La campagne Angler-Cryptowall survit grâce à des techniques de dissimulation

Le kit d’exploitation Angler devient un exemple de malware qui intègre de nouvelles techniques pour éviter sa détection. Depuis le début du mois de juin, les observateurs du Centre SANS sur les menaces réseau détectent presque chaque jour une modification des modèles d’URL utilisés par ce kit d’exploitation dans le cadre de la remise du ransomware Cryptowall 3.0.

D’après Brad Duncan, chercheur chez Rackspace et correspondant permanent pour l’ISC SANS, le trafic associé à Angler a fortement changé en un mois au point de devenir méconnaissable. Selon l’expert, « il se peut que les modifications introduites dans les modèles URL d’Angler soient un essai pour déjouer les systèmes de détection d’intrusion. Ceci n’est qu’une hypothèse et tout indique qu’elle n’est pas très loin de la vérité. »

Le kit d’exploitation Angler intervient dans la diffusion de plusieurs malwares, même si à l’heure actuelle son favori semble être Cryptowall 3.0. Ce ransomware chiffre les informations de la victime et exige le paiement d’une somme de 500 dollars (à payer en bitcoins) pour les déchiffrer. Il y a 10 jours, le FBI diffusait une alerte qui indiquait que les pertes globales des victimes de Cryptowall 3.0 s’élevaient à plus de 18 millions de dollars américains.

Depuis le mois de février de cette année, ce ransomware se propage principalement à l’aide de kits d’exploitation. D’après une analyse réalisée chez Cisco, Cryptowall 3.0 utilise un dropper simplifié d’où les codes d’exploitation ont été éliminés. Sa diffusion via Angler a été mise au point vers la fin du mois de mai, en même temps que le lancement d’une campagne de messages non sollicités visant à propager Cryptowall 3.0.

Tout semble indiquer que la rentabilité de ces campagnes malveillantes est importante car les diffuseurs du malware n’ont pas lésiné sur les investissements dans de nouveaux modèles d’URL. D’après Brad Duncan, les individus malintentionnés introduisent de subtiles modifications dans les modèles d’URL utilisés dans les requêtes HTTP GET vers la page d’atterrissage d’Angler, mais également pour les requêtes d’un code d’exploitation Flash concret et la charge utile finale (Cryptowall).

Ainsi, entre le 9 et le 12 juin, un point d’interrogation a été ajouté à la ligne de l’URL et le modèle lui-même a pris l’aspect [séquence de mots]=[séquence de chiffres]. Le 15 juin, l’aspect de la requête pour la page d’atterrissage avait à nouveau changé et la ligne contenait des variations aléatoires et des chiffres écrits en entier. S’agissant de cette dernière astuce, celle-ci fut abandonnée dès le lendemain.

Brad Duncan explique que « le lendemain, le 16 juin, plus aucun chiffre en lettres n’apparaissait. Le modèle &un &deux &trois (etc.) avait été remplacé par &[mot aléatoire] ». Et un jour plus tard, les expériences portaient sur la longueur de la chaîne de caractères alphabétiques. Mercredi dernier, les requêtes GET, associées à Angler, ont complètement abandonné le modèle original observé le 9 juin : d’après l’expert, la ligne de recherche ressemble désormais à search?q=, alors qu’au début du mois dernier, elle ressemblait à search?[caractères aléatoires].

L’expert signale également ce jeu du chat et de la souris impose aux éditeurs de solutions de protection de réaliser des modifications en permanence, non seulement dans les signatures, mais également dans les expressions rationnelles compatibles Perl (PCRE) utilisées pour comparer les modèles d’URL. La norme PCRE prend en charge, par exemple, tous les systèmes de détection d’intrusion sur la base de Snort.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *