Locky et Cerber ont appris à se dissimuler

Depuis le milieu du mois de janvier, les experts ont remarqué que les versions les plus récentes de Cerber et Locky ont appris à déjouer avec succès les systèmes existants de détection de malwares grâce à une infrastructure qui permet de dissimuler le code malveillant au sein d’un programme d’installation NSIS et d’utiliser plusieurs niveaux d’obfuscation et de chiffrement avant l’exécution du code dans la mémoire.

Nous ne savons pas comment cela a pu se produire, soit grâce à l’achat de l’infrastructure indispensable sur des forums clandestins, soit à l’issue d’une coopération probable entre les auteurs des deux malwares. Par contre, ce que l’on sait, c’est que les versions les plus récentes de ces deux familles affichent un comportement similaire.

« Les individus malintentionnés cherchent toujours des méthodes inédites pour garantir l’exécution du code malveillant. A peine avons-nous compris comment fonctionne une technique qu’ils en ont déjà développé une nouvelle » explique Tom Nipravsky, chercheur en sécurité de l’information chez Deep Instinct. Et il poursuit : «  »Au cours des deux derniers mois, nous avons observé une nouvelle tendance : l’utilisation de NSIS. Nous soupçonnons qu’il pourrait s’agir d’une infrastructure commune car ces deux ransomwares différents se comportent absolument de la même manière ».

Tom Nipravsky, auteur d’un rapport sur les dernières tendances dans le milieu des malwares, explique que cette nouvelle technique est utilisée non seulement par Cerber (version 5.1 et 4) et Locky (plusieurs versions), mais également par différentes versions de Cryptolocker et Cryptowall.

« Notre hypothèse est que cette infrastructure est vendue dans les couches les plus profondes du Dark Web, mais nous n’en sommes pas certains à 100 %. Mais il doit y avoir une infrastructure commune car le comportement de ces malwares est absolument identique. Cette tendance se manifeste depuis deux mois. Même les versions les plus récentes de Locky et Cerber utilisent NSIS » signale Tom Nipravsky.

NSIS, abréviation de Nullsoft Scriptable Install System, est un système de création de programmes d’installation pour Windows qui repose sur un code ouvert. Il s’agit d’un élément clé dans la technique d’obfuscation du code dans les dernières campagnes de ransomwares qui permet de masquer le code exécutable du malware pour échapper aux systèmes de détection. D’après le rapport de Tom Nipravsky, le plug-in SYSTEM dans l’installateur NSIS invoque une API Win32 qui permet à l’attaquant d’attribuer de la mémoire pour le contenu exécutable et d’exécuter un stub de code chargé du déchiffrement de la charge utile.

« Le plug-in SYSTEM permet d’invoquer des fonctions au sein de Windows et de réaliser n’importe quelle action. Les individus malintentionnés attribuent un secteur de la mémoire, y introduisent le code, puis l’exécutent » explique Tom Nipravsky. « Comme le code est obfusqué, la seule partie visible est le stub de code responsable de l’exécution de XOR à l’étape suivante du code. Les solutions de protection ne voient pas ce qui se passe avec le code en lui-même. Elles ne remarquent que les actions du petit stub et ce dernier ne fait pratiquement rien. Il se contente d’exécuter l’opération XOR sur quelques octets ».

L’installateur de NSIS offre aux individus malintentionnés une méthode simple pour exécuter le code malveillant souligne Tom Nipravsky. Mais d’après lui, ce n’est pas tout.

Par exemple, les attaques intègrent la technique Heaven’s Gate pour évoquer un code 64 bits dans un processus 32 bits, ce qui permet d’éviter les hooks des API utilisées par les systèmes de détection. Heaven’s Gate utilise les requêtes système au lieu des API standard et intervient également dans l’obfuscation du code car les débogueurs actuels ne réagissent pas toujours correctement quand un code 64 bits est exécuté depuis un processus 32 bits.

La technique Process Hollowing est également utilisée pour lancer l’installateur dans les attaques. Elle permet aux attaquants de créer des processus suspendus et de remplacer l’image du processus par l’image du processus qu’ils souhaitent masquer. L’installateur est chiffré à l’intérieur de l’installateur NSIS et est déchiffré pendant l’exécution.

« Tout se déroule dans la mémoire. L’attaquant crée un processus suspendu, remplace l’image de ce processus par l’image du ransomware et redirige le point d’entrée du nouveau processus vers le code malveillant. Autrement dit, quand le processus reprend, il s’adresse au code du malware et non pas au code d’origine » explique Tom Nipravsky.

Il conclut en disant que la création de processus suspendus et la redistribution des images doivent être considérées comme des activités suspectes.

« Les individus malintentionnés utilisent chaque fois la technique Process Hollowing d’une manière différente afin de compliquer la détection et la surveillance de l’activité malveillante. Exécuter un processus suspendu, c’est normal. Là où cela devient suspect, c’est lorsque l’image est substituée. C’est la première fois que je vois cette technique exploitée de la sorte. Quand un logiciel antivirus analyse des fichiers exécutables, il détermine si ce fichier peut être lancé, mais dès que cette vérification a eu lieu, toutes les possibilités sont ouvertes. C’est précisément cela que les cybercriminels exploitent ».

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *