Recherche

Simda joue à cache-cache : un jeu pour adultes

Le 9 avril 2015, Kaspersky Lab a participé à l’opération synchronisée de neutralisation du réseau de zombies Simda sous la coordination du Complexe mondial INTERPOL pour l’innovation. Cette fois-ci, l’enquête avait été lancée à l’origine par Microsoft avant d’impliquer un cercle toujours plus grands d’intervenants dont TrendMicro, le Cyber Defense Institute, des membres de la Division du crime lié aux hautes technologies (NHTCU) des Pays-Bas, du FBI, de la Police grand-ducale Section Nouvelles technologies du Luxembourg et de l’unité “K” de lutte contre la cybercriminalité du ministère russe de l’Intérieur avec l’appui du Bureau central national d’INTERPOL à Moscou.

Suite à cette opération, 14 serveurs de commande ont été saisis aux Pays-Bas, aux Etats-Unis, au Luxembourg, en Pologne et en Russie. L’analyse préliminaire des journaux des serveurs neutralisés par la technique du sinkhole a mis en évidence une liste de 190 pays touchés par le réseau de zombies Simda.

Simba le personnage de Walt Disney Productions, n’a rien à voir avec le réseau de zombies Simda

Simda est un réseau de zombies mystérieux exploité dans des activités cybercriminelles telles que la diffusion de logiciels potentiellement indésirables ou malveillants. Ce bot est mystérieux car il n’apparaît pas fréquemment sur notre radar KSN, malgré le fait qu’il infecte un nombre important d’hôtes chaque jour. Ceci est du en partie à la détection de l’émulation, aux outils de sécurité et aux machines virtuelles. Il dispose de plusieurs méthodes pour détecter les environnements de bac à sable utilisés pour les recherches et qui permettent de tromper les chercheurs en consommant toutes les ressources du processeur ou de communiquer l’adresse IP externe du réseau de recherche au propriétaire du réseau de zombies. L’autre raison de cette discrétion est à chercher du côté du polymorphisme côté serveur et de la durée de vie limitée des bots.

Simda est distribué par un nombre de sites Internet infectés qui redirigent les utilisateurs vers des kits d’exploitation. Le bot utilise des adresses IP codées en dur pour maintenir l’opérateur informé sur les différentes étapes du processus. Il télécharge et exécute des composants additionnels depuis ses propres serveurs de mise à jour et il est capable de modifier le fichier hosts du système. Cette dernière technique est intéressante, même s’il est semble tellement évidente à première vue.

D’habitude, les auteurs de malware modifient les fichiers hosts afin d’intervenir dans les résultats des recherches ou pour ajouter certains sites de logiciels de sécurité à une liste noire. Le bot Simda quant à lui ajoute des entrées inattendues qui amènent google-analytics.com et connect.facebook.net à pointer vers des adresses IP malveillantes.

Quelle est la raison de cette pratique ? Nous n’en savons rien, mais nous pensons que la réponse est liée à la fonction principale de Simda, à savoir la distribution d’autres malwares. Ce modèle d’activité criminelle ouvre la porte à la possibilité d’un monopole sur la distribution de malwares. Cela signifie que les distributeurs peuvent garantir que le malware du client sera le seul à être installé sur les ordinateurs infectés. Cela se passe lorsque Simda interprète une réponse du centre de commande : il est capable de se désactiver en empêchant le démarrage du bot après le redémarrage suivant, via un arrêt instantané. Cette désactivation coïncide avec la modification du fichier hosts du système. En guise de dernier cadeau, Simda remplace le fichier hosts original par un nouveau qui provient de son propre corps.

La curiosité pourrait nous amener à nous poser la question suivante : en quoi cela est-il utile à l’opération ? Ces domaines ne sont plus utilisés pour créer des résultats de recherche, mais les ordinateurs infectés par Simda par le passé peuvent continuer à envoyer de temps à autres des requêtes HTTP vers des serveurs malveillants, même lors qu’un malware tiers exclusif est censé avoir été installé.

Il ne faut pas oublier que ces ordinateurs ont été infectés au départ via un kit d’exploitation qui reposait sur une vulnérabilité dans un logiciel auquel aucun correctif n’avait été appliqué. Il est très probable qu’un malware tiers sera éliminé après un certain temps, mais il peut arriver qu’un utilisateur peu attentif n’actualise jamais son logiciel vulnérable.

Si ces hôtes ne cessent de revenir vers les serveurs malveillants et de demander des ressources Internet comme des fichiers javascript, les criminels peuvent utiliser les mêmes codes d’exploitation pour réinfecter les ordinateurs et les vendre à nouveau, peut-être même "en exclusivité" au client original. Ceci confirme à nouveau que même les criminels ne peuvent pas faire confiance aux criminels.

Dans le cadre de cette enquête, Microsoft et plusieurs autorités judiciaires et policières ont déployé la technique du sinkhole tandis que Kaspersky Lab a contribué volontairement aux préparatifs de la mise hors service. Ce travail a porté notamment sur l’analyse technique du malware, la collecte de statistiques sur les infections, l’orientation sur la stratégie à adopter contre le réseau de zombies et les conseils fournis à nos partenaires d’INTERPOL.

Kaspersky Lab a détecté le bot Simda sous le nom Backdoor.Win32.Simda et d’après nos estimations qui reposent sur les statistiques de KSN et les données de télémétrie de nos partenaires, il aurait infecté des centaines de milliers de victimes à travers le monde.

Simda est créé automatiquement à la demande et ce détail est confirmé par l’absence du moindre ordre dans l’édition des liens/la compilation. Vous trouverez ci-dessous un graphique généré au départ d’un petit sous-ensemble d’environ 70 échantillons aléatoires de Simda :

Samples link times in UTC timezone

L’augmentation de l’édition des liens est plus que probablement liée à l’activité de la majorité des victimes de Simda qui se trouvent entre les fuseaux horaires TU-9 et TU-5, ce qui inclut les Etats-Unis.

Grâce à la technique du sinkhole et au partage de données entre les partenaires, nous avons créé une page qui permet de vérifier si votre adresse IP s’est connectée dans le passé à des serveurs de commande de Simda. Si vous pensez que votre ordinateur a été infecté, vous pouvez utiliser une de nos solutions gratuites ou d’évaluation pour analyser l’ensemble de votre disque dur ou installer Kaspersky Internet Security pour une protection à plus long terme.

A l’heure actuelle, les produits de Kaspersky Lab détecte des centaines de milliers de modifications de Simda avec de nombreux malwares tiers différents distribués lors de la campagne Simda.

References:

Simda joue à cache-cache : un jeu pour adultes

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception