Non classé

Un chercheur en sécurité crée une nouvelle porte dérobée inspirée par les logiciels malveillants de la NSA

Le 25 avril 2019 - 4 minutes de lecture

SMBdoor

Un chercheur en sécurité a créé une sauvegarde de porte dérobée inspirée d'un logiciel malveillant de la NSA qui a filtré en ligne au printemps 2017.

Ce nouveau malware s’appelle SMBdoor et travaille sur le chercheur en sécurité de RiskSence, Sean Dillon (@ zerosum0x0).

Dillon a conçu SMBdoor comme un pilote de noyau Windows qui, une fois installé sur un PC, abusera des API indéfinies du processus srvnet.sys pour s’inscrire en tant que commerçant valide pour les connexions SMB (Server Message Block).

Les logiciels malveillants sont très laids, car ils ne se lient pas aux prises électriques locales, aux ports ouverts ou aux points d'ancrage des fonctionnalités existantes, évitant ainsi de déclencher des alertes pour certains programmes antivirus.

La conception a été inspirée par des comportements similaires à ceux observés par Dillon dans DoublePulsar et DarkPulsar, deux implants malveillants conçus par la NSA, qui ont été révélés par un groupe de pirates informatiques cruel connu sous le nom de The Shadow Brokers.

Non militarisé

Mais certains utilisateurs peuvent se demander: pourquoi un chercheur en sécurité a-t-il créé un malware, en premier lieu?

Dans une interview avec ZDNet Aujourd'hui, Dillon nous a dit que le code SMBdoor n'était pas une arme, et que les cybercriminels ne pouvaient pas le télécharger depuis GitHub et infecter les utilisateurs, tout comme ils pouvaient télécharger et distribuer des versions du DoublePulsar de la NSA immédiatement.

"[SMBdoor] Vient avec des limitations pratiques qui en font principalement une exploration académique, mais j’ai pensé que cela pourrait être intéressant à partager, et c’est peut-être quelque chose [endpoint detection and response, aka antivirus] les produits doivent surveiller ", a déclaré dillon.

"Il y a des limites à la preuve de concept qu'un attaquant a dû surmonter", a-t-il ajouté. "Le plus important est que Windows moderne tente de bloquer le code du noyau non signé.

"Il y a aussi des complications secondaires, la porte arrière devra prendre en compte, lors du processus de chargement des charges utiles secondaires, afin d'utiliser la mémoire paginée et non de déverrouiller le système", a déclaré Dillon.

"Ces deux problèmes comportent plusieurs passes de villes bien connues, mais ils deviennent encore plus difficiles lorsque des améliorations modernes, telles que l'intégrité de code Hyper-V, sont activées."

Dillon a déclaré que, à moins qu'un attaquant apprécie plus que l'effort nécessaire pour modifier SMBdoor, ce malware expérimental n'est pas très utile pour personne.

Furtif du design

Le travail de Dillon chez SMBdoor a attiré l'attention de nombreux chercheurs en sécurité grâce à sa conception intelligente et à l'utilisation de fonctionnalités API non documentées.

"En tant que DOUBLEPULSAR, cet implant se cache dans une zone ésotérique du système", a déclaré Dillon. ZDNet.

"L'écoute du trafic réseau sur un port déjà relié, sans toucher à aucune prise de courant, n'est pas bien établie dans les méthodes actuelles et fait partie d'un domaine de recherche élargi.

"Même s’il peut y avoir des sites dans le système, un point d’accès générique en ligne peut produire un effet similaire, mais cette méthode est intéressante car elle se cache avec les fonctionnalités de base normales de SMB.

"C'est une anomalie qui nécessite un code spécifique et personnalisé pour être détecté", a déclaré Dillon.

Le chercheur espère que ses travaux chez SMBdoor inciteront les éditeurs de logiciels de sécurité à améliorer leur détection et offriront ainsi une meilleure protection aux utilisateurs de Windows contre les menaces SMBdoor, DoublePulsar et DarkPulsar.

Le travail de Dillon consiste à analyser les logiciels malveillants de la NSA qui ont été divulgués et connus de ses pairs. Auparavant, il a dépeint la bataille éternelle, la romance éternelle et EternalSynergy NSA exploitant le travail de toutes les versions de Windows pour revenir à Windows 2000; il a porté l'implant de logiciel malveillant DoublePulsar pour qu'il fonctionne sur des périphériques IoT basés sur Windows; et a également porté l'exploit EternalBlue SMB (celui utilisé par les souches de WannaCry et de NotPetya ransomware) pour fonctionner sur les versions modernes de Windows 10.

Logiciels malveillants et site Web associés:

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.