Trojan bancaire Lurk : édition spéciale pour la Russie

Contenu

Sur les forums clandestins de cybercriminels, on peut souvent voir le conseil suivant : « Ne touche pas au domaine RU ». C’est une espèce de recommendations que les vieux de vieille donnent aux nouvelles recrues. En langage de tous les jours, cela signifie : « Ne vole pas les citoyens de la Fédération de Russie, n’infecte pas leurs ordinateurs, ne choisis pas tes mules parmi tes concitoyens. »

« Ne touche pas au domaine RU » présente des avantages pour la sécurité des cybercriminels : il est peu probable que les habitants d’autres pays contactent la police de la Fédération de Russie pour porter plainte. De plus, les services de banque électronique ne sont pas très répandus dans la zone RU ou du moins, ils sont nettement moins répandus que dans les pays occidentaux. Par conséquent, une activité axée sur la zone RU serait potentiellement moins rentable que dans d’autres régions tandis que le risque, quant à lui, serait plus élevé. Voilà donc comment est née la règle « Ne touche pas au domaine RU ».

Mais comme vous le savez, toute règle possède des exceptions. Ainsi, cela fait quelques années déjà que Lurk, le trojan bancaire bien connu dont nous allons parler ici, intervient activement dans le vol d’argent auprès de résidents de la Fédération de Russie.

Nous avons déjà évoqué ce trojan bancaire qui avait attiré notre attention presque directement après son apparition car il avait adopté un mode de propagation sans corps (le code malveillant n’était pas enregistré sur le disque mais été lancé directement depuis la mémoire). Toutefois, aucune description détaillée de Lurk n’avait été publiée à ce jour.

Particularités du trojan

Le trojan bancaire Lurk est unique parmi les malwares développés pour voler l’argent des clients des banques :

  • cela fait plus de cinq ans que Lurk existe et se développe mais il s’active exclusivement sur les ordinateurs où il peut voler de l’argent. Au cours de ces cinq années d’existence, le serveur de commande du trojan bancaire a enregistré près de 60 000 bots, ce qui n’est pas beaucoup.
  • Lurk est un trojan bancaire universel. Il est capable de voler de l’argent dans non seulement dans le système « iBank 2 » adopté par de nombreuses banques russes, mais également dans les plateformes de banque électroniques uniques de certaines banques russes importante.
  • Lurk lutte activement contre la détection : ses développeurs ont déployé de gros efforts pour limiter la détection de leur trojan et les attaques ciblées compliquent l’obtention efficace de nouveaux échantillons.
  • Les méthodes d’organisation interne du malware, le volume des fonctions et la fréquence des modifications laissent penser que ce projet est l’œuvre d’une équipe de développeurs et de testeurs professionnels.

Nous ne voulons pas dire par là que le trojan est bien écrit. Nous avons eu l’occasion d’analyser et de voir des trojans bancaires dont le code était d’une qualité bien supérieure. Qui plus est, l’analyse de Lurk a démontré que le code a été rédigé par plusieurs programmeurs dont le niveau de qualification variait. Ainsi, le code contient par endroit des solutions vraiment malheureuses qui n’ont pas été rectifiées au fil de toutes ces années (il va sans dire que nous n’allons pas les identifier ici pour le compte des auteurs). Nous signalerons toutefois que le produit est en développement : nous observons une amélioration de la qualité du code au fil du temps et une amélioration des solutions adoptées par les auteurs. Lurk se distingue par son ciblage poussé : les auteurs font tout ce qu’ils peuvent pour infecter le maximum de victimes qui les intéressent en évitant d’attirer l’attention des analystes et des enquêteurs. Les incidents dont nous avons eu vent confirment que Lurk est efficace : nous recevons fréquemment des messages relatifs à des vols via des plateformes de banque électronique et les enquêtes menées par la suite détectent les traces de Lurk sur l’ordinateur.

Victimes

En guise de victimes, les individus malintentionnés visent :

  • les organisations informatiques dans le secteur des télécommunications ;
  • les médias et les sites d’agrégation de contenu ;
  • les banques et les organisations financières.

Les ordinateurs compromis dans les sociétés d’informatique et de télécommunications permettent aux opérateurs de Lurk de créer des serveurs de transit via lesquels passera le trafic destiné aux serveurs des individus malintentionnés. Les sites de médias et d’agrégation de contenu, surtout ceux consultés par des comptables, sont utilisés dans le but d’infecter un nombre élevé d’ordinateurs appartenant à des utilisateurs du « public cible » de Lurk. Les banques et les organisations financières intéressent les individus malintentionnés pour pouvoir atteindre leur principal objectif : voler de l’argent.

Nous ne commenterons pas la volonté des auteurs du malware de s’implanter sur les ordinateurs des forces de l’ordre (ces organisations figurent elles aussi dans la liste des victimes).

Parmi les cibles attaquées par le trojan, nous retrouvons toutes les grandes banques de Russie, y compris les 4 plus grandes.

Propagation

Le trojan bancaire Lurk se propage via la technique répandue de l’attaque de type drive-by. Les auteurs du trojan adoptent également la propagation via les sites compromis d’une application légitime et dans le réseau d’une organisation, à l’aide de l’utilitaire psexec.

Infection via un kit d’exploitation

Lurk se propage principalement via le célèbre kit d’exploitation Angler (nom d’auteur : XXX).Ce mode de propagation ne requiert aucune action spéciale de l’utilisateur pour infecter l’ordinateur.

Angler est une figure de proue parmi les kits d’exploitation : les codes d’exploitation pour les nouvelles vulnérabilités sont toujours mis en œuvre en premier dans Angler, puis ils sont intégrés aux autres kits (il n’est pas exclu qu’ils soient simplement « empruntés »). Il n’est pas rare de trouver dans Angler des codes d’exploitation pour des vulnérabilités de type 0jour, ce qui le rend particulièrement dangereux.

Voici comment se déroule en général les préparatifs de l’infection de nouvelles victimes par Lurk :

  1. Sélection d’un site intéressant pour le public cible : forum de comptabilité, portail d’informations, etc.

    L’infection du site se déroule via l’insertion dissimulée d’un lien vers la page d’entrée du kit d’exploitation. Si l’infection du site s’avère impossible, le lien malveillant est intégré à du matériel d’un « partenaire » présenté sur le site.

  2. Les utilisateurs qui veulent accéder au site sont redirigés à leur insu vers la page d’entrée du kit d’exploitation. Angler tente d’exploiter une vulnérabilité quelconque dans une application de l’utilisateur dans le but de lancer le téléchargeur de Lurk, baptisé mini.

Il faut signaler que le lien vers la page d’entrée du kit d’exploitation est disponible pendant une brève période ou il apparaît et disparaît à intervalles réguliers. Ainsi, nous avons pu observer un cas d’infection du forum d’une revenue spécialisée en comptabilité de renom où le lien malveillant apparaissait les jours de la semaine pendant deux heures seulement, à l’occasion de la pause du déjeuner. Il va sans dire que nous avons repéré cette activité anormale et nous avons prévenu le détenteur de la ressource. Toutefois, au moment où la ressource a reçu notre message, le nettoyage avait déjà été fait et aucune trace d’infection ne fut observée. Entretemps, les propriétaires de Lurk ont obtenu, durant la présence du lien malveillant dans le forum, plusieurs nouveaux ordinateurs infectés par l’application malveillante.

Infection via des sites compromis

Le deuxième mode d’infection très souvent adoptée par les individus malintentionnés consiste à diffuser le programme malveillant via des sites légitimes. Il semblerait que dans le cadre de ce mode de propagation, les fichiers infectés sont transmis uniquement aux utilisateurs de la zone RU. Les autres reçoivent des fichiers sains.

Infection d’ordinateurs au sein du réseau de l’organisation

Du point de vue des individus malintentionnés, l’opération qui consiste tout d’abord à infecter un des ordinateurs de l’organisation est très intéressante. Même si l’ordinateur infecté ne contient rien qui puisse intéresser les individus malintentionnés, il a le mérite de se trouver dans le même réseau et dans le même domaine que les ordinateurs qui contiennent les informations qui intéressent les opérateurs du trojan. Dans ce cas, la propagation à l’intérieur du réseau s’opère via l’utilitaire psexec de Mark Russinovitch tandis que le dropper spécialisé mini est utilisé pour lancer les modules principaux du trojan sur les autres ordinateurs. Cette technique peut avoir de fâcheuses conséquences car la sécurité de l’ordinateur qui contient les données recherchées par les individus malintentionnés est déterminée par la sécurité de l’ordinateur le moins protégé du réseau attaqué.

Modules principaux

Le trojan est constitué de plusieurs modules dont les possibilités sont assez étendues. Les principaux modules de lurk sont :

  • le module mini ;
  • le module prescanner ;
  • le module core (noyau du bot) ;
  • le module core_x64 (version 64 bits du noyau) ;
  • le module mini_x64 (version 64 bits du module mini).

Module mini

La première étape de l’attaque via le kit d’exploitation Angler correspond à l’exploitation d’une vulnérabilité détectée dans une application de l’utilisateur et au téléchargement et à l’exécution du module mini du trojan bancaire Lurk. Comme nous l’avons déjà dit avant, l’utilisateur peut télécharger le fichier malveillant depuis un site compromis, mais l’infection peut également se produire via le réseau local.

Mini est une petite application si on la compare à Lurk (100 à 400 Ko). Sa fonction principale consiste à télécharger et à lancer deux autres modules principaux du malware Lurk. L’adresse du serveur de mini est figée dans le corps de l’application. Le téléchargement des modules s’opère à l’aide de requêtes GET traditionnelles. Les modules téléchargés par mini sont chiffrés et les algorithmes de chiffrement employés varient. Le module prescanner est chiffré à l’aide du simple « xor-next ». Les autres modules sont chiffrés à l’aide de l’algorithme de chiffrement BlowFish (ECB Mode) dont la pseudo-clé se trouve directement dans mini. La vraie clé est obtenue au départ de la pseudo-clé intégrée à l’aide de la permutation successive d’un caractère (attaque par force brute).

Afin de ne pas devoir télécharger des modules complémentaires à chaque lancement de mini, le trojan enregistre ces module dans un fichier chiffré distinct. Ce fichier se trouve dans le répertoire %APPDATA%. Le contenu du stockage est chiffré à l’aide de l’algorithme Blowfish. La clé utilisée dépend de l’heure de création du répertoire Windows. Outre le nom du plug-in et son corps, le stockage contient également la liste des sommes de contrôle des noms des processus dans lesquels le plug-in doit être exécuté. Ces informations permettent à mini d’identifier le processus dans lequel il faut insérer le plug-in : pour le module d’injections Web, il s’agit du processus du navigateur et pour le module ibank, il s’agit de Java.exe dans le contexte duquel fonctionne la plateforme de banque électronique.

Module prescanner

Dans le cadre des opérations de mini, la deuxième étape de l’attaque est le téléchargement du module prescanner. Ce module est une bibliothèque dynamique téléchargée dotée de la seule fonction exportée Prescan.

Les individus malintentionnés ont besoin du module prescanner afin de cibler leur attaque au maximum. Si l’ordinateur ne satisfait pas aux règles spéciales de prescanner et s’il n’est pas doté d’un système de plateforme de banque électronique, le module le signale à mini et ce dernier décide de ne pas s’incruster sur cet ordinateur. Les auteurs du trojan essaient ainsi d’éviter toute attention excessive de la part des autorités judiciaires et policières et des développeurs d’antivirus. A titre de confirmation, prenez le fait suivant : chaque fois qu’un nouveau bot est enregistré dans le serveur de commande, ce bot reçoit un identifiant unique (son numéro). Après plus de cinq années d’existence, le serveur de commande du trojan bancaire n’a enregistré que près de 60 000 bots.

Prescanner remplit deux tâches fondamentales :

  • la collecte des informations relatives au système infecté ;
  • le vol des mots de passe des clients FTP découverts sur l’ordinateur de l’utilisateur.

Après avoir récolté les informations sur l’ordinateur et vérifié l’exécution des règles existantes, prescanner envoie un rapport à son serveur de commande. Dans les cas que nous avons pu analyser, le serveur de commande de prescanner et celui du downloader mini étaient les mêmes.

S’il s’avère à l’issue de l’analyse que l’ordinateur ne convient pas pour l’attaque Lurk, mini et prescanner s’arrêtent et s’éliminent du système. Si prescanner a décidé de s’incruster dans l’ordinateur, il le signale au downloader mini et celui-ci télécharge et exécute le module core, le corps principal du bot.

Module core

Core est le module principal de Lurk. Voici ses fonctions principales :

  • interaction réseau avec le serveur de commande ;
  • exécution des commandes envoyées par les individus malintentionnés ;
  • tenue d’un journal des frappes au clavier (fonction d’enregistreur de frappes) et enregistrement vidéo de l’écran du système infecté ;
  • garantie du fonctionnement du stockage de données chiffré et des paramètres de Lurk ;
  • téléchargement, installation et lancement de modules complémentaires du trojan.

Le module core est une sorte de « canal de communication » entre les autres modules du malware et le centre de commande. Les serveurs de commande de mini et de core sont différents. Core ne contient pas l’adresse figée du centre de commande. Elle est obtenue à l’aide d’un algorithme de génération de noms de domaine (DGA – Domain Generation Algorithm). Les auteurs du trojan utilisent en guise de paramètres d’entrée principaux du DGA des données de cotes boursières obtenues sur Yahoo Finance. Autrement dit, la génération des adresses des serveurs de commande repose sur des données que les experts en sécurité ne peuvent connaître à l’avance. Par conséquent, il est impossible de prédire les adresses de Lurk qui seront produites.

Une fois que la connexion au serveur de commande a été établie, les données récoltées par le malware et les résultats de l’exécution des commandes sont envoyées toutes les cinq minutes et les mises à jour et les nouvelles commandes sont sollicitées selon ce même intervalle. Toutes les communications entre le module core et le serveur de commande sont chiffrées. L’échange des données entre core et le serveur de commande se déroule au format JSON.

La fonction d’interception des données saisies au clavier par l’utilisateur existe dans le module core des nouvelles versions de Lurk (au moins, à partir de la version 8.9773). L’interception a lieu uniquement dans les fenêtres contenant des mots/des expressions définies dont la liste est fournie par le serveur de commande. Les informations interceptées sont envoyées au serveur de commande lors de la session de communication suivante (toutes les 5 minutes).

La partie principale du stockage du trojan Lurk se trouve dans le registre, mais une partie des données complémentaires en rapport avec le stockage peut se retrouver dans un fichier sur le disque dur. En règle générale, les fichiers sont réservés aux volumes de données imposants, mais qui possèdent une logique unique, par exemple les vidéos enregistrées sur l’écran ou le code des injections Web. Quoi qu’il en soit, les liens et ces fichiers complémentaires sont obligatoirement présents dans la partie principale du stockage dans la base de registres.

Modules complémentaires

Les modules complémentaires (plug-ins) du bot sont chargés par le module core sur les ordinateurs que le malware considère comme étant les mieux adaptés à l’attaque. Seuls les modules requis sur un ordinateur pour voler de l’argent depuis celui-ci sont chargés.

Les modules Lurk connus à l’heure actuelle sont repris dans le tableau suivant.

GUID du plug-in Nom Fonction du plug-in
{5FBA6505-4075-485b-AEC4-75767D9054C9} module_Bifit Ensemble de fichiers .class qui permet d’introduire des modifications dans les fonctions normales du système « iBank 2 » dans le but de voler de l’argent.
{0F3E7AFA-1F2B-4b0e-99D6-3716A4C3D6DE} module_Bifit_admin Applet du système « iBank 2 » modifié par les individus malintentionnés (prévu pour le vol des identifiants des systèmes « iBank2 », y compris les fichiers clés.
{04DB063E-1454-4a73-B2CC-4DB6D4BB6AA1} module_ibank Plug-in qui permet d’injecter les applets des attaquants dans le système « iBank 2 ». Ce sont ces applets (mais pas seulement ceux-ci) qui permettent de voler l’argent des utilisateurs.
{AABA3126-14E2-443b-A11B-FB6C1F793103} module_w3bank Plug-in qui permet d’organiser les injections Web dans les pages du système de plateforme de banque électronique.
{5C345F77-B111-4a85-B6D6-EC8F27F993C4} module_w3bank_scripts Ensemble de scripts Javascript destiné à l’injection via le module w3bank. Il permet de voler l’argent et les données des systèmes de plateforme de banque électronique.
{50D13F6C-FC46-4fdf-A294-E149D36E54D4} module_spider Module auxiliaire dont la tâche principale consiste à garantir le téléchargement des autres modules de Lurk dans le contexte des processus « iexplore.exe », « firefox.exe », « chrome.exe », « opera.exe », « jp2launcher.exe », « java.exe » avant le véritable lancement de ces processus.
{52F1F7D8-4BCC-4498-AC86-3562F81990F6} module_vnc Plug-in qui permet d’accéder à l’ordinateur infecté via VNC (pour l’administration à distance de l’ordinateur compromis).
{A06B5020-0DF3-11E5-BE38-AE5E4B860EDE} rdp-plugin-x86 Plug-in qui permet d’activer RDP sur un ordinateur infecté.
{9F786E98-3D4C-4020-8819-B97D9D4DBCC0} highLauncher Téléchargeur des plug-ins du bot au niveau high integrity level (requis pour rdp-plugin-x86 et lsa-plugin-x86).
{968A2A9A-7DF4-4E69-BF81-563AF8FFB7DC} launcher Téléchargeur mini. Attend la communication IPC portant le nom <LurkDll> pour pouvoir télécharger mini à l’aide de LoadLibrary(). Intervient dans le lancement mini avec une augmentation des privilèges.
{5B3957F2-AAAF-4FF8-94B8-83C52AFCD2A9} lsa-plugin-x86 Plug-in pour le vol des comptes d’administrateur et/ou de domaine (utilise la célèbre application mimikatz).

Nous allons aborder en détails 3 des modules (plug-ins) du bot : Les modules w3bank et ibank.dll qui sont les deux « chevaux de trait » de Lurk, impliqués directement dans le vol de l’argent. Le module module_vnc permet d’administrer à distance le système infecté à l’aide du protocole VNC.

Module w3bank

Le module w3bank attaque le système en ligne de la plateforme de banque électronique. Sa fonction principale consiste à réaliser des injections (ATS, Automatic Transfer System) dans le navigateur de l’utilisateur.

Module ibank

Le module ibank permet de voler dans les systèmes de plateforme de banque électronique « iBank ».

Le module fonctionne dans le contexte du processus de la machine virtuelle Java. Lors du lancement de l’applet Java, le système vérifie si cet applet appartient au système « iBank 2 ». En cas de lancement de ce système de banque électronique, une demande de blocage ou de poursuite du lancement de l’applet est envoyée au serveur du malware. En plus de la commande de poursuite du lancement, le serveur de commande envoie un ensemble de fichiers de classe Java qui substituent les classes originales de l’applet « iBank ».

L’applet infecté permet aux individus malintentionnés de substituer les données dans les instructions de paiement, en laissant les informations originales dans les extraits.

Module module_vnc

Le module module_vnc permet d’administrer à distance le système infecté à l’aide du protocole VNC. Le nœud distant obtient un accès complet au système : il voit les images affichées à l’écran, il peut transmettre et recevoir n’importe quels fichiers ou données, y compris les données des enregistreurs audio et vidéo, utiliser les applications installées sur l’ordinateur ou en installer de nouvelles.

Ce module permet également de lancer les processus des navigateurs selon les paramètres suivants :

Mozilla Firefox: -profile
Google Chrome: –user-data-dir=
Internet Explorer: -nomerge

Un nouveau profil d’utilisateur du navigateur est créé à chaque lancement de Mozilla Firefox et Google Chrome. Cela permet de masquer l’activité du malware pour l’utilisateur légitime qui ne verra rien dans l’historique des sites visités. De plus, cela permet de créer sur un site quelconque une session distincte en parallèle à la session déjà ouverte. Cela permet notamment de s’authentifier une deuxième fois sur le site utilisé par l’utilisateur légitime et réaliser des actions en parallèle qui n’auront aucun impact sur la session de l’utilisateur.

Etapes de l’attaque Lurk

Voici donc le déroulement d’une attaque Lurk typique :

  1. L’ordinateur de l’utilisateur est infecté via l’exploitation d’une vulnérabilité.
  2. Le module mini est lancé sur l’ordinateur infecté.
  3. Mini télécharge le module prescanner et le lance.
  4. Le module prescanner vole les identifiants FTP de l’utilisateur.
  5. S’il s’avère à l’issue de l’analyse que l’ordinateur n’est pas utile, mini et prescanner disparaissent « sans faire de bruit ».
  6. Si l’ordinateur infecté est intéressant pour les individus malintentionnés, l’attaque se poursuit.
  7. Si l’attaque se poursuit, mini télécharge et lance le module core, le corps principal du bot.
  8. Le module core contacte le serveur de commande du bot et reçoit et exécute les commandes des individus malintentionnés.
  9. Le module core obtient les plug-ins complémentaires du bot depuis le serveur de commande.
  10. Le module core « espionne » l’utilisateur : il intercepte les données saisies via le clavier et enregistre une vidéo de l’écran du système infecté. L’interception a lieu uniquement dans les fenêtre contenant des mots/des expressions définies dont la liste est fournie par le serveur de commande et dont le contenu est défini avant tout par les intérêts financiers des propriétaires de Lurk.
  11. Grâce aux modules complémentaires (ibank, w3bank), Lurk vole l’argent dans les plateformes de banque électronique.

Exemple d’attaque contre une banque.

Dans le cadre de notre enquête, nous avons découvert une attaque de Lurk contre une des banques les plus importantes de Russie. Cette attaque impliquait l’utilisation du module w3bank pour réaliser les injections Web. Nous avons réussi à obtenir le script des injections.

Les fichiers de script des injections portent le même nom pour différents systèmes de banque électronique en ligne (content.min.js) mais les GUID diffèrent. Ceux-ci sont générés de manière aléatoire.

Ce script intercepte les informations d’authentification saisie dans la plateforme de banque électronique de la banque. Quand l’utilisateur ouvre une session dans la plateforme de banque électronique, son identifiant et son mot de passe sont interceptés. Une fois que la session a été ouverte, une session parallèle est créée, à l’insu de l’utilisateur. Au cours de cette session, Lurk navigue parmi les pages de la plateforme et recherche le nom du titulaire de la carte et le numéro de téléphone associé à cette carte. Autrement dit, le script récolte toutes les informations nécessaires à la réalisation d’un paiement dans ce système de banque électronique. Ces informations sont envoyées ensuite au serveur de commande dont l’adresse correspond à l’adresse réseau du serveur qui interagit avec le module core.

Le serveur de commande peut répondre en envoyant un script qui sera exécuté dans le contexte du navigateur. Nous n’avons pas réussi à mettre la main sur ce script dans le cadre de notre enquête.

De même, le serveur de commande peut enregistrer un paiement automatique qui sera exécuté lors de la prochaine ouverture de session de l’utilisateur dans le système de banque électronique.

Conclusion

Les auteurs du trojan ont déployé tous les efforts pour protéger leur création au maximum contre les analystes. Lurk est particulièrement bien protégé contre l’analyse en profondeur. Ou du moins, une telle analyse est très compliquée à réaliser. Toutefois, malgré toutes les difficultés de l’analyse du malware, Lurk est identifié sans difficulté par les solutions antivirus modernes.

Les éditeurs de logiciels antivirus ne sont pas les seuls à lutter contre Lurk. La société BIFIT, éditeur du système iBank 2, déploie également des efforts dans la lutte contre les attaques qui visent ses produits. La société a mis en œuvre des méthodes de lutte contre les trojans bancaires dans l’application « iBank 2 » et a analysé leur efficacité. Les résultats des études menées par BIFIT indiquent que sur l’ensemble des solutions de protection introduites dans le système « iBank 2 » pour lutter contre Lurk, la seule efficace est le contrôle au niveau du serveur de la banque. Les autres dispositifs de sécurité mis en place dans le système « iBank 2 » ont été déjoués par les auteurs de Lurk, ce qui témoigne de leur professionnalisme.

Dans l’ensemble, Lurk donne l’impression d’un système complexe et puissant au service des objectifs criminels des auteurs du trojan, à savoir le vol de l’argent des utilisateurs. La volonté et la concentration manifestées par les auteurs du trojan dans leurs travaux témoignent de leur niveau de motivation élevé.

Pour lutter contre ce trojan, Kaspersky Lab utilise la détection sur la base de signature, la détection heuristique et la détection proactive. Cette démarche permet d’identifier les versions les plus récentes de Lurk avant même leur ajout dans nos collections. Ce trojan est détecté selon les verdicts suivants : Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk.

Pour conclure, nous souhaitons donner un conseil banal, mais bien actuel : Pour garantir la sécurité d’un système de banque électronique, il faut :

  • planifier et administrer comme il se doit les réseaux locaux de l’entreprise ;
  • former régulièrement les employés aux règles et aux normes de la sécurité de l’information ;
  • utiliser une solution de protection moderne et actualisée fréquemment.

Nous sommes convaincus que le respect de ces règles élémentaires permettra d’améliorer considérablement la protection contre Lurk et les menaces similaires.

IOC :

Clés de registre :

HKCU\Software\Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKLM\Software\Classes\CLSID\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKCU\Software\Classes\Drive\ShellEx\FolderExtensions\{118BEDCC-A901-4203-B4F2-ADCB957D1887}
HKLM\Software\Classes\Drive\ShellEx\FolderExtensions\{118BEDCC-A901-4203-B4F2-ADCB957D1887}

Fichiers :

Noms possibles du module mini :

%APPDATA%\API32.DLL
%APPDATA%\dlg.dll
%APPDATA%\mm.dll
%APPDATA%\setup.dll
%APPDATA%\help.dll
%APPDATA%\mi.dll
%APPDATA%\http.dll
%APPDATA%\wapi.dll
%APPDATA%\ER32.DLL
%APPDATA%\core.dll
%APPDATA%\theme.dll
%APPDATA%\vw.dll
%APPDATA%\el32.dll
%APPDATA%\sta.dll
%APPDATA%\p10.dll
%APPDATA%\fc.dll
%APPDATA%\in_32.dll
%APPDATA%\pool.drv
%APPDATA%\env.dll
%APPDATA%\man.dll

Noms possibles du référentiel de modules :

%APPDATA%\ddd2.dat
%APPDATA%\pdk2.dat
%APPDATA%\km48.dat
%APPDATA%\9llq.dat
%APPDATA%\ddqq.dat
%APPDATA%\834r.dat
%APPDATA%\gi4q.dat
%APPDATA%\wu3w.dat
%APPDATA%\qq34.dat
%APPDATA%\dqd6.dat
%APPDATA%\w4ff.dat
%APPDATA%\ok4l.dat
%APPDATA%\kfii.dat
%APPDATA%\ie31.dat
%APPDATA%\4433.dat

Indicateurs réseau :

Serveurs d’administration :

3d4vzfh68[.]com
43xkchcoljx[.]com
carlton69f[.]com
diameter40i[.]com
elijah69valery[.]com
embassy96k[.]com
evince76lambert[.]com
globe79stanhope[.]com
groom58queasy[.]com
hackle14strand[.]com
hotbed89internal[.]com
mechanic17a[.]com
paper17cried[.]com
plaguey42u[.]com
possum89hilarity[.]com
rhythmic81o[.]com
ri493hfkzrb[.]com
roomful44e[.]com
s8f40ocjv[.]com
scale57banana[.]com
wing97pyroxene[.]com
yf3zf90kz[.]com

Règles IDS :

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg: »Bot.Lurk.HTTP.C&C »; flow:established,to_server; content: »POST »; pcre: »/\?hl=[a-z]+&source=[^\r\n&]+&q=[^\r\n&]+/msi »;)

MD5 :

mini :

185C8FFA99BA1E9B06D1A5EFFAE7B842
2F3259F58A33176D938CBD9BC342FDDD
217DAB08B62B6F892A7D33E05E7F788C
3387E820F0F67FF00CF0C6D0F5EA2B75
36DB67CCADC59D27CD4ADF5F0944330D
6548D3304E5DA11ED2BED0551C3D6922
72D272A8198F1E5849207BC03024922D
85B66824A7F2787E87079903F0ADEBDF
B4FFAD760A52760FBD4CE25D7422A07B
C461706E084880A9F0409E3A6B1F1ECD
D0B4C0B43F539384BBDC103182E7FF42
E006469EA4B34C757FD1AA38E6BDAA72
E305B5D37B04A2D5D9AA8499BBF88940
E9CAB9097E7F847B388B1C27425D6E9A
E9DA19440FCA6F0747BDEE8C7985917F
F5022EAE8004458174C10CB80CCE5317

prescanner :

A802968403162F6979D72E04597B6D1F

core :

C15E18AFF4CDC76E99C7CB34D4782DDA
8643E70F8C639C6A9DB527285AA3BDF7

ibank.dll :

A6C032B192A8EDEF236B30F13BBFF204
4CB6CA447C130554FF16787A56A1E278
BFE73DE645C4D65D15228BD9A3EBA1B6
CC891B715C4D81143491164BFF23BF27

module_vnc :

601F0691D03CD81D94AD7BE13A10A4DB
6E5ADF6246C5F8A4D5F4F6BBFC5033B9
78EDD93CEA9BEDB90E55DE6D71CEA9C4

w3bank.dll:

1B84E30D4DF8675DC971CCB9BEE7FDF5
3A078D5D595B0F41AD74E1D5A05F7896

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *