learn.hack.repeat

YARA-X : un outil pour la détection des malwares et l’analyse de fichiers

La cybersécurité repose sur de nombreux outils permettant d’identifier, d’analyser et de bloquer les menaces avant qu’elles ne causent des dégâts. Parmi ces outils, YARA s’est imposé depuis des années comme une référence pour la détection de malwares et l’analyse de fichiers suspects. En 2024, une nouvelle version baptisée YARA-X a été introduite. Cette réécriture complète en Rust améliore la robustesse, les performances et l’expérience utilisateur.

Mais qu’est-ce que YARA-X, à quoi sert-il et pourquoi cette évolution était-elle nécessaire ? Cet article propose d’explorer les principales fonctionnalités de cet outil, son utilité en cybersécurité et son évolution depuis son lancement

À quoi sert YARA-X ?

YARA-X permet de rechercher des motifs spécifiques dans des fichiers pour identifier des malwares. Il est utilisé par les analystes SOC, les chercheurs en cybersécurité et les entreprises pour détecter des menaces connues ou inconnues en s’appuyant sur des caractéristiques spécifiques du code malveillant. Contrairement à un antivirus classique, qui repose sur des bases de signatures, YARA-X permet d’écrire des règles personnalisées pour repérer des fichiers suspects selon des critères définis par l’utilisateur.

Il est couramment utilisé pour :

  • L’analyse de ransomwares en repérant des appels suspects à des fonctions de chiffrement.
  • La détection de backdoors en recherchant des communications cachées avec un serveur distant.
  • L’identification de trojans dissimulés dans des applications légitimes.
  • Le Threat Hunting, en surveillant des fichiers exécutables téléchargés sur un système.

Pourquoi une nouvelle version en Rust ?

YARA, bien que puissant, souffrait de limitations liées à son implémentation en C, notamment en termes de gestion mémoire et de compatibilité. YARA-X a été entièrement réécrit en Rust, un langage qui garantit une meilleure sécurité, une gestion plus efficace de la mémoire et des performances améliorées.

Les avantages de YARA-X incluent :

  • Une meilleure fiabilité, avec une réduction des erreurs de gestion mémoire.
  • Des analyses plus rapides, même sur des fichiers volumineux.
  • Une intégration facilitée avec d’autres outils grâce aux API en Python, Golang et C.
  • Une interface plus intuitive, avec des commandes simplifiées pour l’analyse des fichiers.

Test pratique : Détection d’une fonction cachée malveillante

Pour mieux comprendre comment YARA-X peut identifier des fichiers suspects, faisons un test concret avec un exemple simple.

Imaginons un exécutable Windows (malware.exe) qui semble inoffensif, mais qui cache une fonction de communication secrète avec un serveur distant. Cette fonction pourrait être utilisée par un malware pour envoyer des données volées ou télécharger une charge utile supplémentaire.

Avec YARA-X, nous pouvons examiner ce fichier pour repérer des appels suspects. Utilisons la commande suivante pour inspecter l’exécutable :

yr dump malware.exe

Résultat (extrait simplifié) :

pe:
  sections:
    - name: ".text"
      size: 4096
    - name: ".data"
      size: 2048
  imports:
    - name: "ws2_32.dll"
      functions:
        - "socket"
        - "connect"
        - "send"
        - "recv"
    - name: "kernel32.dll"
      functions:
        - "VirtualAlloc"
        - "CreateThread"

Ce résultat montre que l’exécutable importe des fonctions réseau (socket, connect, send, recv) depuis ws2_32.dll, une bibliothèque Windows utilisée pour les communications sur Internet. De plus, il appelle VirtualAlloc et CreateThread, qui sont souvent exploitées par des malwares pour injecter du code malveillant en mémoire.

Ces indices nous permettent de soupçonner que ce fichier pourrait contenir un trojan ou un backdoor.

Pour confirmer nos soupçons, nous pouvons écrire une règle YARA spécifique pour détecter ce type de comportement :

rule Suspicious_Network_Activity
{
    meta:
        description = "Détecte des exécutables contenant des appels réseau suspects"
        author = "Analyste Cybersécurité"
        date = "2025-03-07"

    strings:
        $socket = "socket" ascii
        $connect = "connect" ascii
        $send = "send" ascii
        $recv = "recv" ascii
        $virtualAlloc = "VirtualAlloc" ascii
        $createThread = "CreateThread" ascii

    condition:
        any of ($socket, $connect, $send, $recv) and 
        any of ($virtualAlloc, $createThread)
}

En exécutant cette règle sur notre fichier suspect, nous pouvons vérifier s’il correspond à ce modèle de comportement malveillant :

yr scan -r Suspicious_Network_Activity.yara malware.exe

Si l’exécutable correspond à notre règle, cela signifie qu’il contient une fonction cachée qui pourrait être utilisée à des fins malveillantes.

Adoption et évolution de YARA-X

Depuis son lancement en 2024, YARA-X a été adopté par plusieurs organisations et chercheurs en cybersécurité. Il est désormais inclus dans certaines distributions Linux et est disponible via Homebrew pour macOS. Son développement est actif et de nouvelles versions continuent d’optimiser ses performances et ses fonctionnalités.

Conclusion

YARA-X est une évolution majeure dans l’univers de la cybersécurité. Grâce à son moteur plus performant et à son intégration avec les langages modernes, il permet d’analyser efficacement des fichiers suspects et d’identifier des menaces avancées.

Que ce soit pour les experts en cybersécurité, les chercheurs ou simplement ceux qui s’intéressent à l’analyse des menaces, YARA-X offre un cadre puissant pour mieux comprendre comment fonctionnent les malwares et comment les détecter de manière proactive.

Avec un développement en constante évolution et une adoption croissante, YARA-X est bien parti pour devenir un outil incontournable de la cybersécurité moderne.

Plus d’information:
YARA is dead, long live YARA-X ~ VirusTotal Blog
GitHub – VirusTotal/yara-x: A rewrite of YARA in Rust.
What is YARA?

EDRSilencer : un outil Red Team détourné pour échapper aux solutions de sécurité

Les solutions de sécurité des entreprises sont de plus en plus perfectionnées, notamment grâce aux technologies de détection et réponse sur les endpoints (EDR). Mais récemment, un outil appelé EDRSilencer a refait surface, conçu initialement pour les tests de sécurité offensifs (Red Team). Malheureusement, cet outil est désormais utilisé par des cybercriminels pour contourner les mesures de protection des EDR dans des attaques réelles.

Qu’est-ce qu’EDRSilencer ?

EDRSilencer est un outil destiné aux professionnels de la cybersécurité qui réalisent des tests d’intrusion pour évaluer les vulnérabilités des infrastructures IT. Cependant, comme c’est souvent le cas avec des outils utilisés par les équipes de sécurité, des acteurs malveillants l’ont détourné de son usage initial pour le déployer dans des cyberattaques. Ce qui rend EDRSilencer particulièrement inquiétant, c’est sa capacité à désactiver ou contourner les solutions de sécurité sur les terminaux (comme les ordinateurs) de l’entreprise.

(EDRSilencer attack chain. Sources: Trend Micro)

En pratique, EDRSilencer intercepte les processus de communication entre un logiciel EDR et ses consoles de gestion. L’outil exploite des vulnérabilités dans la Windows Filtering Platform (WFP), une fonctionnalité native de Windows qui gère le trafic réseau et les communications des applications. Cela permet aux attaquants de bloquer les alertes générées par les EDR avant qu’elles ne soient envoyées aux équipes de sécurité, rendant leurs actions invisibles pendant un temps crucial.

Un danger pour plusieurs solutions EDR

Selon les chercheurs en cybersécurité de Trend Micro, EDRSilencer a été utilisé pour compromettre plusieurs des solutions de sécurité les plus répandues. Parmi celles-ci, on retrouve Microsoft Defender, FortiEDR de Fortinet, et Cortex XDR de Palo Alto Networks. En désactivant les processus d’alerte de ces outils, les attaquants peuvent se déplacer latéralement dans les réseaux d’entreprise sans déclencher d’alarme.

(Blocage du trafic d’exécutables codés en dur. Source : Trend Micro)

En outre, l’outil est hautement personnalisable. Les cybercriminels peuvent définir des filtres spécifiques dans EDRSilencer pour cibler certains processus ou services qu’ils souhaitent masquer, ce qui leur donne un contrôle fin sur les actions qu’ils souhaitent dissimuler aux solutions de sécurité. Par exemple, ils pourraient choisir de cacher les processus liés à des ransomwares ou d’autres logiciels malveillants tout en permettant d’autres processus de rester visibles, ce qui rend l’identification de l’attaque encore plus difficile.

Une menace croissante pour les entreprises

L’utilisation d’un outil comme EDRSilencer montre à quel point les cyberattaques sont en constante évolution. Les entreprises se retrouvent confrontées à des attaques de plus en plus sophistiquées, capables de déjouer les systèmes de défense les plus avancés. Ce genre de menace montre également que la cybersécurité ne peut pas reposer uniquement sur une seule couche de protection.

Il est fortement recommandé de mettre en place des stratégies de défense multicouche. Ces stratégies incluent non seulement des solutions EDR, mais aussi des systèmes de détection des anomalies comportementales, des pare-feux, et des politiques strictes de gestion des accès. De plus, appliquer le principe du moindre privilège sur les utilisateurs et les processus permet de limiter l’ampleur des dégâts en cas de compromission d’un système.

Pour une détection proactive des comportements liés à des outils comme EDRSilencer, il est recommandé de mettre en place des règles analytiques personnalisées dans votre SIEM. Ces règles peuvent surveiller les modifications inhabituelles des filtres de la Windows Filtering Platform (WFP) ou les interruptions des processus critiques des solutions EDR. La plupart des SIEM (Microsoft Sentinel, Splunk, QRadar, etc.) permettent de créer des alertes spécifiques à ces comportements, aidant ainsi à prévenir les attaques.

/* 
Exemple de requête KQL qui surveille les événements WFP (5156, 5157) et les interruptions ou modifications des processus liés à Microsoft Defender 
*/
SecurityEvent
| where EventID == 5156 or EventID == 5157  // Modification dans la WFP
| where ProcessName contains "MsMpEng.exe" // Microsoft Defender Antivirus Process
| where ActionType == "ProcessTerminated" or ActionType == "AuditPolicyChange"
| project TimeGenerated, Computer, Account, ProcessName, EventID, ActionType

En plus de la détection proactive des menaces par la surveillance des comportements suspects, des audits réguliers de la sécurité des infrastructures, sont des éléments clés pour se protéger contre des outils comme EDRSilencer. Cela montre l’importance d’être toujours en avance sur les cybercriminels, qui ne cessent d’adapter leurs techniques.

Conclusion

L’émergence de EDRSilencer comme outil dans les mains des attaquants illustre une tendance inquiétante dans le domaine de la cybersécurité. Des outils initialement développés pour aider les professionnels à tester et renforcer les systèmes de sécurité peuvent être utilisés à des fins malveillantes. Cela souligne l’importance d’une vigilance constante et d’une adaptation rapide face à des menaces toujours plus sophistiquées.

Plus d’information:
EDRSilencer red team tool used in attacks to bypass security
Silent Threat: Red Team Tool EDRSilencer Disrupting Endpoint Security Solutions | Trend Micro (US)

Insomni’hack 2024

Cela faisait très longtemps que j’avais envie d’assister à un rendez-vous incontournable dans le panorama de la cyber sécurité en Suisse romande comme l’est Insomni’hack, mais en raison de contretemps professionnels de dernière minute, de contraintes de calendrier ou autres covid, ça n’avait jamais pu se concrétiser… c’est maintenant chose faite 🙂

Pour ma première visite à Insomni’Hack, le SwissTech Convention Center s’est révélé être l’endroit idéal pour un événement de cette envergure. Les interactions avec les partenaires et exposants, passionnés et non intrusifs, ainsi que le niveau technique élevé des présentations, ont rendu cette expérience inoubliable.

