Des chercheurs en sécurité diffusent pendant six mois un “vaccin” anti Emotet

Des chercheurs en sécurité diffusent pendant six mois un

La plupart du temps, la lutte contre les logiciels malveillants est un jeu perdu d’avance. Leurs auteurs créent le code, le distribuent aux victimes par diverses méthodes, et le temps que les entreprises de sécurité rattrapent leur retard, les attaquants ont le temps d’apporter des modifications à leur code pour reprendre l’avantage.

Il en est ainsi depuis la fin des années 80, lorsque les logiciels malveillants sont apparus pour la première fois. Et, malgré les affirmations de la plupart des entreprises de sécurité, il y a peu de raison que cela change.

Malgré tout, il arrive de temps en temps qu’une bonne nouvelle soit annoncée par des chercheurs en sécurité ou les autorités. Les créateurs de logiciels malveillants peuvent aussi faire des erreurs et se faire arrêter, ou bien des efforts coordonnés à grande échelle parviennent à faire tomber des réseaux botnet importants.

Cependant, toutes les opérations de lutte contre les logiciels malveillants ne peuvent pas être entravées de cette façon. Certains cybercriminels résident dans des pays qui n’extradent pas leurs citoyens ou ont une solide connaissance de ce qu’ils font.

publicité

Emotet

Emotet est l’un des groupes qui cochent les deux cases. Considéré comme opérant depuis les anciens Etats soviétiques, il est également l’un des groupes de malwares les plus compétents d’aujourd’hui, ayant perfectionné le modèle “Infect and rent access” (“compromettre et revendre les accès obtenus”, NDLR) comme aucun autre groupe.

Le malware, qui a été vu pour la première fois en 2014, a évolué d’un cheval de Troie bancaire sans importance à un véritable couteau suisse malveillant qui, une fois les victimes infectées, se propage latéralement sur l’ensemble d’un réseau, vole toutes les données sensibles, puis se retourne et loue l’accès aux machines infectées à d’autres groupes.

Aujourd’hui, Emotet effraie les départements informatiques des entreprises du monde entier et donne du fil à retordre au secteur de la cybersécurité.

Le bug d’Emotet

Mais sous le capot, Emotet n’est qu’un logiciel comme les autres. Et en tant que tel, il a aussi des bugs.

Dans le secteur de la cybersécurité, exploiter les bugs de logiciels malveillants revient à franchir une ligne, une ligne que de nombreuses entreprises de sécurité se refusent à franchir, de peur de nuire accidentellement aux ordinateurs infectés.

Cependant, il arrive parfois qu’un bug rare apparaisse, qui se révèle à la fois sûr à exploiter et capable d’avoir des conséquences dévastatrices pour le logiciel malveillant lui-même.

Un de ces bugs a été découvert au début de l’année par James Quinn, un analyste de logiciels malveillants travaillant pour Binary Defense.

Le fait que ce chercheur ait découvert le bug n’est pas un hasard. Ces dernières années, son travail principal a été de traquer Emotet et de garder un œil sur ses activités, à la fois dans le cadre de son travail, mais aussi en tant que passe-temps personnel au sein du groupe Cryptolaemus [Lire l’histoire du groupe Cryptolaemus et de sa traque d’Emotet].

En février, alors qu’il parcourait les mises à jour quotidiennes d’Emotet, James Quinn a remarqué un changement dans le code d’Emotet, dans l’une des charges utiles que le botnet Emotet diffusait en masse sur internet. Il concernait le “mécanisme de persistance” du logiciel, la partie du code qui permet au malware de survivre aux redémarrages du PC. Le chercheur a remarqué qu’Emotet créait une clé de registre Windows et y sauvegardait une clé de chiffrement XOR.

emotet-registry-key.png

Image : Binary Defense

Mais cette clé de registre n’a pas seulement été utilisée pour la persistance, explique le chercheur dans un rapport. La clé était également utilisée dans de nombreux autres contrôles de code du logiciel, y compris sa routine pré-infectieuse.

EmoCrash entre en scène

Par tâtonnements, et grâce aux mises à jour ultérieures d’Emotet qui ont affiné le fonctionnement du nouveau mécanisme de persistance, James Quinn a pu mettre au point un minuscule script PowerShell qui exploite le mécanisme de clé de registre pour faire crasher le malware lui-même.

Le script, astucieusement nommé EmoCrash, scanne l’ordinateur d’un utilisateur et génère une clé de registre Emotet valide, mais malformée.

Lorsque le chercheur a essayé d’infecter délibérément un ordinateur avec Emotet, la clé de registre malformée a déclenché un débordement de la mémoire tampon dans le code d’Emotet, et a fait planter le logiciel malveillant, empêchant les utilisateurs d’être infectés.

Lorsque le chercheur a exécuté EmoCrash sur des ordinateurs déjà infectés par Emotet, le script a remplacé la bonne clé de registre par celle qui était malformée, et lorsque Emotet revérifiait la clé de registre, le malware plantait également, empêchant les appareils infectés de communiquer avec le serveur de commande et de contrôle d’Emotet.

James Quinn avait donc créé à la fois un vaccin Emotet et un killswitch. Mais il ne s’est pas arrêté là.

« Deux journaux de crash apparaissaient avec les ID d’événements 1000 et 1001, qui pouvaient être utilisés pour identifier les terminaux avec du code Emotet désactivé ou mort », a précisé le chercheur. En d’autres termes, si EmoCrash est déployé sur un réseau, il peut permettre aux administrateurs système de scanner ou de mettre en place des alertes pour ces deux identifiants d’événements, et de découvrir immédiatement quand et si Emotet a infecté leurs réseaux.

EmoCrash entre les mains des défenseurs

L’équipe de Binary Defense a rapidement compris que les informations sur cette découverte devaient être gardées totalement secrètes, pour empêcher le groupe Emotet de réparer leur code. En même temps, il fallait aussi qu’EmoCrash se fraie un chemin jusqu’aux mains des entreprises du monde entier.

Contrairement à de nombreuses grandes entreprises de cybersécurité, qui ont toutes des décennies d’histoire derrière elles, Binary Defense a été fondée en 2014 et, bien qu’elle soit l’une des entreprises les plus prometteuses du secteur, elle n’avait pas encore l’influence et les connexions nécessaires pour y parvenir sans que la nouvelle de cette découverte ne se répande.

Pour ce faire, Binary Defense a travaillé avec Team CYMRU, une société qui a une longue histoire d’organisation et de participation au démantèlement de réseaux botnets.

Travaillant en coulisses, l’équipe CYMRU s’est assurée qu’EmoCrash se retrouve entre les mains des équipes d’intervention d’urgence informatique (CERT), qui l’ont ensuite diffusé auprès des entreprises dans leurs juridictions respectives. Depuis six mois, l’outil fait son chemin à travers le monde.

Un outil efficace

Lors d’un entretien téléphonique, le directeur principal de Binary Defense, Randy Pargman, explique que l’outil n’inclue pas de module de télémétrie, afin de ne pas dissuader les entreprises de l’installer sur leurs réseaux.

Binary Defense ne saura peut-être jamais combien d’entreprises ont installé EmoCrash, mais le directeur précise que l’entreprise reçoit de nombreux messages d’entreprises qui ont empêché des attaques ou découvert des incidents en cours.

Cependant, Randy Pargman et James Quinn estiment que l’outil a eu au moins un certain impact sur Emotet, car il a contribué à réduire le nombre de machines infectées à la disposition des opérateurs d’Emotet.

Emotet corrige son code

Binary Defense ne pense pas que le groupe Emotet a découvert son outil, mais il est fort probable que le groupe a senti que quelque chose n’allait pas. Depuis février et au cours des mois qui ont suivi, Emotet a fait l’objet de plusieurs nouvelles versions et de modifications de son code. Aucune n’a permis de résoudre le problème.

Le groupe Emotet a fini par y parvenir, par accident ou grâce à des analyses. Le malware a modifié complètement son mécanisme de persistance le 6 août, soit six mois après la découverte de James Quinn.

EmoCrash n’est peut-être plus utile à personne, mais pendant six mois, ce minuscule script PowerShell a aidé les organisations à garder une longueur d’avance sur le groupe malveillant, un spectacle rare dans le domaine de la cybersécurité d’aujourd’hui.

Et comme il est toujours amusant de voir des chercheurs en sécurité traquer des opérateurs de logiciels malveillants, James Quinn a également essayé d’obtenir un CVE pour le bug de débordement de mémoire tampon d’Emotet auprès de MITRE, l’organisation qui suit les failles de sécurité dans les logiciels. Malheureusement, MITRE a refusé d’attribuer un CVE.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *