Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
FloreSecurity - Lab
1 février 2021

Démystification - La bande a RootKit

EmotetTrick BotDridex et Necurs sont de grands noms de la virologie.

Nous ne sommes plus  sur les traditionnels chevaux de Troie que l'on rencontre habituellement (NjRATDarkComet RAT, NanoCore RAT, etc).

 

Nous sommes  sur des programmes malveillants présentant beaucoup d'option similaire aux chevaux de Troie classiques, mais avec une différence de taille.

 

Faisons une petite comparaison.

Groupe 1 (G1) = NjRAT, NanoCore, DarkComet, etc.

Groupe 2 (G2) = Emotet, TrickBot, Dridex, Necurs, etc.

 

Comparaison :

G1 et G2 vont utiliser les mêmes méthodes de persistance.

G1 et G2 vont utiliser les mêmes méthodes de propagation (cela va surtout dépendre de l'organisation de l'attaquant).

G1 et G2 ne vont PAS se présenter de la même façon.

 

Voyez le groupe 1 comme des programmes malveillant mono-module. Ils n'ont qu'un module et s'en contentent.

Le groupe 2, plus évolué, est modulaire, plusieurs modules donc.

 

Dans les grandes lignes, en vulgarisant, la stratégie va être d'arriver sur le système de la même façon qu'un membre du groupe 1, sauf qu'au lieu de rester sous forme d'instance de processus pour lancer ses actions malveillantes, le programme va charger plusieurs modules (.dll pour exemple probant). Ou dans ça propre instance de processus, ou dans d'autres instances de processus.

Le processus (.exe) qui est utilisé par le programme malveillant n'ont plus que pour vocation de gérer quelle module est chargé/déchargé des processus, il peut parfois devenir passif en se ferment ou en se mettent en attente pour ne pas éveiller les soupçons des analyses comportementales de certains antivirus.

C'est ce processus qui est relié à la persistance, cela passe par les répertoires de démarrage, les clés de registre qui peuvent permettre l'exécution d'un programme au démarrage, les tâches planifiées. Pareillement que pour le groupe 1, mais parfois la persistance peut passer par la création d'un service.

 

Pour empêcher les modules d'être chargé en mémoire par notre processus gestionnaire, c'est lui que la stratégie de défense veut que l'on attaque en premier.

La difficulté est en revanche un peu plus élevée que le groupe 1 car dans certains cas une routine sous forme,  aussi de module charger extérieurement peut réinitialiser en boucle l'instance du processus gestionnaire a l'image d'une tache planifiée.

 

  il faut relativisé, c'est que d'une part ces programmes malveillants sont très bien détectés par les antivirus aujourd'hui.

D'autre part, les méthodes de désinfection et d'atténuation sont connus des sociétés de cyber sécurité.

 

Vincent Léon Flores.

Publicité
Publicité
Commentaires
FloreSecurity - Lab
  • FloreSecurity est une entreprise Savoisienne de sécurité informatique. Vous trouverez ici une partit de ces travaux de recherche en cybersécurité. Bonne visite sur notre blog. Cordialement, Vincent Léon Flores.
  • Accueil du blog
  • Créer un blog avec CanalBlog
Publicité
Archives
Publicité