Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
FloreSecurity - Lab
25 décembre 2020

Démystification de BackDoor.SunBurst (SolarWinds)

Bonjour/bonsoir.

Cet article est dans un premier temps pour moi, l'occasion de vos souaihtez un joyeux Noël.

Mais vous vous en doutez, je ne suis pas venu ici pour distribuer des papillotes en chocolat.

Depuis quelque temps, je vois passer sur mon fil d'actualité les mentions "Sunburst" et "Solar Winds".

Je ne m'étais dans un premier temps pas penché sur cette attaque informatique, étant fortement occupé ailleurs, et ayant la prématurée conviction que c'était un service ou un logiciel qui était impacté par un détournement.

La conviction fut confirmée, et devant l'insistance de la communauté InfoSec et des médias, je me suis penché sur la question.

La première chose que je suis allé voir, c'est de quoi il s'agit.
Si c'est une attaque touchant des infrastructures web, ce n'est pas mon domaine professionnel.
Si c'est une attaque touchant le réseau, alors il suffit que les administrateurs mettent à jour leurs règles de pare-feu et les protocoles comme ce fut fait avec les exploitations du protocole RDP l'an passé,   SMB il y a 2/3 ans.
Si c'est une attaque virologique (et c'est le cas), alors, c'est mon domaine et il ne fera pas long feu (sans mauvais jeu de mots).

Les chercheurs lui ont donné pour nom "SolarWinds", parc-que c'est le nom de l'entreprise qui développe et distribue "Orion", le programme exploité pour charger la porte dérobée Sunburst.

D'après ce que jais lut et en vulgarisant pour que tout le monde comprenne bien...

Jais tout d'abord entendu dire que le vecteur d'attaque serrait le système de mise à jour du logiciel Orion, ce qui aurait facilité l'infection. Vrais? faux? C'est à SolarWinds de répondre à ce propos.

Un fichier du logiciel Orion de la société SolarWinds est remplacé par un autre cette fois malveillante, contenant la charge utile de Sunburst.

Le fichier "SolarWinds.Orion.Core.BusinessLayer.dll" (une librairie chargée en module) est remplacé par un fichier .dll du même nom, mais contenant la charge de SunBurst.

Le programme Orion est mis à jour, et à la suite de cela, selon la version du système, le fichier .dll malveillant serra charger dans les instances de processus légitime d'orion SolarWinds.BusinessLayerHost.exe ou SolarWinds.BusinessLayerHostx64.Exe

C'est un fichier .dll légitime qui est remplacé par une mauvaise copie. Je le répète.

On parle donc bien de module chargé dans une instance de processus, ce qui signifie que pour fonctionner, la même .dll a besoin de cette instance.
Pour mettre hors fonctionnement la .dll, il suffit alors de désactiver le processus et de chercher la .dll afin de la supprimer.

Après ça, Orion ne fonctionnera pas correctement, il faudra alors le réparer (contactez le staff SolarWinds, qu'ils fassent leur travail).

Et surprise... Jais réussi à me procurer l'échantillon de la charge utile de Sunburst.
La charge est bien détectée par le moteur d'analyse antivirus que je développe.
Quant à la suppression, l'outil de désinfection que j'utilise en opération peut résoudre l'attaque.

Une nouvelle règle de détection serra ajouter pour identifier SunBurst plus facilement, même si je doute que je le croise régulièrement.

Alors, vous allez me dire, mais c'est tout simple en fait, pourquoi en font-ils tout un plat?

Et je répondrais comme toujours que les chercheurs en cybersécurité ont un intérêt : être référencé pour être connus, et que les gens qui ne comprennent pas grand chose achètent leur livre ou leurs programmes de sécurité.

Les chercheurs comme à leur habitude grossissent les traits d'une attaque informatique avec la complaisance cette fois des autorités qui se sentent dépassé.

SunBurst a été utilisé pour attaquer la première puissance mondiale militaire en se chargeant dans un programme normalement légitime et donc peu surveiller.
C'est une attaque qui reste assez sophistiquée, mais détectable et retirable par les bons antivirus.
Le souci fut que SunBurst a la capacité de désactiver la plupart des antivirus, ou s'évader de l'analyse dans des environnements virtuels ou des bacs à sable des autres.

Nous pouvons parfaitement le qualifier de RootKit (mais alors très basique), ainsi que de BackDoor HTTP.

"Plus de 40 organisations piraté dans 8 pays".
Donc pas une attaque importante au niveau du nombre de machines touchées, mais importante par ce qu'elle a touché.
Des agences gouvernementales, des sociétés de conseil, de technologie, de télécommunications de pétrole et de gaz, ont été touchées.

Lefigaro : "Avec l’attaque SolarWinds, la cybersécurité occidentale en pleine remise en cause".
Et c'est tout à fait normal quand on connaît l'état de la sécurité informatique occidentale. Surtout que rien n'a été fait pour atténuer significativement les attaques informatiques.

Lefigaro : "C’est la campagne d’intrusion aux conséquences les plus profondes jamais connue à ce jour"
Non. En Allemagne, Septembre 2020, une femme est morte parce-qu'une attaque informatique a mise hors-service des machines médicales.
ça c'est grave! Que Microsoft ce soit fait voler des dossiers? Que certains est perdu de l'argent ou vus leur petit secret volé? C'est minime comparé à ce qui vous attend, et donc m'attend car je n'ai pas de contrôle sur vos systèmes de sécurité donc ce qui nous attend, si vous n'évoluez pas sur la gestion de vos systèmes informatique.

Récemment, c'est un hôpital à côté de chez moi qui a subi une attaque informatique.

Sans gravité, fort heureusement, mais je suis assez agacé de lire que l'Agence Nationale de la Sécurité des Systèmes d'Information (l'ANSSI) à "tenter d'enrayer" une attaque de ransomware.

Quand l'agence la plus importante dans la cyberdéfense Française se contente de "tenter", d'autres n'ont jamais de soucis avec les ransomwares parce-qu'ils sont : bien sécurisé, prudent et sérieux.

Conclusion finale.

Le programme malveillant SunBurst n'est pas franchement une nouveauté en matière d'attaque informatique.

La faute à qui? À la négligence d'une entreprise comme SolarWinds qui ne vérifie pas la viabilité de ces modules en temps réel.
La faute aux prétentieux qui avec leur programme complexe pensent améliorer la sécurité et la gestion, alors qu'ils fragilisent durablement nos systèmes.

Un virus informatique, ce n'est pas très compliqué quand on connaît la démarche des attaquants.

Je vous souhaite à nouveau un joyeux Noël, et une bonne fin d'année.

Certains articles étant en préparation depuis un certain temps, ils risquent de sortir d'ici à la fin Janvier.

FloreSecurity reste à la disposition de ses clients. Un outil de suppression de SunBurst a été développé, IceBurst.

 

Vincent Léon Flores.

Posté par FloreSec73 à 16:28 - Commentaires [] - Permalien [#]
Tags: CybersécuritéBackDoorRootKitSolarWindsSunBurstFloreSecurity

Partager cet article

Vous aimez ?
0 vote
NjRAT 10, 11, 12, BLA, BLA, BLA ...
SolarWinds infecté par Supernova.
Vous aimerez aussi :
Analyse de l'attaque informatique Russe sur l'Ukraine
Analyse de l'attaque informatique Russe sur l'Ukraine
Démystification - Le Ransomware
Démystification - Le Ransomware
Démystification - La bande a RootKit
Démystification - La bande a RootKit
Emotet n'est pas mort.
Emotet n'est pas mort.
Publicité
Publicité
Commentaires
FloreSecurity - Lab
  • FloreSecurity est une entreprise Savoisienne de sécurité informatique. Vous trouverez ici une partit de ces travaux de recherche en cybersécurité. Bonne visite sur notre blog. Cordialement, Vincent Léon Flores.
  • Accueil du blog
  • Créer un blog avec CanalBlog
Publicité
Recherche
Archives
Publicité