FloreSecurity - Lab

13 janvier 2020

Analyse 888 RAT - l'ange qui n'en es pas un...

Une page youtube promotionel : https://www.youtube.com/channel/UClN2vlwP-lbh72Wg9mXtX3A

Un SITE WEB promotionel :

888CRASH

Et un programme malveillant commercialisé, mais qui a été craké un nombre de fois incalculable :

888CRACK

 

Tout ça pour un programme vraiment, vraiment, vraiment... a chié.

*Oui, je sais. Je tiens ce second blog plus pour tourner en dérision les "experts" de la virologie, que pour leur faire bonne publicité.*

 

888 RAT est un énième cheval de Troie "Remote Administration Tool", que jais testé au labo.

 

Alors pour commencé, jais exécuté le programme et il a... Beugé.

Il a mis sa persistance et il s'est barré. Plus envie de discuter. Il s'est déconnecté... Je suis vraiment un type chiant.

En gros, il a tenté d'exécuter un script vbscript avec "Windows script Host", qui est désactivé sur la machine d'essai.

Jais rit au lait devant ce petit poney qui essayait en boucle d'activer son script, sans jamais réussir, et qui coupais son fonctionnement de lui-même comme un grand.

Jais ouvert le gestionnaire des tâches, jais tuer le processus, jais supprimer son fichier, puis je suis allé me balader dans le registre avant de décider d'aller manger un petit yaourt sur mon hamac.

 

Le lendemain, peu intéresser par la suite de cette expérience, je décide de m'attaquer à un test plus élaboré.

Jais réactivée le WSH mais je me suis endormi avant de pouvoir lancer l'exécutable. La digestion du yaourt fut laborieuse.

 

Enfin, je me réveille et clique sur l'exécutable (la configuration du cheval de Troie est en full persistance option).

Je vois des instances CMD/VBSCRIPT/SCHTASKS s'exécuter en doublon/en boucle dans le gestionnaire des tâches.

Un processus lancé initialement sur mon bureau, quant à lui, s'exécute puis s'éteint en boucle. Le développeur de 888 RAT n'a pas cherché à déplacer ce fichier qui semble être utilisé pour la persistance de son programme.

 

Le curseur de mon ordinateur clignote entre la traditionnelle petite flèche, et le curseur "en attente", l'historique de la RAM et du CPU montre qu'après l'exécution du programme malveillant, la consommation double. Paye le programme furtif quoi...

 

Je décide de tuer le processus du dropper, mais il réapparaît sans cesse. Je m'attaque au processus de la charge malveillante, la aussi pas grand-chose ne se passe.

En vérité, le yaourt m'a littéralement épuisé. Processus de digestion trop fastidieux pour moi.

J'en ai oublié que les programmes malveillants de la famille R.A.T, facilement détectable mais difficilement arrêtable manuellement requièrent tous une suppression automatisée et schématisé. Du moins dans le cas de mes essais full option.

Après avoir supprimé son fichier, je me rendis compte que le second processus cesse d'apparaitre et de disparaître. Il est à présent fixe, et n'utilise ni mémoire ni processeur. Je me décide, a l'achever. Et il ne résiste pas, le con!

Précision utile: je test les chevaux de Troie en full option, mais il est évident que ce programme mort né doit être lancé avec toutes les options de persistance. Sans quoi, il serrait complètement vulnérable au moindre agacement d'un utilisateur classique (ma mère par exemple), qui serrait en totale mesure de le désactiver et le supprimer manuellement.

 

Bref, la mécanique de persistance est brouillon, pour ne pas dire crade...

Elle est inférieure à celle d'un NjRAT (même les modèles antérieurs à 2015), et le programme en lui-même est juste le R.A.T le plus bruyant, le plus visible et le plus ridicule de l'histoire des R.A.T...

D'un prix initiale de 100 dollars soit 89,56 euros, le programme ne vaut pas un clou.

Pas même pour un usage professionnel, les possibilités d'exploit n'excédant pas celles d'un programme toute publique. Que ce soit en test d'intrusion (pente Sting), ou dans une démonstration quelconque.

Et pour l'usage criminel, les pirates informatiques se sont appliqués à cracker un programme qui a un tôt de détection énorme en "bonus" d'une mécanique grotesque! Bravo les gars, vous savez utiliser votre temps!

 

La seule chose à retenir c'est que si la machine est bien configurée, il ne va pas réussir à exister.

Et s'il arrive à exister par un quelconque miracle biblique, il va se montrer très facilement détectable, et supprimable par un professionnel comme par un utilisateur n'ayant pas de connaissances particulières en informatique.

Un bon antivirus se suffit à arrêter cette merde, c'est dire le travaille de FOU qui a été réalisé sur ce programme.

 

On ne reconnaît alors qu'une chose, le mec c'est juste démené pour proposer plusieurs coloris diffèrent sur le panel... Panel qui ne marche pas correctement. Merci de votre utilité 888 Tools!

 

Le plus drôle, c'est que comme 888 tools a mis en place une bonne communication et des designs soignés sur les logos et interfaces du programme, tous les pirates informatiques de niveau bêta sont en train de télécharger le programme fraîchement cracker, et tous le trouvent fantastique pour leur magouille de bas étages! Ils vont être encore moins dangereux avec cette ignominie technique, qu'avec les plus traditionnels NjRATDarkCometNanoCore et autres cheveaux de Troie que le temps semble laissé intemporel... LOUL.

 

Vincent Léon Flores.

Posté par FloreSec73 à 21:30 - Commentaires [0] - Permalien [#]
Tags : , , ,


06 janvier 2020

Anti-Ransomware, ou l'arnaque de la cybersécurité.

Avec l'essor des Ransomwares ces dernières années, des entreprises de cybersécurité proposent des outils dédiés à la détection et à la suppression des logiciels malveillants de ce type.

 

Le tout parfois payant, je vais vous expliquer dans cet article pourquoi ce sont des mesurettes et pourquoi ces programmes n'ont pas une grande utilité sur vos ordinateurs.

 

Premièrement, qu'est-ce qu'un ransomware?

C'est un programme malveillant qui va lister vos répertoires et vos fichiers, puis vas les chiffrer afin de demander une rançon en contre partit du déblocage de vos données (attention, ne pas payer. Cela incite les pirates informatiques à continuer).

 

Le ransomware va peut-être lister tous les répertoires des disques, et chiffrait chaque fichier trouver.

Il va peut-être seulement chiffrer ceux sur votre bureau, dans vos répertoires document, image, vidéo, musique, etc.

Dans tous les cas, le ransomware ne serra pas arrêtable par plus de la moitié des programmes "anti-ransomware", qui ne feront que vous dire si un fichier dans le répertoire C:\A1 et C:\Z9 vient d'être chiffré, en observant constamment ces deux répertoires.

Vous l'avez compris, l'anti-ransomware ne repose que sur la surveillance de l'État de certains fichiers, et non sur le comportement de nouvelles instances processus/service/script/etc sur l'ordinateur.

Il est donc loin d'être aussi performant qu'un antivirus classique pour vous protège des attaques de ransomware.

 

L'aspect peu pratique peut lui aussi être étayé avec aisance...

Un antivirus, un pare-feu, comme une suite de protections complètes, cela prend de la ressource sur votre machine.

Avoir pour votre sécurité l'antivirus, le pare-feu, l'anti-ransomware, l'anti-wiper, l'anti-rogue, l'Anti-silentminer, et toutes les déclinaisons possibles de programme malveillant est inutile et contre-productif.

Vous perdrez en puissance parce-qu'une quantité de routine de sécurité par forcément utile serrons présente sur votre système.

Un antivirus peut quant à lui faire anti-ransomware, n'étant plus aujourd'hui configuré pour arrêter seulement les virus mais toutes les déclinaisons de programme malveillant, ce qui est un gain de temps pour les développeurs de programme de sécurité, et un gain de ressource pour l'utilisateur qui n'a quant à lui pas à jongler entre les interfaces de contrôle et le gestionnaire des tâches pour voir ce que lui prennent en ressources les instances ouvertes, et à faire le deal entre utiliser Google et le dernier anti-machin à la mode trouvée sur securite-de-con.World !

 

Je vous laisse comparer les offres de ce type de programme. Testez et jugez par vous-même de l'inefficacité affligeante de ce genre de programme.

 

Autre chose avant de clôturer cet article.

Ne comptez pas sur moi pour faire des prédictions sur les menaces et les risques de l'année 2020, comme toutes autres années d'ailleurs.

Les grosses entreprises de cybersécurité aiment ce la jouée diseuse de mauvaise aventure, je n'accrédite pas des analyses basées sur des suppositions et des fantasmes de bobo S.I.

L'Intelligence artificielle dans les menaces informatiques qui deviennent à la mode cette année: c'est possible mais nous ne parlons alors  que de possibilité, de supposition et non pas d'affirmation comme certains voudraient vous le faire croire.

Le maintien et la hausse des attaques de ransomware et des propagations par Ver informatique? Non mais sans déconnerce n'est pas comme si c'était le cas depuis plus de 5 ans déjà, in!

Alors ne comptez pas sur moi pour donner des suppositions affirmatives ou des banalités sur un blog d'analyse et de vrais informations.

 

Ce blog n'est pas  pour promouvoir mes prestations mais bien pour analyser certains programmes malveillantscertains phénomènes comme certaines offres de cybersécurité.

 

À bon lecteur, bonne année 2020 à tous et toutes.

Vincent Léon Flores.

Posté par FloreSec73 à 17:50 - Commentaires [0] - Permalien [#]
Tags : , , ,

26 décembre 2019

Analyse NjRAT Danger Edition - Cheval de Troie en papier mâché.

NjRAT Danger Edition, c'est le nouveau modèle de cheval de Troie R.A.T tout public, copier coller par des script kiddies, pour des lamers.

*Script Kiddies: un "Hacker" utilisant les codes des autres. Généralement, ce type de "Hacker" copie colle un programme et met sont nom dessus sans rien améliorer.

*Lamer: un "Hacker" utilisant des logiciels tout fait.

 

Le programme malveillant est signé "Fransesco"... Qui est-ce?

 

Nous allons ici montrer pourquoi ce cheval de Troie est une énième réédition inutile, et qu'elle mérite de tomber dans l'oublis, tout comme NjRAT Lime Edition.

 

Je me suis procuré le programme en question histoire de voir les "nouveautés".
Jais créer via le panel un cheval de Troie que jais exécuter sur un de mes ordinateurs personnel.

Jais mis full option.

Chiffrement, Hide Server, protection du processus, persistance via tâche planifiée, clés de registre et fichiers de démarrages, protections anti décompileur/antivirus etc etc.

Pas mal d'option, je le concède volontiers. Mais attendez, vous allez voir.

Le programme a été lancé contre le prototype d'Antivirus de FloreSecurity.

Celui ci la aussitôt détecté sous 5 définitions.

1 - Il a détecté des capacités de chargement/modification de fichiers/chiffrement, ce qui lui a fait pensé a un Ransomware.
2 - Il a détecté des capacités d'interception/lecture des touches clavier, ce qui lui a fait pensé a un Spyware Keylogger.
3 - Il a détecté des capacités de lecture/d'écriture de mémoire d'instance, ce qui lui a fait pensé a un RootKit de Ring 3.
4 - Il a détecté des capacités de listing des périphériques USB, en plus de la création/modification de fichiers, ce qui lui a fait pensé a un ver USB.
5 - Il a détecté des capacités de création de répertoires/copie de fichier/modification de fichier, ce qui lui a fait pensé a un installeur.

Donc déjà, pour l'anti décompileur/antivirus, et le chiffrement, vas falloir repasser.

Source: Externe

 

S'il est de moins en moins rare de voir dans ce genre de HackTool/ToolKit des capacités de Ransomware, le Keylogging c'est une institution chez eux.

Les vers USB, la encore, présent dans majorité des chevaux de Troie R.A.T. Pas toujours très efficace, mais courant.

Par contre, un RootKit de Ring 3? Attendez. Ce genre de RootKit qui servent généralement a cacher une instance de processus des listing (taskmanager etc)?

Je me suis dit: Woaw. Les mecs on mis les moyens, c'est pas énorme, mais c'est mieux que NjRAT Lime Edition.

Puis en regardant en "profondeur" dans le code, jais trouver des strings et des fonctions qui m'étais familière, dont: "NtOpenProcess_AsmOpCode", "NtReadVirtualMemory_AsmOpCode", "NtQuerySystemInformation_AsmOpCode".

Je n'est même pas eu besoin de chercher dans mes fichiers.
Le RootKit est bien un RootKit de Ring 3, il a été codé par le programmeur Menalix, a but éducatif, il y a quelques années en arrière.

 

Les mecs, sans pression, on copier coller le code du module du RootKit dans NjRAT 7, on fait le raccord, et on renommé leur NjRAT "NjRAT Danger Edition"...

Ces minables aurais pus changer le nom de certaines fonctions. Histoire que ça paraisse pas du 100 pour 100 copier coller.

 

Petite précision sur les RootKits de Menalix.

Ils ne fonctionnent que sur les architectures 32 bits, et sont parfaitement détectable par les bons Antivirus avant infection, pendant infection, et après infection.

 

Et pour conclure, l'installeur...

Je vous est dit au début d'article que j'avais générer moi même le Cheval de Troie.

Généralement, un cheval de Troie bien construit est délivré après paramétrage de la façon suivante.
Un installeur qui importera d'une source extérieur, ou compilera lui même le programme malveillant, afin d'éviter une détection prématuré.

Sur ce cheval de Troie, il y a le programme malveillant, qui se contente de vérifier qu'il est bien dans le répertoire définit lors du paramétrage.

S'il n'est pas au bon emplacement, il se copie et ferme l'instance d'éxécution pour laisser champ libre a la nouvelle instance.

Preuve de plus que la détection est possible. Si votre Antivirus ne détecte pas ce programme, c'est qu'il faut en changer.

 

Jais envoyer le programme a VirusTotal. Avec un ratio de 46 Antivirus capable de détecter le programme malveillant, sur 69.

Lien du rapport: https://www.virustotal.com/gui/file/5c12861ef842bc9c48efe1ebdf756a3383726fef362d501583c326508c69bf13/detection

NjRAT "Danger" Edition est un énième programme bidon, dont la puissance n'est pas supérieur a celle d'un NjRAT 7 standard.

Et je commence a être allergique a ce genre de programme.

 

Vincent Léon Flores.

Posté par FloreSec73 à 19:16 - Commentaires [0] - Permalien [#]
Tags : , , ,