Un malware ouvre les portes aux espions

Les administrateurs d’Active Directory doivent être prêts à faire face aux actions anormales d’utilisateurs privilégiés suite à la découverte d’un malware capable de déjouer l’authentification à un facteur AD. Ce malware a été utilisé dans le cadre d’une campagne de cyberespionnage de grande envergure menée contre une grande société établie à Londres.

Les pirates, qui avaient déjà pu accéder au réseau de la société à l’aide d’un Trojan d’accès à distance, utilisent un malware pour voler les données des comptes d’utilisateurs internes afin de pouvoir dérober des données de la société et de récupérer leur butin sans attirer l’attention des spécialistes de la sécurité.

Les chercheurs de Dell SecureWorks n’ont pas nommé la société et ils n’ont offert aucun élément d’information sur l’identité ni l’emplacement des individus malintentionnés. Nous savons seulement qu’il ne s’agissait pas d’une opération criminelle et que certains des documents volés peuvent avoir de la valeur pour des personnes de la "région Pacifique".

D’après Don Smith, directeur des technologies chez Dell SecureWorks, ce malware n’est pas particulièrement persistant. Il s’installe comme un correctif dans la mémoire vive du contrôleur de domaine Active Directory et ne survit pas au redémarrage. Ceci étant dit, les contrôleurs de domaine Active Directory tels que ceux compromis par cette attaque ne sontš pas souvent redémarrés.

"Je ne pense pas qu’il s’agisse d’une erreur (des individus malintentionnés). Les individus impliqués auraient été capables de le rendre persistant" a déclaré Don Smith. L’absence de persistance caractérise la nature furtive de l’opération. Ils auraient pu le rendre persistant au redémarrage. Le fait est qu’il est hyper-discret et cela réduit les traces qu’il laisse. Ils comptent sur leurs positions dans d’autres segments du réseau et introduisent le malware chaque fois qu’ils en ont besoin."

Grâce à l’accès à Active Directory, les pirates peuvent sécuriser des combinaisons nom d’utilisateur-mot de passe et utiliser ces comptes pour exécuter la suite de l’attaque car ils seront authentifiés en tant qu’utilisateur légitime. Dans le cadre de la société londonienne, ils ont été découverts sur le réseau qui utilise l’authentification par mot de passe uniquement pour la messagerie en ligne et l’accès à distance via VPN. Une fois à l’intérieur, ils ont pu utiliser les utiliser les données des comptes volées sur des serveurs critiques, sur des postes de travail d’administrateur ou des contrôleurs de domaine pour l’installation du malware sur l’ensemble du réseau.

Dell SecureWorks a publié un rapport reprenant divers indices d’une infection et les signatures de la détection pour YARA. Plusieurs noms de fichiers étaient également associés au malware, dont un qui laisse supposer l’existence d’une ancienne version compilée en 2012.

Dell SecureWorks a également signalé que les individus malintentionnés, une fois dans le réseau, chargent le fichier DLL du malware sur un ordinateur déjà compromis et tentent d’accéder aux dossiers réseau d’administration sur les contrôleurs de domaine à l’aide de la liste des comptes administrateur volés. Si les comptes ne conviennent pas, ils installent des outils pour voler les mots de passe de la mémoire d’un autre serveur, poste de travail d’un administrateur de domaine ou des contrôleurs de l’ensemble du domaine. Une fois qu’ils ont obtenu accès au contrôleur, la DLL du malware est chargée et les individus malintentionnés utilisent l’utilitaire PsExec pour l’insertion à distance du correctif du malware et l’exécution à distance du DLL malveillant sur les contrôleurs de l’ensemble du domaine. Les individus malintentionnés utilisent ensuite le hash du mot de passe NTLM pour l’authentification en tant qu’utilisateur lambda.

L’absence de persistance n’est pas le seul élément considéré comme une faiblesse du malware. Son installation génère des problèmes au niveau de la réplication du contrôleur de domaine AD dans les bureaux régionaux, ce qui requiert leur redémarrage. D’après Don Smith, les redémarrages fréquents indiquent que les individus malintentionnés réinstallent le malware. Ceci et la présence de PsExec ou de TaskScheduler constituent l’activité anormale qui peut être détectée.

"Il s’agissait simplement de récolter des mots de passe. Dès qu’ils avaient injecté le hash, ils pouvaient accéder à n’importe quel ordinateur du réseau en saisissant n’importe quel nom d’utilisateur et mot de passe. Ces individus malintentionnés utilisent un accès à distance pour l’authentification. Je pense que cela caractérise cette attaque comme une opération de cyberespionnage à long terme. Ils visent de nombreuses informations sur les victimes et tentent d’éviter la détection pendant le plus longtemps possible. Toutes les activités d’espionnage sont réalisées sous un utilisateur habituel. Le problème est que la partie qui veut se défendre doit rechercher tout comportement anormal des utilisateurs, ce qui n’est pas une mince affaire" explique Don Smith.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *