Neutrino trompe les chercheurs

Comme l’ont découvert les experts de Trustwave, le kit d’exploitation Neutrino s’est doté d’un nouveau module capable de bloquer les tentatives de connexion de serveurs à des fins d’analyse. Les individus malintentionnés ont introduit un filtre de paquets TCP qui réalise une analyse passive des empreintes numériques du système d’exploitation de l’expéditeur et isole les requêtes en provenance d’ordinateurs Linux.

Au milieu du mois de janvier, des experts de la division SpiderLabs de la société ont remarqué une réduction sensible du nombre de serveurs actifs exploités dans les attaques Neutrino. Cette baisse inattendue a amené les chercheurs à se pencher un peu plus sur ce kit d’exploitation actif actuellement, mais pas trop agressif. Il se fait que les ordinateurs du laboratoire de SpiderLabs n’ont jamais réussi à établir une connexion avec des serveurs reconnus de Neutrino, alors que tout le matériel fonctionnait bien et que des connexions à d’autres sites avaient pu être ouvertes sans problèmes. De plus, les tentatives d’activation du kit d’exploitation depuis des ordinateurs Windows vulnérables débouchaient quant à elles sur une infection et le comportement de Neutrino dans ces cas était normal.

Pensant qu’il fallait chercher les causes du problème dans le laboratoire, les chercheurs ont commencé à modifier les adresses IP et les navigateurs, mais en vain. La cause a pu seulement être identifiée lors de la comparaison entre le trafic des ordinateurs exploités (Windows) et celui des ordinateurs du laboratoire : il se fait que Neutrino utilise désormais un module iptables OSF, capable d’identifier le système d’exploitation d’un noeud distant. S’il s’avère qu’il s’agit d’un ordinateur Linux, la tentative de connexion est tout simplement bloquée.

D’après Daniel Chechik, de chez Spider Labs, « le filtrage des ordinateurs Linux a un sens pour le kit d’exploitation. Les ordinateurs Linux sont souvent des solutions de protection, des serveurs ou d’autres types d’ordinateur qui ne conviennent pas pour le rôle de victime potentielle. Cette méthode permet de limiter les possibilités d’étude, qu’il s’agisse d’un balayage automatique ou d’une attention non sollicitée de la part de chercheurs en sécurité de l’information.

Ce n’est pas la première fois que les opérateurs de kits d’exploitation tentent de protéger leurs serveurs contre les visites indésirables mais en général, d’après SpiderLabs, ces mesures de protection sont mises en oeuvre au niveau HTTP via la redirection vers une ressource neutre ou une fausse page d’erreur. Le transfert de la protection au niveau TCP est une démarche habile : si le serveur ne répond pas, cela signifie qu’il est probablement inactif.

« Dans la mesure où les kits d’exploitation changent parfois très vite d’emplacement, il est fort probable que ce genre de comportement soit interprété comme un serveur inactif et Neutrino atteint son objectif : tous ceux qui ne sont pas des victimes potentielles le laissent en paix » résume Daniel Chechik.

Comme nous l’avons déjà dit, le kit d’exploitation Neutrino est moins actif que les leaders du marché que sont Angler et Nuclear, mais il intervient souvent dans la propagation de malwares biens réels. Ainsi, au mois de juin de l’année dernière, Neutrino a diffusé le célèbre malware bancaire ZeuS, en août, CryptoWall 3.0 et en septembre TeslaCrypt.

Source: Networkworld

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *