Articles

[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.

Nouvelles vagues de rançongiciels : comportement, conseil, solution

Les actes de cybercriminalités se comptent en nombre et de façon récurrente. Beaucoup d’entreprises, d’administrations ou de commerces sont victimes de cyberattaques. Parmi ces attaques nous trouvons des logiciels malveillants comme les rançongiciels. Pour citer l’ANSSI, « c’est une technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. »

Ces rançongiciel sont de plus en plus présents en ce moment et se renouvellent. Actuellement les alertes portent sur le rançongiciel Locky qui se propage via un e-mail de relance qui contient une facture sous le format Word. Ce serait ce même logiciel qui aurait attaqué il y a quelques jours un centre hospitalier américain, perturbant et endommageant considérablement ses activités.

http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php

http://www.lemonde.fr/pixels/article/2016/02/18/un-hopital-americain-paye-une-rancon-a-des-pirates-informatiques_4867296_4408996.html

Malheureusement ce type de logiciel malveillant n’est pas nouveau et s’inspire même de maliciels déjà connus comme le trojan bancaire Dridex. Plusieurs campagnes de prévention avaient été déployées suite à l’identification de ce maliciel par l’ANSSI notamment, mais également par Cyberprotect, service de contrôle et de prévention en continu de la cybersécurité en entreprise :

https://www.cyberprotect.fr/bulletin-dalerte-Cyberprotect-campagne-courriel-malveillant-trojan-bancaire-dridex/

La principale raison d’être et/ou motivation de ces cyberattaques est d’extorquer de l’argent à leur victime, comme ce fut le cas pour cet hôpital américain cité plus haut qui a dû s’acquitter de 17 000 dollars de rançon pour pouvoir rétablir son activité. Et ce n’est qu’une victime parmi d’autres. La propriété intellectuelle de l’entreprise est également visée par ce type d’attaque.

Se pose maintenant la question : comment se prémunir contre ces cyberattaques ?

Une première chose est de ne pas cliquer sur un lien ou d’ouvrir une pièce jointe dont on ne connait pas la provenance. Maintenir le système d’exploitation ainsi que les antivirus à jour est également une bonne pratique. Toutefois, avec le volume de données échangées, il est devenu plus difficile d’éviter ces attaques dont les techniques d’infection se font toujours plus subtiles et discrètes.

Des solutions existent pour contrôler l’efficacité de votre sécurité et les comportements sur votre réseau comme le propose le service Cyberprotect. Par l’analyse du comportement sur votre réseau, Cyberprotect est capable de détecter une malveillance (non connue par les antivirus). Lorsque ce comportement anormal est détecté, l’alerte est immédiatement envoyée au centre d’opération Cyberprotect qui interviendra alors sur cet événement. Par la suite, et en attendant que les éditeurs d’antivirus fournissent des signatures, de nouvelles règles de comportement sont créées et communiquées aux clients Cyberprotect pour être appliquées en prévention de l’attaque identifiée.

[MàJ 01/07/2015] – [Bulletin d’alerte Cyberprotect] Campagne courriel malveillant – Trojan Bancaire Dridex

MàJ 04/08/2015

La menace reste toujours d’actualité. Les envois envoi de courriels malveillants continue.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/*.php  » (où * est une variable aléatoire) .

Dans le cas où le service « Pastebin..com » n’est pas utilisé il est recommandé de bloquer ce site sur les différents équipements de sécurité.

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.


 

MàJ 01/07/2015

La menace reste toujours élevée à ce jour. Une nouvelle vague d’envoi de courriel malveillant a eu lieu en ce début de semaine.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/get*.php  » (où * est une variable aléatoire) .

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.

Lire la suite

Comment un courriel reçu peut bloquer toute l’entreprise, retour d’expérience

Voici un retour d’expérience fait par nos équipes sur les évènements qui ont pu se produire ces deux dernières semaines chez nos clients et qui illustrent parfaitement la nécessité de maintenir une vigilance particulière sur ce qu’il se passe sur les réseaux d’entreprises.

Tout commence par l’envoi d’un courriel d’apparence légitime faisant croire à un problème sur le traitement d’une demande qui aurait été faite. L’utilisateur est invité à consulter le dossier en question dans une pièce jointe dans laquelle se trouve un fichier malveillant.

Un exemple de ce courrier a été analysé par le chercheur en sécurité Malekal (http://www.malekal.com/2013/11/22/stealer-spam-malicieux-en-francais/)

Comme on peut le constater dans l’article, seulement un antivirus détectait la pièce jointe comme étant frauduleuse (aujourd’hui quasiment tous les antivirus la détecte comme malveillante). Aussi, le fichier exécutable utilise un icône “PDF” le rendant moins dangereux aux yeux de l’utilisateur. Si l’affichage des extensions de fichiers n’est pas activé, on peut croire qu’il s’agit bien d’un PDF.

Attention, il faut noter qu’un fichier PDF requiert également une certaine prudence lors de son ouverture.

Une fois que l’utilisateur ouvre ce fichier malveillant, son poste de travail est immédiatement infecté. Cette compromission est totalement transparente pour l’utilisateur.

A partir de ce moment là, la machine tente de communiquer avec son serveur de Commande et Contrôle qui lui remet sa « liste de mission ». Au programme : envoyer du courrier indésirable (SPAM).

Il s’ensuit un envoi massif de courriel avec un rendement d’environ 100 messages par heure.

Les messages que nous avons pu relevés étaient des tentatives de hameçonnage (Phishing) faisant croire à un problème de carte bancaire lors d’un achat en ligne et invitant la future victime à se rendre sur un faux site aux couleurs d’une célèbre entreprise financière américaine (voir illustration ci-dessous).

 

Les conséquences pour l’entreprise ayant le poste infecté sur son réseau ne se fait pas attendre. En effet, la conséquence immédiate de cet envoi massif de « pourriel » est d’enregistrer l’adresse IP publique de l’entreprise dans les listes noires « publiques » (blacklist).

De ce fait, lorsqu’un courriel légitime est envoyé depuis le réseau de l’entreprise, celui-ci sera refusé par le serveur destinataire car il considère la provenance comme étant douteuse.

L’activité de l’entreprise peut ainsi être partiellement paralysée en quelques heures.

Nous avons également relevé le cas où un prestataire de service possédant une machine infectée par ce même malware se connectait au réseau de l’entreprise. Le résultat est le même, puisqu’il envoie des SPAM depuis le réseau de l’entreprise, l’adresse IP publique identifiée comme ayant un comportement malveillant est celui de l’entreprise.

On peut également noter, que la méthode d’infection peut varier. Bien que dans ce cas, la compromission du poste est “déclenché” par l’utilisateur qui ouvre un fichier compromis, l’infection peut également être faite sans action de l’utilisateur comme dans les cas de malvertising (voir http://labo.cyberprotect.fr/?p=1381)

Il faut donc détecter au plus vite l’infection afin d’éviter d’être black-listé mais également, lorsqu’il est trop tard, procéder au plus vite au retrait de l’adresse IP des listes noires.

Il est rappelé par cette occasion qu’il faut être vigilant avec les courriels que l’on reçoit et particulièrement lorsque des pièces jointes y sont attachées. Comme nous pouvons le constater dans cet exemple, bien qu’il soit un élément de base de la sécurité, l’antivirus n’est pas suffisant pour maintenir à lui seul un niveau de sécurité suffisant, cela au regard de la complexité et de la diversité des menaces et vulnérabilités actuelles qui pèsent sur un système d’information.

Un Trojan Android capable d’envoyer des attaques de type DDoS et de recevoir des instructions par SMS

L’éditeur d’antivirus Dr Web a découvert un nouveau programme malveillant pour Android capable d’effectuer des attaques de type DDoS et de recevoir des instructions par SMS.

Après l’installation du Malware Android.DDoS.1.origin, ce dernier créé une icône similaire à celle de Google Play. Lorsqu’on clique sur l’icône, Google Play se lance normalement mais le Malware s’active à l’insu de l’utilisateur.

Une fois lancé, le Cheval de Troie tente de se connecter à un serveur distant et, en cas de succès, il transmet le numéro de téléphone compris à son Centre de Commande et de Contrôle (C&C) puis attend de nouvelles commandes via SMS.

Si les cybercriminels souhaitent lancer une attaque DDoS, il leur suffit d’envoyer au smartphone une commande contenant le paramètre [server : port]. Dès réception, le Malware commence à lancer des paquets de données à l’adresse spécifiée.

Le Malware est détectable par son impact sur les performances de l’appareil infecté (vitesse de connexion, batterie…) et sur les coûts qu’il peut engendrer suite à l’envoi des SMS (surtout s’ils sont à destination de numéros surtaxés) et à la consommation de bande passante.

La méthode de contamination reste encore à découvrir mais la thèse de l’ingénierie sociale est en position pour les analystes de l’éditeur d’antivirus.

[Source]

 

Une nouvelle variante de backdoor pour Mac OS X utilisée dans des attaques APT

Selon l’étude réalisée par Costin Raiu, les attaques APT détectées consistent en l’envoi d’e-mails ciblant des activistes ouïghours et comportant en pièce jointe un fichier ZIP. Ce fichier renferme une photo au format JPG mais aussi un logiciel malveillant de type « backdoor ». Il s’agit en fait d’une nouvelle version, encore essentiellement non détectée, du backdoor MaControl, qui s’attaque aussi bien aux Mac à processeurs i386 que PowerPC (les systèmes de Kaspersky Lab détectent celle-ci sous l’appellation « Backdoor.OSX.MaControl.b »). Lorsque l’application est lancée, le logiciel malveillant s’installe dans le système et se connecte à un serveur de commande et de contrôle pour recevoir ses instructions. Le backdoor permet à celui qui le pilote de consulter la liste des fichiers, d’en transférer et, plus généralement, d’exécuter des commandes sur la machine infectée.

Alors que les Mac sont de plus en plus utilisés, notamment par des cibles de renom, nous prévoyons une augmentation en conséquence du nombre des attaques APT sous Mac OS X. Les attaques précédentes exploitaient des failles de MS Office (Exploit.MSWord.CVE-2009-0563.a.). Celle décrite ici emploie des techniques de « social engineering » pour inciter l’utilisateur à exécuter le logiciel malveillant. Tout comme dans les malwares sur PC, la combinaison d’exploitation de vulnérabilités et de techniques de « social engineering » est généralement la plus efficace. Il ne serait donc pas surprenant d’assister prochainement à un pic de ce type d’attaques.

[Source : http://newsroom.kaspersky.eu/fr]

Flame : un outil à la pointe du Cyber-espionnage ?

Après Stuxnet et sont petit frère Duqu, la famille des malwares spécialisés dans le cyber-espionnage de qualité s’agrandie avec Flame. Découvert par Kaspersky, Flame est déjà présenté comme un logiciel sophistiqué et dangereux.

Ce malware est une plate-forme capable de recevoir et d’installer des modules différents pour des objectifs différents. Ainsi, il s’agit d’une sorte de logiciel personnalisable et évolutif en fonction des besoins.

On l’apparente à un Trojan car il ouvre une porte dérobée mais à également les caractéristiques d’un ver informatique puisqu’il peut se dupliquer sur un réseau local et via des supports amovibles.

Parmi les fonctions relevées, on trouve des fonctions de surveillance du réseau, de scan de disque, de capture d’écran, de prise du son à partir de micro. Bien que l’on ne connaisse pas encore son mode de propagation, il est déjà identifié qu’il peut être transmis par l’intermédiaire de dispositifs amovibles tels que les clés USB.

Il est fort envisageable que Flame ait été développé par une organisation Étatique puisque son niveau de complexité est fort.

Un outil permettant sa détection a été envoyé à des organismes et entreprises afin de dresser un premier bilan de propagation. La zone géographique ciblée semble être principalement l’Iran et le Moyen-Orient mais d’autres régions du monde peuvent être concernées .

[Source]

 

600.000 machines sous Mac OS infectées par le Malware Flashback

Plus de 600.000 Mac ont été infectés par le Trojan Flashback selon différents experts en sécurité dont 5000 pour la France.

Flashback fait parti d’une famille de logiciels malveillants apparu en Septembre 2011 et visant les systèmes d’exploitation Mac OS. Les premières versions se sont appuyées sur des astuces d’ingénierie sociale pour infecter les machines, mais les dernières variantes sont distribuées via des exploits Java qui ne nécessitent pas forcément une interaction avec l’utilisateur.

Il y a 3 jours, Apple a publié une mise à jour Java pour corriger une vulnérabilité critique qui est exploitée pour infecter les ordinateurs Mac avec le cheval de Troie Flashback.

Cependant, un grand nombre d’utilisateurs ont déjà été touchés par ces attaques selon un rapport de Dr Web. Plus de 300.000 des Mac infectés, soit 56% du total, sont situés aux États-Unis, tandis que plus de 100.000 se trouvent au Canada. Le Royaume-Uni et l’Australie complètent le quatuor de tête avec respectivement 68000 et 32000 machines infectées.

La contamination peut se faire lors d’une simple visite d’un site Web compromis. Son objectif principal est la récupération d’informations sur la navigation : login, mots de passe, requête web ou toutes autres informations saisies lors de la navigation…

Lors de son exécution, le malware va demander à l’utilisateur son mot de passe administrateur. Qu’il soit saisi ou non, le malware tentera d’infecter le système mais le fait d’avoir entré le mot de passe aura une incidence sur la façon dont l’infection se déroulera.

Lors de l’exécution, le logiciel malveillant vérifie si le chemin d’accès suivant existe dans le système:

/ Bibliothèque / Little Snitch
/ Developer / Applications / Xcode.app / Contents / MacOS / Xcode
/  Applications / VirusBarrier X6.app
/ Applications / iAntivirus / iAntiVirus.app
/  Applications / avast!. App
/ Applications / ClamXav.app
/  Applications / HTTPScoop.app
/ Applications / paquet Peeper.app

Si l’un de ceux-ci est trouvé, le malware arrêtera de s’exécuter et procédera à sa suppression.

Si l’infection est réussie, le logiciel malveillant va modifier le contenu de certaines pages Web affichées par les navigateurs Web, les pages Web spécifiques ciblés et les modifications apportées sont déterminés sur la base des informations de configuration récupérées par le logiciel malveillant à partir d’un serveur distant.

Pour vérifier si votre machine est saine, il suffit d’ouvrir un terminal et taper les 3 commandes suivantes :

  • defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  • defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
  • defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si vous n’êtes pas infecté, vous aurez le message suivant pour chacune des requêtes

The domain/default pair of (…) does not exist

Retrouvez  les conseils pour la détection du Trojan [ici] et la méthode de nettoyage de la machine [ici]

Arrestation d’un gang Russe exploitant le malware Carberp

La police russe a arrêté un groupe de huit personnes soupçonnés de faire des millions de dollars de profit en œuvrant dans la fraude bancaire électronique.

Les hommes sont suspectés de faire partie d’un gang basé à Moscou visant les ressortissants russes et qui auraient ratissé 2 millions de dollars depuis Octobre 2011. Le groupe utilise le cheval de Troie Carberp et d’autres souches de malwares pour voler les informations de connexion des comptes bancaires en ligne. Les fonds provenant de quelques 90 comptes compromis ont été transférés vers des comptes appartenant aux cybercriminels avant que ces derniers ne les retirent à travers le réseau de distributeurs automatiques de billets.

Les suspects louaient un bureau à partir duquel l’arnaque était réalisée sous le couvert de l’exploitation d’une entreprise d’informatique légitime. Les services de police ont déclaré que lors de la perquisition des bureaux il a été récupéré du matériel informatique, un grand nombre de cartes bancaires, des documents falsifiés et l’équivalent de 257000 dollars.

Les cybercriminels ont été accusés de diverses infractions en vertu du code criminel russe couvrant le vol, le piratage informatique et la distribution de logiciels malveillants. La majorité des suspects ont été placés en résidence surveillée en attendant les procès, où ils font face à des accusations passibles de jusqu’à 10 ans derrière les barreaux s’ils sont reconnus coupables.

Un Trojan s’attaque aux fichiers DLL

Un Cheval de Troie, utilisant une technique intéressante pour ne pas être repéré par un logiciel Antivirus, a été détecté par les chercheurs de BitDefender.

Au lieu de s’ajouter à la liste de démarrage (comportement détectable par les Antivirus et utilisateurs avertis), le Trojan « Trojan.Dropper.UAJ » cible un fichier bibliothèque (comres.dll) couramment utilisé par un certain nombre de navigateurs populaires, d’applications et d’outils de communication réseau. Il le copie et le modifie à chaque fois que le malware est appelé à être exécuté pour enfin l’enregistrer dans le répertoire « Windows ».

Le malware tire avantage du fait que certaines applications précisent le nom du fichier DLL dont elles ont besoin pour fonctionner, au lieu d’utiliser le chemin d’accès complet à cette DLL. De ce fait, à chaque fois que le fichier légitime est appelé, c’est celui modifié par le malware qui est utilisé.

La Backdoor permet aux cybercriminels d’ajouter ou supprimer des comptes utilisateurs, modifier les mots de passe, ajouter ou supprimer des privilèges et de ce fait exécuter des programmes avec des privilèges élevés.