Des chercheurs en sécurité diffusent pendant six mois un “vaccin” anti Emotet

Spread the love
  • Yum

Des chercheurs en sécurité diffusent pendant six mois un

La plupart du temps, la lutte contre les logiciels malveillants est un jeu perdu d’avance. Les auteurs de logiciels malveillants créent leur code, le distribuent aux victimes par diverses méthodes, et le temps que les entreprises de sécurité rattrapent leur retard, les attaquants ont le temps d’apporter des modifications à leur code pour reprendre l’avantage.

Il en est ainsi depuis la fin des années 80, lorsque les logiciels malveillants sont apparus pour la première fois, et malgré les affirmations de la plupart des entreprises de sécurité, il y a peu de raison que cela change.

publicité

De temps en temps, nous recevons de bonnes nouvelles de la part des chercheurs en sécurité ou des autorités. Les auteurs de logiciels malveillants peuvent se tromper et se faire arrêter, ou des efforts coordonnés à grande échelle parviennent à faire tomber des réseaux botnet plus importants.

Cependant, toutes les opérations de lutte contre les logiciels malveillants ne peuvent pas être entravées de cette façon. Certains cybercriminels résident dans des pays qui n’extradent pas leurs citoyens ou ont une solide connaissance de ce qu’ils font.

Emotet est l’un des groupes qui cochent les deux cases. Considéré comme opérant depuis les anciens États soviétiques, Emotet est également l’un des groupes de malwares les plus compétents d’aujourd’hui, ayant perfectionné le modèle “Infect and rent access” (NDLR Compromettre et revendre les accès obtenus) comme aucun autre groupe.

Le malware, qui a été vu pour la première fois en 2014, a évolué d’un cheval de Troie bancaire sans importance à un véritable couteau suisse malveillant qui, une fois les victimes infectées, se propage latéralement sur l’ensemble de leur réseau, vole toutes les données sensibles, puis se retourne et loue l’accès aux machines infectées à d’autres groupes.

Aujourd’hui, Emotet effraie les départements informatiques des entreprises du monde entier et donne du fil à retordre au secteur de la cybersécurité.

Le bug d’Emotet

Mais sous le capot, Emotet n’est qu’un logiciel comme les autres. En tant que tel, Emotet a aussi des bugs.

Dans le secteur de la cybersécurité, exploiter les bugs de logiciels malveillants revient à franchir une ligne, une ligne que de nombreuses entreprises de sécurité se refusent à franchir de peur de nuire accidentellement aux ordinateurs infectés.

Cependant, il arrive parfois qu’un bug rare apparaisse, qui se révèle à la fois sûr à exploiter et capable d’avoir des conséquences dévastatrices pour le logiciel malveillant lui-même.

Un de ces bugs a été découvert au début de l’année par James Quinn, un analyste de logiciels malveillants travaillant pour Binary Defense.

Le fait que Quinn ait découvert le bug n’est pas un hasard. Ces dernières années, le travail principal de Quinn a été de traquer Emotet et de garder un œil sur ses activités, à la fois dans le cadre de son travail, mais aussi en tant que passe-temps personnel au sein du groupe Cryptolaemus [Lire l’histoire du groupe Cryptolaemus et de sa traque d’Emotet [ici](https://www.zdnet.fr/actualites/cryptolaemus-le-groupe-d-experts-en-cybersecurite-qui-lutte-contre-emotet-39900205.htm].

En février, alors qu’il parcourait les mises à jour quotidiennes d’Emotet, Quinn a remarqué un changement dans le code d’Emotet, dans l’une des charges utiles que le botnet Emotet diffusait en masse sur Internet.

Le changement concerne le “mécanisme de persistance” d’Emotet, la partie du code qui permet au malware de survivre aux redémarrages du PC. Quinn a remarqué qu’Emotet créait une clé de registre Windows et y sauvegardait une clé de chiffrement XOR.

emotet-registry-key.png

Image : Binary Defense

Mais cette clé de registre n’a pas seulement été utilisée pour la persistance, a expliqué Quinn dans un rapport. La clé était également utilisée dans de nombreux autres contrôles de code Emotet, y compris sa routine préinfectieuse.

EmoCrash entre en scène

Par tâtonnements et grâce aux mises à jour ultérieures d’Emotet qui ont affiné le fonctionnement du nouveau mécanisme de persistance, Quinn a pu mettre au point un minuscule script PowerShell qui exploite le mécanisme de clé de registre pour faire crasher Emotet lui-même.

Le script, astucieusement nommé EmoCrash, scannait l’ordinateur d’un utilisateur et générait une clé de registre Emotet valide, mais malformée.

Lorsque Quinn a essayé d’infecter délibérément un ordinateur avec Emotet, la clé de registre malformée a déclenché un débordement de la mémoire tampon dans le code d’Emotet et a fait planter le logiciel malveillant, empêchant les utilisateurs d’être infectés.

Lorsque Quinn exécutait EmoCrash sur des ordinateurs déjà infectés par Emotet, le script remplaçait la bonne clé de registre par celle qui était malformée, et lorsque Emotet revérifiait la clé de registre, le malware plantait également, empêchant les appareils infectés de communiquer avec le serveur de commande et de contrôle d’Emotet.

Quinn avait donc créé à la fois un vaccin Emotet et un killswitch. Mais ce n’était pas tout

“Deux journaux de crash apparaissaient avec les ID d’événements 1000 et 1001, qui pouvaient être utilisés pour identifier les terminaux avec du code Emotet désactivé ou mort”, a déclaré M. Quinn.

En d’autres termes, si EmoCrash était déployé sur un réseau, il pouvait permettre aux administrateurs système de scanner ou de mettre en place des alertes pour ces deux identifiants d’événements et de découvrir immédiatement quand et si Emotet a infecté leurs réseaux.

Mettre EmoCrash entre les mains des défenseurs

L’équipe de Binary Defense a rapidement compris que les informations sur cette découverte devaient être gardées totalement secrètes, pour empêcher le groupe Emotet de réparer leur code, mais a aussi compris qu’EmoCrash devait aussi se frayer un chemin jusqu’aux mains des entreprises du monde entier.

Contrairement à de nombreuses grandes entreprises de cybersécurité, qui ont toutes des décennies d’histoire derrière elles, Binary Defense a été fondée en 2014 et, bien qu’elle soit l’une des entreprises les plus prometteuses du secteur, elle n’avait pas encore l’influence et les connexions nécessaires pour y parvenir sans que la nouvelle de leur découverte ne se répande.

Pour ce faire, Binary Defense a travaillé avec Team CYMRU, une société qui a une longue histoire d’organisation et de participation au démantèlement de réseaux botnets.

Travaillant en coulisses, l’équipe CYMRU s’est assurée qu’EmoCrash se retrouve entre les mains des équipes d’intervention d’urgence informatique (CERT), qui l’ont ensuite diffusé auprès des entreprises dans leurs juridictions respectives.

Depuis six mois, l’outil fait son chemin à travers le monde.

Emotet corrige son code

Lors d’un entretien téléphonique aujourd’hui, le directeur principal de Binary Defense, Randy Pargman, a déclaré que l’outil n’incluait pas de module de télémétrie, afin de ne pas dissuader les entreprises de l’installer sur leurs réseaux.

Binary Defense ne saura peut-être jamais combien d’entreprises ont installé EmoCrash, mais Pargman a déclaré qu’ils recevaient de nombreux messages d’entreprises qui ont empêché des attaques ou découvert des incidents en cours.

Cependant, Pargman et Quinn estiment que l’outil a eu au moins un certain impact sur Emotet, car il a contribué à réduire le nombre de machines infectées à la disposition des opérateurs d’Emotet.

Binary Defense ne pense pas que le groupe Emotet ait découvert leur outil, mais il est fort probable que le groupe ait senti que quelque chose n’allait pas. Depuis février et au cours des mois qui ont suivi, Emotet a fait l’objet de plusieurs nouvelles versions et modifications de son code. Aucune n’a permis de résoudre le problème.

Le groupe Emotet a fini par y parvenir, par accident ou grâce à leurs analyses. Le malware a modifié complètement son mécanisme de persistance le 6 août, soit 6 mois après la découverte de Quinn.

EmoCrash n’est peut-être plus utile à personne, mais pendant six mois, ce minuscule script PowerShell a aidé les organisations à garder une longueur d’avance sur le groupe malveillant, un spectacle rare dans le domaine de la cybersécurité d’aujourd’hui.

Et comme il est toujours amusant de voir des chercheurs en sécurité traquer des opérateurs de logiciels malveillants, Quinn a également essayé d’obtenir un CVE pour le bug de débordement de mémoire tampon d’Emotet auprès de MITRE, l’organisation qui suit les failles de sécurité dans les logiciels. Malheureusement, MITRE a refusé d’attribuer un CVE.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *