, sur 69.

Lien du rapport: https://www.virustotal.com/gui/file/5c12861ef842bc9c48efe1ebdf756a3383726fef362d501583c326508c69bf13/detection

NjRAT "Danger" Edition est un énième programme bidon, dont la puissance n'est pas supérieur a celle d'un NjRAT 7 standard.

Et je commence a être allergique a ce genre de programme.

 

Vincent Léon Flores.

Posté par FloreSec73 à 19:16 - Commentaires [0] - Permalien [#]
Tags : , , ,