Angler masque les codes d’exploitation: analyse de Kaspersky Lab

Les experts de Kaspersky Lab ont réussi à déchiffrer une version du protocole de chiffrement Diffie-Hellman, utilisé par le célèbre kit d’exploitation Angler. D’après les chercheurs, les auteurs du kits d’exploitation utilisent le chiffrement pour compliquer la détection du chargement du code d’exploitation par les pare-feu et pour éviter que le code du code d’exploitation ne tombe trop facilement entre les mains des chercheurs.

Angler télécharge sous forme chiffrée des shellcodes pour les codes d’exploitation de CVE-2015-2419 pour Internet Explorer 11 et de CVE-2014-5560 pour Adobe Flash. Le premier avait été décrit il y a un mois dans le blog de FireEye, tandis que la vulnérabilité CVE-2015-2419 avait été éliminée en juillet de cette année. Le deuxième avait été décrit par le chercheur indépendant Kafeine et la vulnérabilité CVE-2014-5560 avait été éliminée il y a un mois.

Lorsque le code d’exploitation est sollicité depuis le serveur, des clés à usage unique sont échangées et un array chiffré avec un shellcode est chargé dans le navigateur. Le chercheur, qui a intercepté le trafic entre le navigateur de la victime et le serveur, ne parvient pas malgré tout à reproduire l’attaque et à identifier la vulnérabilité. Le shellcode n’est pas renvoyé une deuxième fois car le serveur, après avoir transmis le code d’exploitation, bloque l’adresse IP de l’expéditeur.

Malgré la ruse des auteurs, les chercheurs ont réussi à déchiffrer l’algorithme de chiffrement à l’aide d’une modification de l’algorithme de Pohlig-Hellman (algorithme de résolution du problème du logarithme discret) ainsi que le shellcode.

Source: Securelist

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *