Code malveillant : Août, le mois des analyses pré-conférences

Actualités - Analyse - Posté on 04 Août 2014 at 11:17 par Solange Belkhayat-Fuchs

Alain Bachellier Est-ce dû à une relative période de calme liée aux trêves estivales ? Ou bien encore une volonté de redorer le blason du monde de la sécurité « commerciale », sérieusement terni en raison de ses longues années de myopie durant la période ante-Snowden ? Ou plus probablement une forme de prélude à l’avalanche d’annonces prévues durant les futures BlackHat, defcon, CCCcamp à venir ?

Toujours est-il que les analyses de code vont bon train. Chez McAfee, François Paget se penche sur KPP-Destroyer, un utilitaire conçu pour modifier le démarrage de Windows 7 et 8.x et désactiver son système de protection Patchguard. Les contrôles d’intégrité disparaissent, et l’appel direct de ntoskrnl est remplacé vers un aiguillage conduisant vers un autre exécutable moins innocent. Patchguard n’est pas à proprement parler un vecteur d’attaque (il fut a priori développé à des fins de hack purement technique et donner accès au mode kernel). Mais, explique le chercheur Français, il y a là matière à inspirer bien des auteurs de malwares.

Encore une drôlerie chez F-Secure, qui se penche sur Backdoor.Gates, un virus multiplateforme, initialement prévu pour attaquer des plateformes Linux, mais ayant également donné naissance à une version Windows baptisée Gates.exe (associé à un vecteur d’attaque Bill.exe bien entendu). Les virus multiplateformes sont des développements quasi mythiques, des codes tenant à la fois de la carpe et du lapin qui ont toujours su faire fantasmer les spécialistes de l’analyse de malwares.

Au Cert Lexsi, c’est un malware bancaire (visant notamment des établissements Français) qui a retenu l’attention. Techniquement parlant, il s’agit là d’un bootkit installé en VBR (enregistrement de boot de la première partition ntfs), la charge utile et ses paramètres de fonctionnement se cachant dans la ruche. Polymorphe, furtif, ce vecteur est installé grâce à un dropper doté d’une fonction de suicide lui permettant d’échapper aux examens poussés. L’équipe du Lexsi a, en outre, découvert deux signatures, l’une peu flatteuse, destinée à Brian Krebs, l’autre tirée d’un épisode de la série des Simpson, ainsi qu’une liste des serveurs C&C à bloquer pour éviter les mises à jour et activations.

1 commentaire

Laisser une réponse