Insomni’hack c’est donc avant tout un évènement pour technards, passionnés de sécu et de gentils hackers. Qu’on se situe du côté des organisateurs, exposants, conférenciers ou visiteurs, les échanges sont toujours riches en partage d’expérience, bonne humeur et convivialité!

Célèbre pour son CTF, remporté cette année par 0rganizers, Insomni’hack c’est aussi plus de 30 conférences techniques, ainsi que plusieurs workshops pour ceux qui voudraient faire du deep dive sur un des nombreux sujets abordés.

Pour ma part, j’ai été présent toute la journée de vendredi et j’ai notamment eu la chance de participer à deux conférences concernant l’OIDC dans le cloud ainsi que la sécurité AD DS.

Abus de la configuration OIDC dans les environnements cloud

L’une des sessions les plus enrichissantes a été celle de Christophe Tafani-Dereeper, intitulée « Abusing misconfigured OIDC authentication in cloud environments« . Cette présentation détaillée a exploré les failles de sécurité courantes associées aux configurations OIDC dans les pipelines CI/CD. Christophe a commencé par une introduction aux fondamentaux d’AWS IAM, expliquant la différence entre les utilisateurs IAM et les rôles IAM, ainsi que l’importance de la gestion sécurisée des politiques d’accès.

Le cœur de la présentation a traité des erreurs de configuration spécifiques qui permettent des escalades de privilèges et des attaques par exécution de code arbitraire. Christophe a illustré comment une politique de confiance mal configurée dans un rôle IAM peut être exploitée pour obtenir des accès étendus sur l’infrastructure AWS. Il a utilisé des exemples réels, montrant des scripts et des commandes pour démontrer comment les attaquants peuvent récupérer des jetons Web JSON (JWT) mal sécurisés et les utiliser pour assumer des rôles IAM vulnérables. Des conseils pratiques ont été donnés pour sécuriser les configurations, incluant l’utilisation de conditions strictes dans les politiques de confiance et la limitation des permissions accordées aux rôles.

Des études de cas ont clôturé la session, où Christophe a détaillé comment son équipe a identifié et signalé de manière responsable des rôles vulnérables, aidant ainsi plusieurs entreprises à améliorer leur posture de sécurité. Cette présentation a non seulement mis en lumière les risques liés à une mauvaise gestion des identités dans le cloud mais a aussi montré l’importance d’une vérification continue et rigoureuse des configurations de sécurité.

Burn it, burn it all : Persistance dans AD DS

La deuxième conférence, présentée par Volker Carstein (Aka Volker) et Charlie Bromberg (Aka Shutdown), nous a plongé dans le monde complexe de la persistance au sein des services de domaine Active Directory avec leur présentation intitulée « Burn it, burn it all« . Le duo a exposé diverses méthodes de persistance, allant des attaques GoldenGMSA à Skeleton Key, en passant par des techniques de délégation KRBTGT et des manipulations de l’SID history.

Volker et Charlie ont commencé par expliquer le concept de GoldenGMSA, détaillant comment les attaquants peuvent exploiter les clés KDS root pour prendre le contrôle de comptes de service gérés par groupe (gMSA). Ils ont démontré, en direct, comment extraire et calculer les mots de passe des gMSA à partir d’informations système apparemment bénignes.

La discussion s’est ensuite tournée vers la technique du Skeleton Key, où ils ont illustré comment l’injection dans le processus LSASS permet de créer un mot de passe maître pour n’importe quel compte sans altérer les mots de passe existants. Cette partie de la session a mis en évidence les risques de sécurité liés aux contrôleurs de domaine et l’importance de surveiller et de sécuriser ces systèmes critiques.

Pour conclure, ils ont abordé des techniques plus avancées telles que la manipulation de l’SID history et l’exploitation de l’objet AdminSDHolder pour obtenir une persistance quasi-indétectable dans des environnements AD. Chaque technique était accompagnée d’exemples de code, de recommandations pour la mitigation et d’histoires de cas réels, rendant la session à la fois éducative et profondément technique.

Rideau de fin et à l’année prochaine!

Je tiens à exprimer ma gratitude envers l’organisateur de l’évènement, Orange Cyberdefense Suisse ainsi que tous les sponsors et exposants, tout particulièrement: Kyos, Yes We Hack, Kaspersky, Zscaler, Palo Alto Networks, et Boll pour leur accueil chaleureux sur leur stand. Leur engagement envers la communauté de la sécurité informatique est la clé de la réussite de ces échanges enrichissants.

Avec des souvenirs plein la tête, pas mal d’articles à lire et de sujets à approfondir, je suis plus que jamais motivé à revenir à Insomni’hack l’année prochaine. Et qui sait, peut-être même pour participer au célèbre CTF 😉

Plus d’information:
https://www.insomnihack.ch/
https://docs.google.com/presentation/d/1TwGYsxgJRWRhm9aO8SIK4NIhwYaXZelWzWk337DTxUk/edit?usp=sharing
https://drive.google.com/file/d/11tfRmol18T7itiZXbAS03OFu3UoRAwhC/view

Le groupe cybercriminel chinois Earth Krahang porte atteinte à la sécurité de 70 organisations dans 23 pays

Une campagne de cyberespionnage avancée attribuée au groupe cybercriminel chinois Earth Krahang a porté atteinte à la sécurité de 70 organisations dans le monde, y compris des ministères des affaires étrangères et d’autres agences gouvernementales, en déployant un arsenal sophistiqué d’outils pour compromettre des infrastructures clés et récolter des informations sensibles.

Ce groupe a utilisé des techniques avancées telles que l’exploitation de vulnérabilités dans des serveurs exposés à Internet, des emails de spear-phishing et des attaques par force brute pour installer des portes dérobées personnalisées et mener des activités de cyber-espionnage.

Les attaquants ont spécifiquement exploité des vulnérabilités telles que CVE-2023-32315 et CVE-2022-21587 pour accéder à des réseaux compromis et y persister. En outre, ils ont utilisé des emails de spear-phishing à thème géopolitique pour inciter les destinataires à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens, ce qui facilite l’installation de logiciels malveillants et l’extraction ultérieure d’informations.

Une fois dans le réseau, Earth Krahang a utilisé des infrastructures compromises pour héberger des charges utiles malveillantes, rediriger le trafic d’attaque et utiliser des comptes de messagerie gouvernementaux piratés pour cibler d’autres gouvernements ou contacts avec des courriels de spear-phishing. Dans un cas notoire, ils ont utilisé un compte de courrier électronique compromis d’une entité gouvernementale pour envoyer une pièce jointe malveillante à 796 adresses électroniques appartenant à la même entité.

Chaîne d’infection d’une attaque de spear-phishing de Earth Krahang (voir la section ATT&CK de MITRE pour plus de détails sur chaque identifiant de technique).
Source: trendmicro.com

Compte tenu de la sophistication et de l’ampleur de la campagne Earth Krahang, il est vivement conseillé aux organisations gouvernementales et aux autres entités cibles potentielles de rester vigilantes face à toute activité suspecte sur leurs systèmes. Dans ce contexte, la mise en œuvre des mises à jour de sécurité en temps opportun devient un pilier essentiel. En outre, la sensibilisation des employés aux risques inhérents à l’ingénierie sociale et aux attaques de spear-phishing, associée à l’adoption de mesures d’authentification multifactorielle, sont des stratégies clés pour atténuer le risque de compromission.

Dans ce scénario, la collaboration avec des partenaires de confiance spécialisés dans la protection contre les cybermenaces peut fournir une couche de sécurité supplémentaire. Des entreprises comme Swisscom, qui ont fait leurs preuves en matière de détection et de réponse aux menaces numériques, proposent des solutions qui peuvent être cruciales pour anticiper, identifier et neutraliser les attaques avant qu’elles n’affectent les opérations critiques. L’utilisation de leurs services de protection contre les cybermenaces n’est pas seulement une mesure proactive, mais aussi un investissement dans la continuité et la résilience des opérations face à l’adversité dans le cyberespace.

Plus d’information:
https://www.trendmicro.com/en_us/research/24/c/earth-krahang.html
https://www.bleepingcomputer.com/news/security/chinese-earth-krahang-hackers-breach-70-orgs-in-23-countries/
https://nvd.nist.gov/vuln/detail/CVE-2023-32315

Microsoft confirme le problème de Windows Server à l’origine des pannes de contrôleurs de domaine

Une fuite de mémoire introduite avec les mises à jour de sécurité Windows Server de mars 2024 provoque le plantage et le redémarrage de certains contrôleurs de domaine, selon de nombreux rapports d’administrateurs Windows.

Source: Microsoft

Cette situation dure depuis un certain temps, depuis qu’en décembre 2022, Microsoft a résolu une autre fuite de mémoire LSASS affectant les contrôleurs de domaine. Après l’installation des mises à jour de Windows Server publiées lors du Patch Tuesday de novembre 2022, les serveurs concernés se figeaient et redémarraient. En outre, en mars 2022, Microsoft a corrigé une autre panne LSASS qui provoquait des redémarrages inattendus des contrôleurs de domaine Windows Server.

Points importants :

  • Microsoft a confirmé qu’une fuite de mémoire introduite avec les mises à jour de sécurité de Windows Server de mars 2024 provoque le blocage des contrôleurs de domaine Windows.
  • De nombreux rapports d’administrateurs Windows indiquent que les mises à jour de mars 2024 provoquent le plantage et le redémarrage de certains contrôleurs de domaine.
  • La fuite de mémoire dans le processus Local Security Authority Subsystem Service (LSASS) affecte les serveurs, provoquant des pannes et des redémarrages inattendus.
  • Microsoft a identifié le problème et travaille à sa résolution.
  • En attendant, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine et Microsoft a publié des mises à jour d’urgence pour résoudre ce problème.

Microsoft publie un correctif pour les pannes de Windows Server

En attendant que Microsoft publie un correctif pour ce grave problème de fuite de mémoire, et s’ils ne sont pas disposés à surveiller l’utilisation de la mémoire des systèmes concernés et à les redémarrer si nécessaire, il est conseillé aux administrateurs Windows de supprimer les mises à jour problématiques de leurs contrôleurs de domaine.

Le service d’assistance de Microsoft nous a recommandé de désinstaller la mise à jour pour le moment

Comme de nombreux administrateurs l’ont signalé, après l’installation des mises à jour Windows Server KB5035855 et KB5035857 publiées ce Patch Tuesday, les contrôleurs de domaine équipés des dernières mises à jour se bloquent et redémarrent en raison d’une utilisation accrue de la mémoire LSASS.

Pour supprimer ces mises à jour problématiques, il est recommandé d’ouvrir une invite de commande à partir du menu Démarrer en tapant « cmd », en cliquant avec le bouton droit de la souris sur l’application Invite de commande et en cliquant sur « Exécuter en tant qu’administrateur ».

Ensuite, en fonction de la mise à jour que vous avez installée sur les contrôleurs de domaine concernés, exécutez l’une des commandes suivantes:

wusa /uninstall /kb:5035855
wusa /uninstall /kb:5035849
wusa /uninstall /kb:5035857

Une fois la désinstallation effectuée, pensez à aller dans « Afficher ou masquer les mises à jour » pour masquer la mise à jour défectueuse afin qu’elle n’apparaisse plus dans la liste des mises à jour disponibles.

Plus d’information:

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes/
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/bc-p/4088764/highlight/true#M38300
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kusp4bs/
https://www.reddit.com/r/sysadmin/comments/1bcp2ql/comment/kvlf7ed/

Page 1 of 28

Fièrement propulsé par WordPress & Thème par Anders Norén