learn.hack.repeat

Étiquette : Sécurité Page 26 of 27

Europol met fin à Emotet

de

On 29/04/2021

dans Sécurité

Une opération d’Europol a permis de mettre à jour Emotet le 25 avril afin de supprimer le logiciel malveillant de tous les ordinateurs infectés.

Emotet a commencé comme l’un des nombreux chevaux de Troie bancaires, avec ses premières apparitions en 2014. Puis, au fil du temps, il a évolué vers un logiciel malveillant modulaire. Il s’agit notamment de l’envoi de courriers électroniques non sollicités ou du vol d’argent. Sa principale fonction, ces derniers temps, était d’agir comme un téléchargeur. Dans ce rôle, il a servi à télécharger et à exécuter d’autres logiciels malveillants tels que Trickbot. Il y a quelques mois, j’avais évoqué dans ce blog la manière dont sa propagation a été arrêtée.

Workflow d’Emotet. Source : CISA

Le 25 avril, Europol a publié une mise à jour du botnet avec EmotetLoader.dll, une DLL 32 bits qui exécute une routine permettant de supprimer les logiciels malveillants des ordinateurs infectés. Deux chercheurs de Malwarebytes, Jérôme Segura et Hasherezade, ont analysé son fonctionnement.

L’une des nouvelles routines, uninstall_in_april, est un vérificateur de date. Si le délai est dépassé, le 25 avril, la sous-routine de désinstallation est exécutée. Sinon, il continue à vérifier dans une boucle jusqu’à ce que la condition soit remplie.

Routine de vérification des dates. Source : Malwarebytes

La sous-routine pour désinstaller Emotet est simple. Tout d’abord, il supprime le service associé à Emotet, puis il supprime la clé de registre et tente de déplacer le fichier vers %temp%. Enfin, il met fin au processus, ce qui prend en compte les deux mécanismes de persistance du malware. La clé de registre est indiquée dans les scénarios où l’installation ne nécessite pas de privilèges, et le service associé est indiqué lorsque l’échantillon est exécuté avec des privilèges d’administrateur.

L’infrastructure d’Emotet a été mise sur écoute fin janvier et les communications avec le botnet ont été redirigées vers des serveurs de commande et de contrôle appartenant à l’Office fédéral allemand d’investigation criminelle (Bundeskriminalamt). Il convient de noter que cette mise à jour ne supprime pas le logiciel malveillant installé par Emotet.

Plus d’information:
https://www.bleepingcomputer.com/news/security/emotet-malware-nukes-itself-today-from-all-infected-computers-worldwide/
https://digit.fyi/goodbye-emotet-notorious-botnet-permanently-deleted/
https://blog.malwarebytes.com/threat-analysis/2021/01/cleaning-up-after-emotet-the-law-enforcement-file/

Découverte d’une vulnérabilité critique dans VMWare vCenter

de

On 26/02/2021

dans CVE, Sécurité

Une vulnérabilité a récemment été découverte dans le logiciel vCenter Server de VMWare qui permet à un attaquant d’exécuter du code à distance.

Le logiciel vCenter Server développé par VMWare permet aux administrateurs système de gérer les machines virtuelles et les hôtes utilisés dans les environnements d’entreprise au moyen d’une console unique.

Pour gérer les différents hôtes et machines virtuelles, les administrateurs système utilisent le logiciel vCenter Client, qui est un client web (HTML5) qui effectue des requêtes à l’API fournie par vCenter Server. Pour utiliser le client, il est nécessaire que les administrateurs s’authentifient avec un utilisateur valide sur le système, cependant, la vulnérabilité ne nécessite pas d’authentification pour être exploitée.

Comme nous pouvons le voir dans le tweet suivant de PT SWARM, en faisant une simple requête HTTP à l’API vCenter, il est possible d’exploiter la vulnérabilité, avec laquelle un attaquant peut exécuter des commandes système et finalement exécuter du code malveillant. En outre, il est possible d’exploiter la vulnérabilité sans configuration spéciale, car le problème se produit également dans les configurations par défaut.

Imagen

Cette vulnérabilité a déjà été signalée (CVE-2021-21972) et corrigée par WMWare dans la dernière mise à jour qu’ils ont publiée. Il est fortement recommandé de passer à la dernière version de vCenter Server et vCenter Client dès que possible afin de s’assurer qu’aucun attaquant ne puisse exploiter cette vulnérabilité sur vos serveurs.

Plus d’information:
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-all-default-vcenter-installs/

Trick or Treat – Trickbot vs Microsoft

de

On 20/10/2020

dans Sécurité

Le 12 octobre, Microsoft a mené une opération visant à démanteler Trickbot en vertu d’une décision de justice, accordée à l’approche de l’élection présidentielle américaine prévue le 3 novembre, où les ransomwares constituent une préoccupation majeure.

Entre autres motifs d’allégation au cours de l’affaire, Microsoft a inclus le droit d’auteur contre l’utilisation malveillante de son logiciel par Trickbot, créant ainsi un précédent qui pourrait accélérer les actions futures. Microsoft et d’autres entreprises, dont ESET, Black Louts Labs de Lumen, NTT Ltd. et Symantec, ont reçu l’autorisation de désactiver les adresses IP utilisées par les serveurs C&C, de perturber l’accès au contenu stocké sur les serveurs concernés, de suspendre les services aux opérateurs du botnet et de bloquer toute tentative des opérateurs de Trickbot d’acheter ou de louer de nouveaux serveurs.

Trickbot se caractérise par un logiciel malveillant modulaire composé généralement d’un module d’encapsulation, d’un chargeur et d’un module principal. Il permet l’utilisation de différents modules/plugins qui sont étendus dans les versions successives pour améliorer les fonctionnalités. L’enveloppe est utilisée pour échapper aux techniques de détection en exécutant le chargeur en mémoire, ce qui prépare l’ordinateur à l’exécution du logiciel malveillant principal. Les modules Trickbot permettent, entre autres fonctions, d’obtenir des informations sur le système et le réseau de l’ordinateur compromis, de voler des données et des informations d’identification, d’exécuter des commandes et de se propager à d’autres réseaux. En outre, les opérateurs de Trickbot peuvent installer des outils supplémentaires tels que Cobalt Strike, et utiliser PowerShell Empire, PSExec et AdFind pour installer d’autres logiciels malveillants sur l’ordinateur, tels que le célèbre ransomware Ryuk, qui a fait de nombreuses victimes parmi les centres de recherche médicale, les hôpitaux et les universités.

L’un des plus anciens plugins utilisés par Trickbot est le web inject, qui permet au malware de modifier dynamiquement le site Web visité par l’ordinateur compromis. Pour fonctionner, ce plugin utilise des fichiers de configuration spécifiques à un ensemble de sites web, la plupart des fichiers identifiés ciblant des institutions financières selon le rapport publié par ESET, qui établit également un lien entre ce fonctionnement et la flexibilité offerte par Trickbot et le ransomware.

D’autre part, le rapport publié par Microsoft met en évidence de multiples campagnes Trickbot simultanées identifiées au cours du mois de juin, où la complexité de l’utilisation des techniques renforce la conviction qu’elle est utilisée par des groupes organisés. C’est précisément le résultat de ces recherches, ainsi que les craintes que le ransomware n’entache l’élection présidentielle de novembre, qui ont incité à prendre des mesures pour neutraliser le logiciel malveillant.

Conti, le successeur de Ryuk, lance son propre site web pour divulguer des données volées

de

On 27/08/2020

dans Sécurité

Conti est un nouveau ransomware qui a remplacé Ryuk dans les infections via TrickBot. Il a récemment lancé son propre site web pour publier les données volées de ses victimes.

Depuis juillet de cette année, TrickBot, un malware bancaire modulaire utilisé comme dropper de ransomware, a commencé à infecter ses victimes avec un nouveau ransomware appelé Conti.

Il est connu comme le successeur de Ryuk, car jusqu’en juillet, Ryuk était le ransomware de choix des distributeurs de TrickBot pour infecter leurs victimes.

Conti est un nouveau ransomware, dont le modèle économique des développeurs est basé sur ce que l’on appelle le Ransomware-as-a-Service (RaaS), qui consiste à offrir leur ransomware en tant que service, en fournissant à leurs clients le logiciel pour réaliser l’infection et en prenant en charge la configuration et la maintenance du serveur de contrôle.

Conti ransom note

Demande de rançon de Conti (Source : BleepingComputer)

Ce nouveau ransomware a copié le comportement de certains des ransomwares les plus populaires, comme Ryuk, et ne se contente pas de crypter les fichiers contre une rançon, mais demande également un paiement supplémentaire afin que les attaquants ne publient pas les fichiers volés qui sont envoyés au serveur de contrôle avant d’être cryptés.

Afin de rendre publics les fichiers volés et tout leur contenu, les attaquants derrière Conti ont lancé leur propre site web où ils ont déjà commencé à télécharger des fichiers contenant des informations sensibles d’entreprises connues qui ont été attaquées et n’ont pas payé.

En effet, en exigeant une rançon pour récupérer les fichiers, un grand nombre de leurs victimes pourraient simplement ne pas payer et utiliser les copies de sauvegarde dont elles disposent. Cependant, ils cherchent ainsi à mettre les entreprises dans une situation compliquée, car si elles ne paient pas, leurs données seront exposées, ce qui est un problème pour leur réputation.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ryuk-successor-conti-ransomware-releases-data-leak-site/

Guerre froide

de

On 31/01/2020

dans Sécurité

Il semble que l’ancienne guerre froide soit passée des bureaux et des grands panneaux de contrôle des armes nucléaires aux systèmes informatiques et aux réseaux de contrôle industriels – et de là aux téléphones portables. En 2009, Stuxnet a officiellement lancé le concept de cyberespace à des fins politiques et géostratégiques. Avec l’attentat contre Jeff Bezos, il semble qu’une étape soit en train de se consolider où, là où il faut, c’est dans les téléphones portables des puissants. Pour cela, il suffit d’une vulnérabilité qui permet l’exécution de code dans une application qui est très susceptible d’être utilisée avec des personnes de confiance… WhatsApp.

L’attaque de mobiles à cibles stratégiques était déjà connue en 2016 avec Pegasus. L’attaque des Bezos a ramené à l’actualité l’importance du mobile comme vecteur d’attaque. Pour les profils les plus puissants, des bogues logiciels tels que WhatsApp, qui était connu pour avoir jusqu’à 7 vulnérabilités critiques en 2019, sont recherchés. C’est un chiffre anormalement élevé par rapport aux années précédentes, ce qui peut indiquer l’intérêt pour cette plateforme.

Pour le reste des utilisateurs, le moyen d’attaque le plus courant est le logiciel publicitaire, qui est installé par les victimes elles-mêmes grâce à l’ingénierie sociale.

Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/

Page 26 of 27

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén