ZeuS x64 : à Tor et à cri

Magazine
Marque
MISC
Numéro
71
|
Mois de parution
janvier 2014
|
Domaines


Résumé
Comme de plus en plus d'utilisateurs passent aux plateformes Windows 64 bits, il en va de même pour les logiciels malveillants. Ceci est également vrai pour le malware bancaire ZeuS. Cette évolution n'était probablement pas nécessaire vu que la majorité des gens utilisent encore des navigateurs 32 bits même sous systèmes 64 bits et que la fonctionnalité principale de ZeuS consiste à modifier les sites bancaires localement par injection de code HTML/JAVASCRIPT.

Body

Cependant, nous avons détecté une souche de ZeuS 32 bits qui contient aussi une version 64 bits à l'intérieur. De plus, cette version fonctionne via Tor. Cela pourrait bien être l'avenir de cette famille de logiciels malveillants. Fait intéressant, la plupart des cibles stockées dans le fichier de configuration du malware correspondent au TLD (Top Level Domain) « CH »(Suisse), apparemment dans le secteur bancaire.

Cet article décrit tout ce que nous savons à propos de cette nouvelle version. La majorité de l'analyse a été effectuée par mon collègue Dmitry Tarakanov.

1. Caractéristiques

Cette variante de ZeuS implémente toutes les fonctionnalités habituelles des malwares de cette famille. À l'intérieur du binaire, il est indiqué qu'il s'agit de la version 3.0.0, mais cette information n'est pas vraiment pertinente, car très souvent erronée. La version 32 bits du malware, qui contient la version 64 bits à l'intérieur, vérifie le processus cible dans lequel il souhaite injecter du code malveillant. S'il s'agit d'une application 64 bits, ZeuS injecte la version 64 bits dans le processus, sinon il injecte la version 32 bits habituelle. Nous avons testé cela avec une version 64 bits d'Internet Explorer et les injections ont fonctionné parfaitement. La deuxième caractéristique notable est que toutes les communications entre les victimes et le serveur de commande et de contrôle (C & C) sont envoyées à travers Tor.

Le reste des fonctionnalités de cette version est identique aux versions précédentes du malware ZeuS. Tous les fichiers déposés par le malware sont stockés dans des dossiers avec des noms générés aléatoirement à l'intérieur du répertoire %AppData% .

installation

Fig. 1 : Répertoires d'installation de ZeuS.

Comme pour les versions précédentes, la persistence passe par la base de registre :

registry

Fig. 2 : Modification dans la base de registre pour assurer la persistance.

2. Pourquoi migrer?

La migration vers une nouvelle version 64 bits de ce malware a du demander un certain effort. Était-ce vraiment nécessaire pour les criminels? Selon les statistiques de Kaspersky Lab, l'utilisation de la version 64 bits d'Internet Explorer n'est pas significative. D'après nos statistiques, voici l'utilisation des différentes versions de Windows :

OS

Fig. 3 : Statistiques d'utilisation des différentes versions de Windows.

3. Bugs

Il semblerait qu'il existe quelques bugs dans la version 64 bits de ZeuS. Par exemple, nous avons trouvé un bug lorsque ZeuS injecte son code 64 bits dans la version 64 bits de EMET Notifier : le processus ciblé plante.

Cela est dû à des erreurs de calcul d'adresses de certaines fonctions. Quand ZeuS est injecté dans l'application EMET notifier, il tente d'appeler la fonction WSAStartup. Cependant, la variable qui doit contenir une adresse de fonction pointe sur de la mémoire non allouée. Cela génère donc une exception « violation d'accès » et arrête le processus.

emet

Fig. 4 : Bug lors de l'injection dans le processus Emet Notifier.

Le code source de ZeuS 2.0.8.9 a été divulgué en mai 2011. Nous croyons que cette version de ZeuS est plus proche de la version de 2011 que d'autres branches de ce malware, y compris la Citadelle. Dans le cas de la Citadelle, il existe une protection pour rendre le téléchargement du fichier de configuration impossible depuis le C & C, même avec l'URL correcte. Dans cette version x64, le C&C n'a aucune protection en ce sens. La connaissance de l'URL exacte du fichier de configuration permet son téléchargement. Le fichier de configuration comprend également une liste des programmes contenant des informations intéressantes à voler pour le malware. En voici une liste non exhaustive :

bitcoin-qt.exe, tiny.exe, ibank2.exe, putty.exe, winscp.exe, filezilla.exe, openvpn-gui.exe, openvpn.exe, CliBank.exe, CliBankOnlineUa.exe, CliBankOnlineRu.exe, CliBankOnlineEn.exe, bnk.exe, budget.exe, cbank.exe, edealer.exe, iwallet.exe, jscashmain.exe, mmbank.exe, payments.exe, paymmaster.exe, pinpayr.exe, pkimonitor.exe, rtcert.exe, upofcards.exe, webmoney.exe, etc.

5. TOR

Cette version de ZeuS embarque la version 0.2.3.25 du binaire tor.exe. Tor n'est pas lancé directement, mais injecté dans le process « svchost.exe » une fois celui-ci suspendu. Une fois l'injection et l'initialisation terminées, l'exécution de svchost.exe reprend. L'utilitaire Tor s'exécute alors dans ce processus et crée un serveur proxy HTTP en écoute sur le port TCP 9050.

tor

Fig. 5 : Port ouvert par le proxy Tor une fois injecté dans le process « svchost.exe ».

Le serveur C&C pour cette version de ZeuS est dans le domaine oignon suivant : egzh3ktnywjwabxb.onion. Toutes les communications du malware se font à travers ce proxy et le réseau Tor. En outre, cette version de ZeuS crée un service caché Tor sur la machine infectée. La configuration suivante est utilisée :

- HiddenServiceDir "% APPDATA% \ Tor \ hidden_service"

- HiddenServicePort "1080 127.0.0.1: port

- HiddenServicePort "5900 127.0.0.1: port

« HiddenServiceDir » définit l'emplacement de la configuration du service caché, et « HiddenServicePort » comment rediriger les utilisateurs se connectant au domaine oignon du serveur serveur Web s'exécutant localement.

Le port mapping vers des ports locaux aléatoires est fait parce que ZeuS crée un répertoire de configuration Tor pour chaque machine infectée et génère une clé privée unique pour le service caché et le nom de domaine. Ceci permet notamment un mapping vers des ports locaux aléatoires. Tor est configuré de telle sorte qu'il utilise pour chaque domaine oignon une clé privée et un service caché unique différent.

6. Conclusion

Quel que soit le but de l'auteur de cette nouvelle version (Marketing ou les bases pour l'avenir) une version 64 bits de ZeuS existe enfin. C'est certainement une nouvelle étape dans l'évolution de la famille ZeuS, après les modules pour différents OS mobiles. De plus, cet échantillon comprend une autre caractéristique intéressante que nous avions déjà vu auparavant, mais dans des malwares sans grandes ambitions : la capacité de communiquer à travers le réseau Tor avec des domaines oignon pour le C&C est certainement un problème sérieux pour la lutte contre cette famille de malware. Il devient plus difficile de fermer les C&C.

Jusqu'à présent, la version 64 bits est toujours distribuée à l'aide de la version 32 bits. Nous supposons que la faible utilisation de navigateurs 64 bits est en partie responsable de ce choix. Toutefois, avoir un malware capable d'infecter les machines 32 et 64 bits est un avantage certain pour les criminels, leur offrant la possibilité de cibler une partie des utilisateurs jusque-là épargnés.


Sur le même sujet

Stack Buffer Overflow

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Cet article retrace un historique des stack buffer overflow tels qu'ils étaient exploités au début des années 2000 puis passe en détail les protections logicielles et matérielles qui ont été mises en œuvre pour les faire disparaître, ainsi que les mesures créées par les attaquants pour les contourner.

Les enjeux de sécurité autour d’Ethernet

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Quand nous parlons attaque, cela nous évoque souvent exploit, faille logicielle, ou même déni de service distribué. Nous allons revenir à des fondamentaux réseaux assez bas niveau, juste après le monde physique, pour se rendre compte qu’il existe bel et bien des vulnérabilités facilement exploitables par un attaquant. Nous verrons également qu’il existe des solutions pour s’en protéger.

Partagez vos fichiers volumineux facilement et de manière sécurisée avec Firefox Send

Magazine
Marque
Linux Pratique
Numéro
120
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Firefox Send est un service de Mozilla de partage de fichiers en ligne. Pour des utilisateurs non techniques, qui ne sauraient pas utiliser un serveur FTP ou tout autre partage réseau, c’est une très bonne alternative web pour mettre en ligne des fichiers volumineux de manière simple. Il existe déjà de nombreux services similaires, parfois gratuits et souvent propriétaires. Dans cet article, nous allons voir comment utiliser ce service pour partager de manière sécurisée vos fichiers, et surtout pour héberger votre instance.

Introduction à Zero Trust 

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

La sécurité informatique adore les modes. Le « Zero Trust » fait partie de ces concepts qui sont devenus populaires du jour au lendemain. Et comme le sexe chez les adolescents, « tout le monde en parle, personne ne sait réellement comment le faire, tout le monde pense que tous les autres le font, alors tout le monde prétend le faire* ».

Anti-leurrage et anti-brouillage de GPS par réseau d’antennes

Magazine
Marque
MISC
Numéro
110
|
Mois de parution
juillet 2020
|
Domaines
Résumé

La localisation, la navigation et le transfert de temps (PNT) par constellation de satellites, et notamment le Système de Positionnement Global (GPS), sont devenus omniprésents dans notre quotidien. Le brouillage – volontaire ou non – et le leurrage de ces signaux très faibles sont désormais accessibles à tout le monde, mais les subir n’est pas une fatalité : nous allons aborder les méthodes pour se protéger de tels désagréments afin de retrouver les services d’origine en annulant ces interférants par une approche multi-antennes.

L’empoisonnement de cache DNS : toujours d’actualité ?

Magazine
Marque
MISC
HS n°
Numéro
21
|
Mois de parution
juillet 2020
|
Domaines
Résumé

Le Domain Name System (DNS) est l’un des protocoles réseau centraux au bon fonctionnement de l’Internet moderne. Ce protocole permet la résolution de noms « symboliques » – les noms de domaine – en des ressources, notamment des adresses IP. Malgré son omniprésence dans notre quotidien, sa sécurisation a été incrémentale et laborieuse. Cet article traite d’une attaque aussi vieille que le DNS, l’empoisonnement de cache, contre laquelle les dernières avancées, comme DNS-over-HTTPS, pourraient permettre de se protéger enfin complètement. Ou le pourront-elles ?

Par le même auteur

ZeuS x64 : à Tor et à cri

Magazine
Marque
MISC
Numéro
71
|
Mois de parution
janvier 2014
|
Domaines
Résumé
Comme de plus en plus d'utilisateurs passent aux plateformes Windows 64 bits, il en va de même pour les logiciels malveillants. Ceci est également vrai pour le malware bancaire ZeuS. Cette évolution n'était probablement pas nécessaire vu que la majorité des gens utilisent encore des navigateurs 32 bits même sous systèmes 64 bits et que la fonctionnalité principale de ZeuS consiste à modifier les sites bancaires localement par injection de code HTML/JAVASCRIPT.

Red October : les modules pour mobiles

Magazine
Marque
MISC
Numéro
68
|
Mois de parution
juillet 2013
|
Domaines
Résumé
En octobre 2012, l’équipe d’experts de Kaspersky Lab a mené une enquête à la suite d’une série d’attaques contre des réseaux informatiques ciblant des services diplomatiques internationaux. L’enquête a permis de mettre à jour et d’analyser un réseau de cyberespionnage à grande échelle. L’opération « Red October » aurait débuté en mai 2007 et se poursuivait encore en janvier 2013 lors de la publication de notre premier rapport.Le principal objectif des assaillants était de recueillir des renseignements auprès des organismes compromis. Les informations obtenues sur les réseaux infectés étaient souvent réutilisées pour s’introduire dans d’autres systèmes (liste d’identifiants collectés, etc.). Pour piloter le réseau des machines infectées, les auteurs des attaques ont créé plus de 60 noms de domaines et ont utilisé plusieurs serveurs hébergés dans différents pays, dont la majorité en Allemagne et en Russie.Outre les cibles traditionnelles (postes de travail), le système est capable de voler des données à partir d'appareils mobiles (iPhone, Nokia, Windows Mobile), d’équipements réseau d'entreprise (Cisco) et de disques amovibles (y compris les données déjà supprimées via une procédure de récupération).Cet article s’intéresse à la partie mobile de Red October.Avant de présenter les modules pour mobiles, nous allons voir comment ceux-ci sont installés sur la machine cible.

La menace fantôme

Magazine
Marque
MISC
Numéro
61
|
Mois de parution
mai 2012
|
Domaines
Résumé
Au début du mois de mars, nous avons reçu un rapport d'un chercheur indépendant sur des infections en masse d'ordinateurs d'entreprises, suite à la visite de sites (légitimes) d'actualités russes. Les symptômes étaient les mêmes dans chaque cas : apparition de requêtes vers des sites tiers et création de fichiers incompréhensibles (probablement) sur les machines.Le mécanisme d'infection utilisé par ce logiciel malveillant s'est avéré très difficile à identifier. Les sites utilisés pour propager l'infection étaient hébergés sur différentes plates-formes et avaient des architectures différentes. L'utilisation d'une faille commune était alors écartée. De plus, il était impossible de reproduire les infections.Toutefois, nous avons trouvé un point commun à tous ces sites d'actualités.

Analyse de Trojan.AndroidOS.Dogowar.a

Magazine
Marque
MISC
Numéro
58
|
Mois de parution
novembre 2011
|
Domaines
Résumé
Les menaces sur téléphones mobile sont en forte progression. Nous comptions trois nouvelles menaces par jour au mois de mars 2011. Nous en sommes à plus de dix par jour au mois de septembre 2011. Nous sommes encore loin des plus de 70 000 nouvelles menaces par jour que l'on retrouve sur PC, mais la croissance est rapide.La plateforme Android est la plus ciblée à l'heure actuelle. 28 % des malwares détectés ciblent Android. Le Java pour mobile (J2ME) reste en tête du classement (plus pour très longtemps) avec un peu plus de 50 % des menaces, alors que celles pour Symbian OS ne représentent plus que 13 % (statistiques basées sur le nombre de signatures du produit Kaspersky Mobile Security).La tendance montre clairement qu'Android est une plateforme de choix pour les criminels.Nous allons voir l'analyse d'une des nouvelles menaces pour Android. Cette fois, il ne s'agit pas de profit ni d'espionnage. « Trojan.AndroidOS.Dogowar.a » pourrait être comparé aux vieux malwares sur PC qui défendaient des causes. Nous allons voir cela en détail.

Les faux antivirus débarquent sur Mac OS X !

Magazine
Marque
MISC
Numéro
57
|
Mois de parution
septembre 2011
|
Domaines
Résumé
Les faux antivirus (Rogue AV) sont présents depuis de nombreuses années et tentent d'effrayer les utilisateurs en leur faisant croire que leurs machines sont infectées. Depuis mai 2011, ces menaces ont débarqué sur Mac OS X.Dans cet article, nous verrons le vecteur d'infection et l'analyse des algorithmes d'enregistrement des licences utilisés par ces produits factices.

Le retour de Gpcode

Magazine
Marque
MISC
Numéro
55
|
Mois de parution
mai 2011
|
Domaines
Résumé
25 mars 2011, alors que vous surfiez tranquillement sur Internet, le fond d'écran de votre Windows change et Notepad s'ouvre soudainement pour vous informer que tous vos fichiers personnels ont été chiffrés à l'aide de cryptographie forte (RSA 1024) et qu'il est impossible de les récupérer sans payer 125 dollars en carte pré-payée. Vous ne rêvez pas, vous êtes la victime du nouveau Gpcode.