Malware modulaire: la nouvelle attaque furtive dérobant vos données
Added 2018-10-16
Les logiciels malveillants sont de toutes formes et tailles. En outre, la sophistication des logiciels malveillants a considérablement augmenté au fil des ans. Les pirates réalisent qu'essayer de regrouper tous les aspects de leur paquet malveillant dans une seule charge utile n'est pas toujours le moyen le plus efficace.
Au fil du temps, les logiciels malveillants sont devenus modulaires. En d'autres termes, certaines variantes de programmes malveillants peuvent utiliser différents modules pour modifier leur impact sur un système cible. Alors, quel est le malware modulaire et comment ça marche?
Qu'est-ce qu'un malware modulaire?
Le malware modulaire est une menace avancée qui attaque un système à différentes étapes. Au lieu de siffler par la porte d'entrée, les logiciels malveillants modulaires adoptent une approche plus subtile.
Pour ce faire, il n’installe d’abord que les composants essentiels. Ensuite, au lieu de provoquer une fanfare et d’avertir les utilisateurs de sa présence, le premier module analyse la sécurité du système et du réseau; qui est en charge, quelles protections sont en cours d'exécution, où le malware peut trouver des vulnérabilités, quels exploits ont les meilleures chances de succès, etc.
Après avoir réussi à délimiter l'environnement local, le module de programme malveillant de la première étape peut se connecter à son serveur de commande et de contrôle (C2). Le C2 peut ensuite renvoyer des instructions supplémentaires ainsi que des modules de programmes malveillants supplémentaires pour tirer parti de l'environnement spécifique dans lequel le programme malveillant fonctionne.
Les logiciels malveillants modulaires présentent plusieurs avantages par rapport aux logiciels malveillants qui regroupent toutes leurs fonctionnalités dans une seule charge utile.
- L'auteur du malware peut rapidement changer la signature du malware pour échapper aux antivirus et autres programmes de sécurité.
- Les logiciels malveillants modulaires permettent des fonctionnalités étendues pour une variété d'environnements. En cela, les auteurs peuvent réagir à des cibles spécifiques ou bien affecter des modules spécifiques à une utilisation dans des environnements particuliers.
- Les modules initiaux sont minuscules et un peu plus faciles à masquer.
- La combinaison de plusieurs modules de programmes malveillants incite les chercheurs en sécurité à deviner quelle sera la prochaine étape.
Exemples de programmes malveillants modulaires
Il existe des exemples de logiciels malveillants modulaires très intéressants. En voici quelques-uns à considérer.
VPNFilter
VPNFilter est une variante récente de logiciel malveillant qui attaque les routeurs et les périphériques Internet des objets (IoT). Le malware fonctionne en trois étapes.
Le logiciel malveillant de la première étape contacte un serveur de commande et de contrôle pour télécharger le module de la deuxième étape. Le second module collecte les données, exécute les commandes et peut interférer avec la gestion des périphériques (y compris la possibilité de «bricoler» un routeur, un périphérique IoT ou NAS). La deuxième étape peut également télécharger des modules de troisième étape, qui fonctionnent comme des plugins pour la deuxième étape. Les modules de la troisième étape incluent un renifleur de paquets pour le trafic SCADA, un module d'injection de paquets et un module permettant au programme malveillant de la deuxième étape de communiquer à l'aide du réseau Tor.
Vous pouvez Comment repérer les logiciels malveillants VPNFilter avant qu'ils ne détruisent votre routeur en savoir plus sur VPNFilter, son origine et son repérage ici.
T9000
Chercheurs en sécurité de Palo Alto Networks découvert le malware T9000 (aucune relation avec Terminator ou Skynet… ou est-ce?!).
T9000 est un outil de collecte de données et d’intelligence. Une fois installé, le T9000 permet à un attaquant de "capturer des données cryptées, de prendre des captures d'écran d'applications spécifiques et en particulier de cibler des utilisateurs de Skype", ainsi que des fichiers de produit Microsoft Office. Le T9000 est livré avec différents modules conçus pour éviter jusqu'à 24 produits de sécurité différents, modifiant ainsi son processus d'installation pour rester sous le radar.
DanaBot
«DanaBot est un cheval de Troie bancaire, ce qui signifie qu'il est nécessairement géo-ciblé dans une certaine mesure», lit-on dans le blog de Proofpoint DanaBot. «L’adoption par des acteurs à volume élevé, cependant, comme nous l’avons vu dans la campagne américaine, suggère un développement actif, une expansion géographique et un intérêt constant des acteurs de la menace pour les logiciels malveillants. Le logiciel malveillant lui-même contient un certain nombre de fonctionnalités anti-analyse, ainsi que des modules de vol et de contrôle à distance mis à jour, renforçant ainsi son attractivité et son utilité pour les acteurs de la menace. "
Marap, AdvisorsBot et CobInt
Je combine trois variantes de programmes malveillants modulaires dans une seule section, à l’instar des excellents chercheurs en sécurité de Proofpoint. Les variantes de logiciels malveillants modulaires portent des similitudes mais ont des utilisations différentes. En outre, CobInt fait partie d'une campagne menée par le groupe Cobalt, une organisation criminelle liée à une longue liste de cybercriminalité bancaire et financière.
Marap et AdvisorsBot ont tous deux été repérés en train de repérer les systèmes cibles pour la défense et la cartographie du réseau, et de déterminer si le programme malveillant devait télécharger toute la charge utile. Si le système cible présente un intérêt suffisant (par exemple, a une valeur), le logiciel malveillant appelle la deuxième étape de l’attaque.
Comme d'autres variantes de programmes malveillants modulaires, Marap, AdvisorsBot et CobInt suivent un processus en trois étapes. La première étape est généralement un courrier électronique avec une pièce jointe infectée portant l'exploit initial. Si l'exploit s'exécute, le logiciel malveillant demande immédiatement la deuxième étape. La deuxième étape porte sur le module de reconnaissance qui évalue les mesures de sécurité et le paysage réseau du système cible. Si le logiciel malveillant estime que tout est approprié, le troisième et dernier module est téléchargé, y compris la charge utile principale.
Analyse approfondie de:
- Marap
- AdvisorBot (et PoshAdvisor)
- CobIn
Grabuge
Mayhem est une variante de logiciel malveillant modulaire légèrement plus ancienne, apparue pour la première fois en 2014. Toutefois, Mayhem reste un excellent exemple de logiciel malveillant. Le malware, découvert par des chercheurs en sécurité chez Yandex, cible les serveurs Web Linux et Unix. Il installe via un script PHP malveillant.
Une fois installé, le script peut faire appel à plusieurs plug-ins qui définissent l'utilisation finale du logiciel malveillant.
Les plugins incluent un pirate de force brutale qui cible les comptes FTP, WordPress et Joomla, un robot d'exploration Web pour rechercher d'autres serveurs vulnérables et un outil exploitant la vulnérabilité de Heartbleed OpenSLL.
DiamondFox
Notre variante finale de logiciel malveillant modulaire est également l’une des plus complètes. C'est aussi l'un des plus inquiétants, pour deux raisons.
Raison un: DiamondFox est un botnet modulaire à vendre sur divers forums souterrains. Les cybercriminels potentiels peuvent acheter le package de botnet modulaire DiamondFox pour avoir accès à un large éventail de capacités d'attaque avancées. L'outil est régulièrement mis à jour et, comme tous les bons services en ligne, dispose d'un support client personnalisé. (Il y a même un journal des modifications!)
Raison deux: le botnet modulaire DiamondFox est livré avec une gamme de plugins. Celles-ci sont activées et désactivées via un tableau de bord qui ne serait pas déplacé comme une application pour la maison intelligente. Les plugins incluent des outils d’espionnage sur mesure, des outils de vol de données d’identité, des outils DDoS, des enregistreurs de frappe, des expéditeurs de courrier indésirable et même un système d’extraction de RAM.
Attention: la vidéo suivante contient de la musique dont vous pouvez ou non profiter.
Comment arrêter une attaque malveillante modulaire
À l'heure actuelle, aucun outil spécifique ne protège contre une variante de programme malveillant modulaire spécifique. En outre, certaines variantes de logiciels malveillants modulaires ont une portée géographique limitée. Par exemple, Marap, AdvisorsBot et CobInt se trouvent principalement en Russie et dans les pays de la CEI.
Cela dit, les chercheurs de Proofpoint ont souligné que, malgré les limites géographiques actuelles, si d'autres criminels voyaient une organisation criminelle aussi bien établie utiliser des logiciels malveillants modulaires, d'autres feraient de même.
Il est important de savoir comment les logiciels malveillants modulaires arrivent sur votre système. La majorité utilise des pièces jointes infectées, contenant généralement un document Microsoft Office avec un script VBA illicite. Les attaquants utilisent cette méthode car il est facile d’envoyer des emails infectés à des millions de cibles potentielles. De plus, l'exploit initial est minuscule et facilement déguisé en fichier Office.