Démystification - La bande a RootKit
Emotet, Trick Bot, Dridex et Necurs sont de grands noms de la virologie.
Nous ne sommes plus là sur les traditionnels chevaux de Troie que l'on rencontre habituellement (NjRAT, DarkComet RAT, NanoCore RAT, etc).
Faisons une petite comparaison.
Groupe 1 (G1) = NjRAT, NanoCore, DarkComet, etc.
Groupe 2 (G2) = Emotet, TrickBot, Dridex, Necurs, etc.
Comparaison :
G1 et G2 vont utiliser les mêmes méthodes de persistance.
G1 et G2 vont utiliser les mêmes méthodes de propagation (cela va surtout dépendre de l'organisation de l'attaquant).
G1 et G2 ne vont PAS se présenter de la même façon.
Voyez le groupe 1 comme des programmes malveillant mono-module. Ils n'ont qu'un module et s'en contentent.
Le groupe 2, plus évolué, est modulaire, plusieurs modules donc.
Dans les grandes lignes, en vulgarisant, la stratégie va être d'arriver sur le système de la même façon qu'un membre du groupe 1, sauf qu'au lieu de rester sous forme d'instance de processus pour lancer ses actions malveillantes, le programme va charger plusieurs modules (.dll pour exemple probant). Ou dans ça propre instance de processus, ou dans d'autres instances de processus.
Le processus (.exe) qui est utilisé par le programme malveillant n'ont plus que pour vocation de gérer quelle module est chargé/déchargé des processus, il peut parfois devenir passif en se ferment ou en se mettent en attente pour ne pas éveiller les soupçons des analyses comportementales de certains antivirus.
C'est ce processus qui est relié à la persistance, cela passe par les répertoires de démarrage, les clés de registre qui peuvent permettre l'exécution d'un programme au démarrage, les tâches planifiées. Pareillement que pour le groupe 1, mais parfois la persistance peut passer par la création d'un service.
Pour empêcher les modules d'être chargé en mémoire par notre processus gestionnaire, c'est lui que la stratégie de défense veut que l'on attaque en premier.
La difficulté est en revanche un peu plus élevée que le groupe 1 car dans certains cas une routine sous forme, là aussi de module charger extérieurement peut réinitialiser en boucle l'instance du processus gestionnaire a l'image d'une tache planifiée.
Là où il faut relativisé, c'est que d'une part ces programmes malveillants sont très bien détectés par les antivirus aujourd'hui.
D'autre part, les méthodes de désinfection et d'atténuation sont connus des sociétés de cyber sécurité.
Vincent Léon Flores.