learn.hack.repeat

Catégorie : Sécurité Page 9 of 26

Le nouveau ransomware VENUS, spécialisé dans les attaques RDP, fait des ravages dans le monde entier

de

On 21/10/2022

dans Chiffrement, Data Leak, Ransomware, Sécurité

Il est bien connu que les services de protocole de bureau à distance (RDP) sont largement utilisés par les cybercriminels comme une passerelle pour leurs attaques, à la fois en raison des vulnérabilités existantes dans les systèmes Windows et en raison du manque de robustesse des informations d’identification utilisées par de nombreux utilisateurs et des défenses insuffisantes utilisées dans de nombreuses infrastructures, les laissant exposées à toute attaque par force brute. Malgré cela, des centaines de milliers d’ordinateurs sont toujours exposés à des services RDP non protégés sur Internet.

Fichiers chiffrés par le Venus Ransomware. Source : BleepingComputer

Il est alarmant de constater la quantité de nouvelles associées aux ransomwares que nous recevons ces derniers mois, la plupart d’entre elles ayant réussi à cause de deux problèmes spécifiques qui se répètent dans presque toutes ces attaques. La première est la négligence et l’ignorance d’un utilisateur qui, par le biais d’une astuce d’ingénierie sociale, finit par télécharger et exécuter un fichier malveillant qui ouvre les portes aux cybercriminels. Cela se fait généralement par le biais d’un email invitant l’utilisateur à accéder à une adresse web ou à ouvrir un fichier joint, en prétendant être un service connu de l’utilisateur. L’autre problème est l’exposition des connexions RDP sur Internet sans les moyens préventifs nécessaires pour éviter les problèmes.

En ce qui concerne les attaques RDP, il existe un moyen très simple de les prévenir que de nombreux administrateurs système semblent oublier, ce qui donne lieu aux problèmes qu’ils déplorent ensuite en matière de ransomware.

En raison de la paresse technologique en matière de cybersécurité de la part des administrateurs et des entreprises, un nouveau groupe de ransomware qui a commencé ses opérations en août 2022 s’est spécialisé précisément dans le chiffrement des cibles Windows dont les services RDP sont exposés. Ce nouveau ransomware est connu sous le nom de VENUS et n’a rien à voir avec le célèbre ransomware VenusLocker écrit en .NET qui fonctionne depuis 2016.

Comment se comporte VENUS ?

Selon l’analyse publiée par BleepingComputer, dès que le malware est exécuté sur l’ordinateur, la première chose qu’il fait est de supprimer les journaux d’événements de Windows et les volumes Shadow Copy. Il désactive également la prévention de l’exécution des commandes (DEP), ce qui s’effectue par la commande suivante sur le système :

wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE.

Il tente également d’arrêter plusieurs processus système liés aux services de base de données et aux applications Microsoft Office. Les processus suivants ont été détectés dans l’analyse du malware :

taskkill, msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos. exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, encsvc. exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, sqlservr.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe

Une fois qu’il commence à chiffrer les fichiers sur l’ordinateur, il ajoute l’extension .venus au nom du fichier, transformant par exemple un fichier appelé « notes.doc » en « notes.doc.venus ». Dans chaque fichier chiffré, le malware ajoute au code du fichier un marqueur avec le texte « goodgamer » et un court morceau de code supplémentaire dont la fonction n’a pas encore été identifiée.

Code hexadécimal d’un fichier crypté par Venus. Source : BleepingComputer.

Le même logiciel malveillant crée également une note de rançon au format .hta dans le dossier %Temp% du système, qui est automatiquement exécutée lorsque le ransomware a fini de chiffrer les fichiers de l’ordinateur.

Note de rançon au format HTA du ransomware Venus.

La note de rançon contient une adresse TOX et une adresse électronique qui peuvent être utilisées pour contacter l’attaquant et négocier le paiement de la rançon. À la fin de la note se trouve un texte blob codé en base64 qui est probablement la clé de déchiffrement chiffrée que l’attaquant demandera afin de transmettre l’utilitaire permettant de déchiffrer à la victime après paiement.

Le ransomware VENUS est actuellement très actif et le service d’identification des ransomwares MalwareHunterTeam reçoit quotidiennement des fichiers liés à ce malware.

Nous pouvons voir un échantillon en détail dans le service VirusTotal identifié avec le hash:

6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05

un fichier exécutable Windows (.exe) d’une taille de 225.50Kb.

Exemple de fichier identifié comme le nouveau malware Venus dans VirusTotal.


Le groupe qui exploite ce malware semble cibler les services de bureau à distance exposés publiquement, y compris ceux qui fonctionnent sur des ports TCP non standard. Une croyance largement répandue parmi les administrateurs ayant peu d’expérience en matière de cybersécurité est que s’ils utilisent un port autre que le port RDP standard (port 3389), ils seront à l’abri des scans ou des attaques visant ce service, ce qui n’est pas vrai. Les services d’analyse de périphériques tels que Shodan ont identifié près d’un demi-million d’ordinateurs avec ce service exposé et accessible depuis Internet (y compris les honeypots).

Ordinateurs identifiés par Shodan avec RDP exposé.

Il est essentiel de protéger ces services derrière un pare-feu et de ne pas les exposer publiquement sur l’internet, et ils ne devraient être accessibles que par un VPN. Il est également important de suivre et d’appliquer les mises à jour des logiciels et des systèmes d’exploitation et les correctifs de sécurité existants afin d’éviter l’exploitation de vulnérabilités connues telles que « Bluekeep » (CVE-2019-0708) ainsi que de maintenir une politique stricte de mots de passe forts (longueur minimale recommandée de 12 caractères, utilisation de majuscules, de minuscules, de chiffres et de symboles).

Sources :
https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/
https://www.virustotal.com/gui/file/6d8e2d8f6aeb0f4512a53fe83b2ef7699513ebaff31735675f46d1beea3a8e05/details
https://www.shodan.io/search?query=rdp
https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=tabletext

Un 0-day dans Zimbra est activement exploité

de

On 19/10/2022

dans CVE, Sécurité

Zimbra a publié des mises à jour de sécurité pour corriger une vulnérabilité critique de type « zero-day » qui est activement exploitée dans sa suite de collaboration d’entreprise Zimbra Collaboration (ZCS).

La faille de sécurité, à laquelle a été attribué l’identifiant CVE-2022-41352, est une vulnérabilité de type 0-day qui affecte un composant de la suite Zimbra appelé Amavis (un scanner de logiciels malveillants utilisé dans les serveurs de messagerie Unix), et plus particulièrement l’utilitaire cpio qu’il utilise pour extraire les fichiers. Le score CVSS, qui indique la gravité de cette faille de sécurité, est de 9,8 sur 10.

L’exploitation de cette vulnérabilité pourrait permettre le téléchargement de fichiers arbitraires en raison de l’incapacité de cpio à gérer de manière sécurisée les fichiers non fiables et conduire à un accès inapproprié à tout autre compte utilisateur.

En exploitant cette vulnérabilité, un attaquant peut insérer un shell dans la racine du site web et obtenir l’exécution de code à distance. Pour l’exploiter, il suffit d’envoyer un courriel avec une pièce jointe .TAR, .CPIO ou .RPM spécialement conçue. Lorsqu’Amavis inspecte les pièces jointes, il utilise cpio pour extraire le fichier, ce qui déclenche l’exploit.

Ce problème semble provenir de la vulnérabilité sous-jacente CVE-2015-1197 qui remonte à 2015 et avait été corrigée. Cependant, dans les distributions ultérieures, le patch a été annulé, selon la déclaration de Flashpoint. Pour être exploitée, cette vulnérabilité nécessite une application secondaire qui utilise cpio pour l’extraction de fichiers.

D’autre part, l’entreprise de sécurité Kaspersky a signalé que des groupes inconnus ont activement exploité cette vulnérabilité critique. Les attaques se sont déroulées en deux vagues ; la première, début septembre, a visé principalement des entités gouvernementales en Asie. La deuxième vague d’attaques a été menée fin septembre, avec une portée beaucoup plus large, visant tous les serveurs vulnérables (gouvernementaux, télécommunications, informatiques, etc.) situés dans les pays d’Asie centrale.

Le 7 octobre, une preuve de concept (PoC) pour cette vulnérabilité a été ajoutée à Metasploit, ouvrant la voie à une exploitation massive par des attaquants même de bas niveau.

À cet égard, la société de réponse aux incidents Volexity a identifié environ 1 600 serveurs Zimbra susceptibles d’être compromis à cause de cette vulnérabilité.

Les correctifs de sécurité sont disponibles dans les versions suivantes :

  • Zimbra 9.0.0.0 Patch 27
  • Zimbra 8.8.15 Patch 34

En plus de l’application des correctifs ci-dessus, les administrateurs et les propriétaires de serveurs Zimbra sont encouragés à vérifier les indicateurs de compromission (IOC). Voici les emplacements connus des webshells déployés par des acteurs malveillants qui exploitent actuellement la vulnérabilité CVE-2022-41352 :

/opt/zimbra/jetty/webapps/zimbra/public/.error.jsp
/opt/zimbra/jetty/webapps/zimbra/public/ResourcesVerificaton.jsp
/opt/zimbra/jetty/webapps/webapps/zimbra/public/ResourceVerificaton.jsp
/opt/zimbra/jetty/webapps/zimbra/public/ZimletCore.jsp
/opt/zimbra/jetty/webapps/zimbra/public/searchx.jsp
/opt/zimbra/jetty/webapps/zimbra/public/seachx.jsp

Il convient de noter que l’exploit Metasploit utilise une chaîne de 4 à 10 caractères aléatoires pour le nom du webshell JSP :

/opt/zimbra/jetty_base/webapps/zimbra/[4-10 caractères aléatoires].jsp

Il est important de considérer que la suppression du fichier .JSP n’est pas suffisante. L’attaquant aurait pu accéder aux fichiers de configuration, aux mots de passe utilisés dans les comptes d’administration et de service, aux informations confidentielles, déployer et cacher d’autres portes dérobées, etc.

Plus d’information :
https://blog.zimbra.com/2022/10/new-zimbra-patches-9-0-0-patch-27-8-8-15-patch-34/
https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P27
https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P34
https://flashpoint.io/blog/zero-day-vulnerability-zimbra-collaboration-cpio/
https://securelist.com/ongoing-exploitation-of-cve-2022-41352-zimbra-0-day/107703/
https://twitter.com/Volexity/status/1580591431197945857

Alchimist

de

On 19/10/2022

dans Malware, Ransomware, Sécurité

Les chercheurs de Cisco TALOS ont détecté et analysé un outil (prétendument d’origine chinoise) utilisé dans les opérations APT. Il s’agit d’Alchimist, un framework polyvalent capable de générer des charges utiles pour différents systèmes d’exploitation et comprenant un C2 avec des capacités d’administration à distance. Ce qui est intéressant, c’est que tout cela est inclus dans un seul binaire écrit dans le langage de programmation Go.

(Source: Talos)

Alchimist s’inscrit dans la nouvelle vague d’outils issus des langages de programmation modernes, tels que Go ou Rust, déjà mentionnés. Ces langages sont appelés à remplacer le vénérable langage C et son dérivé C++ et commencent donc à attirer les auteurs de logiciels malveillants en raison de leur capacité à générer un code hautement optimisé, facilement portable et exempt de la plupart des bogues de gestion de la mémoire, ainsi que de leur capacité de développement rapide.

En particulier, le fait que tout le développement puisse être condensé en un seul binaire constitue un autre attrait majeur pour les auteurs de logiciels malveillants, leur permettant de distribuer facilement leurs créations via un seul fichier sans avoir à s’appuyer sur des bibliothèques externes. Au prix, toutefois, d’une augmentation de la taille du binaire.

Il est intéressant de noter que tout l’arsenal découvert par les chercheurs de TALOS était téléchargé et accessible sur un serveur web avec un index ouvert auquel on pouvait accéder en entrant simplement son adresse IP.

Plus d’information:
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

Un appel vidéo avec des inconnus peut exposer vos données

de

On 18/10/2022

dans Sécurité

Depuis quelque temps, il est courant de voir des vidéos sur des réseaux sociaux tels que TikTok dans lesquelles une personne passe un appel vidéo avec des inconnus sur la plateforme Omegle et celle-ci commence à obtenir des informations sur son lieu de résidence, son nom, etc., laissant l’autre participant surpris.

(Source: leparisien.fr)

Dans la vidéo suivante, nous pouvons voir comment le youtuber Charles Clayton obtient la géolocalisation des adresses IP des personnes jumelées avec lui dans les appels vidéo Omegle au moyen d’une petite automatisation.

(source: youtube.com)

Il existe une multitude de clips et de compilations sur les plateformes YouTube et TikTok, bien que certains soient soupçonnés d’être faux ; la question est : comment font-ils ?

La réponse à cette question est non, du moins en principe. Ils ont simplement partagé leur IP publique par le biais du service Omegle et le reste est basé sur l’utilisation de différents outils pour collecter autant d’informations que possible.

Dans le cas de la vidéo, on utilise Wireshark, plus précisément sa version pour terminal tshark, un outil bien connu dont la fonction principale est de collecter et d’analyser le trafic réseau. Au moyen d’un simple automatisme réalisé avec Python, la sortie fournie par le processus tshark est collectée en temps réel, obtenant entre autres l’adresse IP de l’autre participant. Une fois l’adresse IP filtrée par le protocole de l’appel vidéo et l’IP obtenue, ses données de géolocalisation sont demandées à une API qui renvoie le pays, la région, la ville et le code postal.

(Extrait du code dans lequel le trafic réseau lié à l’appel Omegle est filtré et l’IP est extraite.)

Est-ce que ce serait la fin de l’histoire ? Dans la vidéo, oui, mais la réalité est que la situation peut toujours être poussée plus loin. Dans de bonnes conditions, il pourrait y avoir des cas où des dispositifs IoT, tels que des caméras, exposés via le routeur, pourraient être connectés, avec ou sans informations d’identification par défaut. Tout un répertoire d’idées pour assommer l’autre ou réaliser des actions malveillantes.

C’est un problème connu depuis longtemps et que la plateforme n’a toujours pas réglé. L’application web établit la connexion directement entre les deux participants à l’appel afin que chacun d’eux puisse connaître l’IP publique de l’autre. Une fois ces informations connues, il ne reste plus qu’à utiliser les outils et techniques de l’OSINT (Open Source Intelligence) pour obtenir un maximum d’informations et surprendre ou plutôt effrayer la personne de l’autre côté de l’écran.

Il est recommandé, lors d’interactions avec des inconnus sur l’internet ou de la visite de sites web susceptibles d’exposer nos données, de prendre des mesures pour masquer notre véritable IP. Les moyens les plus courants d’y parvenir sont l’utilisation de TOR, d’un proxy ou d’un VPN.

Plus d’information :
https://www.bitdefender.com/blog/hotforsecurity/curious-about-omegle-heres-how-the-roulette-style-chat-platform-can-threaten-your-online-privacy-and-security/
https://github.com/crclayton/streamer-locator/blob/master/python-wireshark-geolocate.py

Brute Ratel, le petit nouveau!

de

On 17/10/2022

dans Data Leak, Malware, Ransomware, Sécurité

Si nous étions déjà habitués à étudier les techniques employées par les groupes APT dans l’utilisation de l’outil Cobalt-Strike, nous sommes maintenant rejoints par un nouvel acteur : Brute Ratel. Une version craquée de ce logiciel a été mise à la disposition des utilisateurs de divers forums clandestins et de canaux liés à la cybercriminalité.

Brute Ratel est le produit d’une société appelée Dark Vortex. Un outil dont l’objectif est très similaire à celui de Cobalt Strike. Il est utilisé pour coordonner les actions post-exploitation lors des exercices de Red Teaming. En d’autres termes, il s’agit d’un cadre d’attaque très professionnel qui vise à agréger les communications de différents nœuds ou machines compromises avec des capacités de furtivité et un profil bas contre les solutions de détection des logiciels malveillants.

Jusqu’à présent, l’outil n’a pas été largement diffusé ou utilisé, mais cela pourrait changer avec la publication de cette version craquée. Comme pour Cobalt Strike, il faut s’attendre à ce que les groupes cybercriminels s’approprient sa fonctionnalité (il est capable de créer des shellcodes qui ne sont pas détectés) et l’adaptent à leurs opérations.

Si les détections de l’utilisation de Cobalt Strike étaient jusqu’à présent indispensables pour indiquer une opération en cours, un nouveau concurrent entre en jeu. Il est possible que, d’ici peu, nous voyions de nombreux autres échantillons de logiciels malveillants utiliser ce nouveau cadre, profitant du fait qu’il n’est pas encore un visage familier dans le voisinage et qu’il peut passer inaperçu.

Plus d’information:
https://bruteratel.com
https://blog.bushidotoken.net/2022/09/brute-ratel-cracked-and-shared-across.html

Page 9 of 26

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén