Des chercheurs d'ESET ont découvert une porte dérobée liée à des logiciels malveillants utilisés par le groupe Stealth Falcon, un opérateur d'attaques ciblées de logiciels espions contre des journalistes, des militants et des dissidents au Moyen-Orient
"},{"id":"text-2","type":"text","heading":"","plain_text":"Stealth Falcon est un groupe menaçant, actif depuis 2012, qui cible les militants politiques et les journalistes au Moyen-Orient. Il a été suivi par le Citizen Lab, une organisation à but non lucratif axée sur la sécurité et les droits de l'homme, qui a publié une analyse d'une cyberattaque particulière en 2016. En janvier 2019, Reuters a publié un rapport d'enquête sur le projet Raven, une initiative qui emploierait anciens agents de la NSA et visant les mêmes types de cibles que Stealth Falcon.\nSur la base de ces deux rapports faisant référence aux mêmes cibles et attaques, le technologue principal d'Amnesty International, Claudio Guarnieri, a conclu que Stealth Falcon et Project Raven sont en fait le même groupe.","html":"Stealth Falcon est un groupe menaçant, actif depuis 2012, qui cible les militants politiques et les journalistes au Moyen-Orient. Il a été suivi par le Citizen Lab, une organisation à but non lucratif axée sur la sécurité et les droits de l'homme, qui a publié une analyse d'une cyberattaque particulière en 2016. En janvier 2019, Reuters a publié un rapport d'enquête sur le projet Raven, une initiative qui emploierait anciens agents de la NSA et visant les mêmes types de cibles que Stealth Falcon.\nSur la base de ces deux rapports faisant référence aux mêmes cibles et attaques, le technologue principal d'Amnesty International, Claudio Guarnieri, a conclu que Stealth Falcon et Project Raven sont en fait le même groupe.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Figure 1. Claudio Guarnieri a connecté Stealth Falcon avec Project Raven","html":"Figure 1. Claudio Guarnieri a connecté Stealth Falcon avec Project Raven
"},{"id":"text-4","type":"text","heading":"","plain_text":"Certaines informations techniques sur Stealth Falcon ont déjà été rendues publiques – notamment dans l'analyse déjà mentionnée du Citizen Lab.\nLe composant clé de l'attaque documentée dans le rapport de Citizen Lab était une porte dérobée basée sur PowerShell, livrée via un document armé inclus dans un e-mail malveillant.\nMaintenant, nous avons trouvé une porte dérobée binaire précédemment non signalée que nous avons nommée Win32 / StealthFalcon. Dans cet article, nous révélons des similitudes entre cette porte dérobée binaire et le script PowerShell avec des capacités de porte dérobée attribuées au groupe Stealth Falcon. Nous considérons les similitudes comme une preuve solide que Win32 / StealthFalcon a été créé par ce groupe.\nLa porte dérobée Win32 / StealthFalcon, qui semble avoir été créée en 2015, permet à l'attaquant de contrôler à distance l'ordinateur compromis. Nous avons vu un petit nombre de cibles aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas; dans ce dernier cas, la cible était une mission diplomatique d'un pays du Moyen-Orient. La manière dont la porte dérobée a été distribuée et exécutée sur les systèmes cibles dépasse le cadre de cette enquête; notre analyse se concentre sur ses capacités et sa communication C&C.\nDans sa communication avec le serveur C&C, Win32 / StealthFalcon utilise le composant Windows standard Service de transfert intelligent en arrière-plan (BITS), une technique plutôt inhabituelle. BITS a été conçu pour transférer de grandes quantités de données sans consommer beaucoup de bande passante réseau, ce qu'il atteint en envoyant les données avec un débit limité afin de ne pas affecter les besoins en bande passante d'autres applications. Il est couramment utilisé par les mises à jour, les messagers et d'autres applications conçues pour fonctionner en arrière-plan. Cela signifie que les tâches BITS sont plus susceptibles d'être autorisées par les pare-feu basés sur l'hôte.\nPar rapport à la communication traditionnelle via les fonctions API, le mécanisme BITS est exposé via une interface COM et donc plus difficile à détecter pour un produit de sécurité. De plus, cette conception est fiable et furtive. Le transfert reprend automatiquement après avoir été interrompu pour des raisons telles qu'une panne de réseau, la déconnexion de l'utilisateur ou un redémarrage du système. De plus, parce que BITS ajuste la vitesse à laquelle les fichiers sont transférés en fonction de la bande passante disponible, l'utilisateur n'a aucune raison de soupçonner.\nWin32 / StealthFalcon peut commuter la communication entre deux serveurs C&C dont les adresses sont stockées dans une clé de registre, ainsi que d'autres valeurs de configuration, et peut être mis à jour par l'une des commandes de porte dérobée. Si la porte dérobée ne parvient pas à atteindre ses serveurs C&C, la porte dérobée se supprime du système compromis après un nombre préconfiguré de tentatives infructueuses.\nWin32 / StealthFalcon est un fichier DLL qui, après exécution, se planifie en tant que tâche s'exécutant à chaque connexion utilisateur. Il ne prend en charge que les commandes de base mais affiche une approche systématique de la collecte de données, de l'exfiltration de données, de l'utilisation d'autres outils malveillants et de la mise à jour de sa configuration.","html":"Certaines informations techniques sur Stealth Falcon ont déjà été rendues publiques – notamment dans l'analyse déjà mentionnée du Citizen Lab.\nLe composant clé de l'attaque documentée dans le rapport de Citizen Lab était une porte dérobée basée sur PowerShell, livrée via un document armé inclus dans un e-mail malveillant.\nMaintenant, nous avons trouvé une porte dérobée binaire précédemment non signalée que nous avons nommée Win32 / StealthFalcon. Dans cet article, nous révélons des similitudes entre cette porte dérobée binaire et le script PowerShell avec des capacités de porte dérobée attribuées au groupe Stealth Falcon. Nous considérons les similitudes comme une preuve solide que Win32 / StealthFalcon a été créé par ce groupe.\nLa porte dérobée Win32 / StealthFalcon, qui semble avoir été créée en 2015, permet à l'attaquant de contrôler à distance l'ordinateur compromis. Nous avons vu un petit nombre de cibles aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas; dans ce dernier cas, la cible était une mission diplomatique d'un pays du Moyen-Orient. La manière dont la porte dérobée a été distribuée et exécutée sur les systèmes cibles dépasse le cadre de cette enquête; notre analyse se concentre sur ses capacités et sa communication C&C.\nDans sa communication avec le serveur C&C, Win32 / StealthFalcon utilise le composant Windows standard Service de transfert intelligent en arrière-plan (BITS), une technique plutôt inhabituelle. BITS a été conçu pour transférer de grandes quantités de données sans consommer beaucoup de bande passante réseau, ce qu'il atteint en envoyant les données avec un débit limité afin de ne pas affecter les besoins en bande passante d'autres applications. Il est couramment utilisé par les mises à jour, les messagers et d'autres applications conçues pour fonctionner en arrière-plan. Cela signifie que les tâches BITS sont plus susceptibles d'être autorisées par les pare-feu basés sur l'hôte.\nPar rapport à la communication traditionnelle via les fonctions API, le mécanisme BITS est exposé via une interface COM et donc plus difficile à détecter pour un produit de sécurité. De plus, cette conception est fiable et furtive. Le transfert reprend automatiquement après avoir été interrompu pour des raisons telles qu'une panne de réseau, la déconnexion de l'utilisateur ou un redémarrage du système. De plus, parce que BITS ajuste la vitesse à laquelle les fichiers sont transférés en fonction de la bande passante disponible, l'utilisateur n'a aucune raison de soupçonner.\nWin32 / StealthFalcon peut commuter la communication entre deux serveurs C&C dont les adresses sont stockées dans une clé de registre, ainsi que d'autres valeurs de configuration, et peut être mis à jour par l'une des commandes de porte dérobée. Si la porte dérobée ne parvient pas à atteindre ses serveurs C&C, la porte dérobée se supprime du système compromis après un nombre préconfiguré de tentatives infructueuses.\nWin32 / StealthFalcon est un fichier DLL qui, après exécution, se planifie en tant que tâche s'exécutant à chaque connexion utilisateur. Il ne prend en charge que les commandes de base mais affiche une approche systématique de la collecte de données, de l'exfiltration de données, de l'utilisation d'autres outils malveillants et de la mise à jour de sa configuration.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Nom de la commande\nFonctionnalité","html":"Nom de la commande\nFonctionnalité
"},{"id":"text-6","type":"text","heading":"","plain_text":"K\nSe désinstaller","html":"K\nSe désinstaller
"},{"id":"text-7","type":"text","heading":"","plain_text":"CFG\nMettre à jour les données de configuration","html":"CFG\nMettre à jour les données de configuration
"},{"id":"text-8","type":"text","heading":"","plain_text":"RC\nExécutez l'application spécifiée","html":"RC\nExécutez l'application spécifiée
"},{"id":"text-9","type":"text","heading":"","plain_text":"DL\nÉcrire les données téléchargées dans un fichier","html":"DL\nÉcrire les données téléchargées dans un fichier
"},{"id":"text-10","type":"text","heading":"","plain_text":"CF\nPréparer un fichier pour l'exfiltration","html":"CF\nPréparer un fichier pour l'exfiltration
"},{"id":"text-11","type":"text","heading":"","plain_text":"CFW\nExfiltrer et supprimer des fichiers","html":"CFW\nExfiltrer et supprimer des fichiers
"},{"id":"text-12","type":"text","heading":"","plain_text":"CFWD\nNon implémenté / aucune opération","html":"CFWD\nNon implémenté / aucune opération
"},{"id":"text-13","type":"text","heading":"","plain_text":"Tableau 1. Commandes de porte dérobée\nPar exemple, la fonctionnalité clé de la porte dérobée, téléchargeant et exécutant des fichiers, est obtenue via des vérifications régulières des bibliothèques nommées «win * .dll» ou «std * .dll» dans le répertoire à partir duquel le logiciel malveillant est exécuté et en chargeant ces bibliothèques.\nDe plus, Win32 / StealthFalcon collecte les fichiers et les prépare à l'exfiltration en stockant une copie cryptée avec un préfixe codé en dur dans un dossier temporaire. Il vérifie ensuite régulièrement ces fichiers et les exfiltre automatiquement. Après l'exfiltration réussie des fichiers, le malware supprime en toute sécurité tous les fichiers journaux et les fichiers collectés – avant de supprimer les fichiers, il les réécrit avec des données aléatoires – pour empêcher l'analyse judiciaire et la récupération des données supprimées.\nLes valeurs de configuration sont stockées dans le HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Shell Extensions clé d'enregistrement. Toutes les valeurs sont préfixées par le nom de fichier du logiciel malveillant (sans extension).","html":"Tableau 1. Commandes de porte dérobée\nPar exemple, la fonctionnalité clé de la porte dérobée, téléchargeant et exécutant des fichiers, est obtenue via des vérifications régulières des bibliothèques nommées «win * .dll» ou «std * .dll» dans le répertoire à partir duquel le logiciel malveillant est exécuté et en chargeant ces bibliothèques.\nDe plus, Win32 / StealthFalcon collecte les fichiers et les prépare à l'exfiltration en stockant une copie cryptée avec un préfixe codé en dur dans un dossier temporaire. Il vérifie ensuite régulièrement ces fichiers et les exfiltre automatiquement. Après l'exfiltration réussie des fichiers, le malware supprime en toute sécurité tous les fichiers journaux et les fichiers collectés – avant de supprimer les fichiers, il les réécrit avec des données aléatoires – pour empêcher l'analyse judiciaire et la récupération des données supprimées.\nLes valeurs de configuration sont stockées dans le HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Shell Extensions clé d'enregistrement. Toutes les valeurs sont préfixées par le nom de fichier du logiciel malveillant (sans extension).
"},{"id":"text-14","type":"text","heading":"","plain_text":"Suffixe du nom de la valeur\nContenu","html":"Suffixe du nom de la valeur\nContenu
"},{"id":"text-15","type":"text","heading":"","plain_text":"-FontDisposition\nID de victime de 4 octets généré aléatoirement","html":"-FontDisposition\nID de victime de 4 octets généré aléatoirement
"},{"id":"text-16","type":"text","heading":"","plain_text":"-MRUData\nDomaine C&C crypté RC4","html":"-MRUData\nDomaine C&C crypté RC4
"},{"id":"text-17","type":"text","heading":"","plain_text":"-MRUList\nDomaine C&C crypté RC4","html":"-MRUList\nDomaine C&C crypté RC4
"},{"id":"text-18","type":"text","heading":"","plain_text":"-IconPosition\nIndicateur déterminant les domaines C&C à utiliser","html":"-IconPosition\nIndicateur déterminant les domaines C&C à utiliser
"},{"id":"text-19","type":"text","heading":"","plain_text":"-IconDisposition\nNombre de secondes de sommeil après chaque itération de contact avec le serveur C&C","html":"-IconDisposition\nNombre de secondes de sommeil après chaque itération de contact avec le serveur C&C
"},{"id":"text-20","type":"text","heading":"","plain_text":"-PopupPosition\nCompteur des tentatives infructueuses pour atteindre les serveurs C&C","html":"-PopupPosition\nCompteur des tentatives infructueuses pour atteindre les serveurs C&C
"},{"id":"text-21","type":"text","heading":"","plain_text":"Tableau 2. Données de configuration stockées dans le registre\nUne fonction intéressante est exécutée avant le démarrage de toute charge utile malveillante et semble redondante. Il fait référence à plus de 300 importations, mais ne les utilise pas du tout. Au lieu de cela, il revient toujours et continue avec la charge utile par la suite, sans vérification des conditions qui suggérerait qu'il s'agit d'une astuce anti-émulation.","html":"Tableau 2. Données de configuration stockées dans le registre\nUne fonction intéressante est exécutée avant le démarrage de toute charge utile malveillante et semble redondante. Il fait référence à plus de 300 importations, mais ne les utilise pas du tout. Au lieu de cela, il revient toujours et continue avec la charge utile par la suite, sans vérification des conditions qui suggérerait qu'il s'agit d'une astuce anti-émulation.
"},{"id":"text-22","type":"text","heading":"","plain_text":"Figure 2. Une fonction référençant des centaines d'importations inutilisées, éventuellement ajoutée pour éviter la détection du malware\nNous ne connaissons pas l'intention précise de cette fonction, mais nous soupçonnons qu'il s'agit soit d'une tentative d'échapper à la détection, soit d'une partie d'un cadre plus large utilisé par les auteurs de logiciels malveillants.\nWin32 / StealthFalcon et la porte dérobée basée sur PowerShell décrits dans l'analyse de Citizen Lab partagent le même serveur C&C: l'adresse windowsearchcache[.]com a été utilisé comme «domaine de serveur C2 de deuxième étape» dans la porte dérobée analysée par le Citizen Lab, ainsi que dans l'une des versions de Win32 / StealthFalcon.\nLes deux portes dérobées présentent des similitudes significatives dans le code – bien qu'elles soient écrites dans des langages différents, la logique sous-jacente est préservée. Les deux utilisent des identifiants codés en dur (très probablement l'ID de campagne / ID cible). Dans les deux cas, toutes les communications réseau de l'hôte compromis sont préfixées avec ces identifiants et chiffrées avec RC4 à l'aide d'une clé codée en dur.\nPour leur communication avec le serveur C&C, ils utilisent tous deux HTTPS mais définissent des indicateurs spécifiques pour la connexion afin d'ignorer le certificat du serveur.\nNous avons découvert et analysé une porte dérobée avec une technique rare pour la communication C&C – en utilisant Windows BITS – et quelques techniques avancées pour entraver la détection et l'analyse, et pour assurer la persistance et compliquer l'analyse médico-légale. Les similitudes dans le code et l'infrastructure avec un malware précédemment connu par Stealth Falcon nous conduisent à la conclusion que la porte dérobée Win32 / StealthFalcon est également le travail de ce groupe de menaces.\nNom de détection ESET\nWin32 / StealthFalcon\nSHA-1\n31B54AEBDAF5FBC73A66AC41CCB35943CC9B7F7250973A3FC57D70C7911F7A952356188B9939E56B244EB62B9AC30934098CA4204447440D6FC4E2595C8F83CC4FF57E7C67925DF4D9DAABE5D0CC07E2\nClés RC4\n258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA32519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A23EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F68DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE\nRemarque: Un logiciel malveillant dérive une deuxième clé RC4 en XORant chaque octet de la clé codée en dur avec 0x3D.\nIndicateurs basés sur l'hôte\nNoms de fichiers malveillants\nImageIndexer.dllWindowsBackup.dllWindowsSearchCache.dllJavaUserUpdater.dll\nModèles de nom de fichier journal\n% TEMP% dsc *% TEMP% sld *% TEMP% plx *\nClés / valeurs de registre\nHKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Shell ExtensionsX-MRUListX-MRUDataX-FontDispositionX-IconDispositionX-IconPositionX-PopupPositionX est le nom de fichier du malware (sans extension).\nIndicateurs de réseau\nNoms de travail BITS\nWindowsImages-WindowsBackup-WindowsSearchCache-ElectricWeb\nServeurs C&C\nfootballtimes[.]Infoportfolio de légumes[.]comwindowsearchcache[.]comelectricweb[.]orgupnpdiscover[.]org","html":"Figure 2. Une fonction référençant des centaines d'importations inutilisées, éventuellement ajoutée pour éviter la détection du malware\nNous ne connaissons pas l'intention précise de cette fonction, mais nous soupçonnons qu'il s'agit soit d'une tentative d'échapper à la détection, soit d'une partie d'un cadre plus large utilisé par les auteurs de logiciels malveillants.\nWin32 / StealthFalcon et la porte dérobée basée sur PowerShell décrits dans l'analyse de Citizen Lab partagent le même serveur C&C: l'adresse windowsearchcache[.]com a été utilisé comme «domaine de serveur C2 de deuxième étape» dans la porte dérobée analysée par le Citizen Lab, ainsi que dans l'une des versions de Win32 / StealthFalcon.\nLes deux portes dérobées présentent des similitudes significatives dans le code – bien qu'elles soient écrites dans des langages différents, la logique sous-jacente est préservée. Les deux utilisent des identifiants codés en dur (très probablement l'ID de campagne / ID cible). Dans les deux cas, toutes les communications réseau de l'hôte compromis sont préfixées avec ces identifiants et chiffrées avec RC4 à l'aide d'une clé codée en dur.\nPour leur communication avec le serveur C&C, ils utilisent tous deux HTTPS mais définissent des indicateurs spécifiques pour la connexion afin d'ignorer le certificat du serveur.\nNous avons découvert et analysé une porte dérobée avec une technique rare pour la communication C&C – en utilisant Windows BITS – et quelques techniques avancées pour entraver la détection et l'analyse, et pour assurer la persistance et compliquer l'analyse médico-légale. Les similitudes dans le code et l'infrastructure avec un malware précédemment connu par Stealth Falcon nous conduisent à la conclusion que la porte dérobée Win32 / StealthFalcon est également le travail de ce groupe de menaces.\nNom de détection ESET\nWin32 / StealthFalcon\nSHA-1\n31B54AEBDAF5FBC73A66AC41CCB35943CC9B7F7250973A3FC57D70C7911F7A952356188B9939E56B244EB62B9AC30934098CA4204447440D6FC4E2595C8F83CC4FF57E7C67925DF4D9DAABE5D0CC07E2\nClés RC4\n258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA32519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A23EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F68DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE\nRemarque: Un logiciel malveillant dérive une deuxième clé RC4 en XORant chaque octet de la clé codée en dur avec 0x3D.\nIndicateurs basés sur l'hôte\nNoms de fichiers malveillants\nImageIndexer.dllWindowsBackup.dllWindowsSearchCache.dllJavaUserUpdater.dll\nModèles de nom de fichier journal\n% TEMP% dsc *% TEMP% sld *% TEMP% plx *\nClés / valeurs de registre\nHKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Shell ExtensionsX-MRUListX-MRUDataX-FontDispositionX-IconDispositionX-IconPositionX-PopupPositionX est le nom de fichier du malware (sans extension).\nIndicateurs de réseau\nNoms de travail BITS\nWindowsImages-WindowsBackup-WindowsSearchCache-ElectricWeb\nServeurs C&C\nfootballtimes[.]Infoportfolio de légumes[.]comwindowsearchcache[.]comelectricweb[.]orgupnpdiscover[.]org
"},{"id":"text-23","type":"text","heading":"","plain_text":"Tactique\nIdentifiant\nprénom\nLa description","html":"Tactique\nIdentifiant\nprénom\nLa description
"},{"id":"text-24","type":"text","heading":"","plain_text":"Exécution\nT1059\nInterface de ligne de commande\nUtilisations de logiciels malveillants cmd.exe pour exécuter certaines commandes.","html":"Exécution\nT1059\nInterface de ligne de commande\nUtilisations de logiciels malveillants cmd.exe pour exécuter certaines commandes.
"},{"id":"text-25","type":"text","heading":"","plain_text":"T1106\nExécution via API\nUtilisations de logiciels malveillants CreateProcessW API pour l'exécution.","html":"T1106\nExécution via API\nUtilisations de logiciels malveillants CreateProcessW API pour l'exécution.
"},{"id":"text-26","type":"text","heading":"","plain_text":"T1085\nRundll32\nUtilisations de logiciels malveillants rundll32.exe pour charger la DLL de porte dérobée.","html":"T1085\nRundll32\nUtilisations de logiciels malveillants rundll32.exe pour charger la DLL de porte dérobée.
"},{"id":"text-27","type":"text","heading":"","plain_text":"T1053\nTâche planifiée\nHoraires des programmes malveillants rundll32.exe à exécuter à chaque connexion, puis à charger la DLL de porte dérobée.","html":"T1053\nTâche planifiée\nHoraires des programmes malveillants rundll32.exe à exécuter à chaque connexion, puis à charger la DLL de porte dérobée.
"},{"id":"text-28","type":"text","heading":"","plain_text":"Persistance\nT1053\nTâche planifiée\nLes logiciels malveillants établissent la persistance en planifiant une tâche qui charge la porte dérobée à chaque connexion utilisateur.","html":"Persistance\nT1053\nTâche planifiée\nLes logiciels malveillants établissent la persistance en planifiant une tâche qui charge la porte dérobée à chaque connexion utilisateur.
"},{"id":"text-29","type":"text","heading":"","plain_text":"Evasion de défense\nT1197\nEmplois BITS\nLes logiciels malveillants utilisent le mécanisme de transfert de fichiers BITS pour la communication réseau, afin d'éviter la détection.","html":"Evasion de défense\nT1197\nEmplois BITS\nLes logiciels malveillants utilisent le mécanisme de transfert de fichiers BITS pour la communication réseau, afin d'éviter la détection.
"},{"id":"text-30","type":"text","heading":"","plain_text":"T1140\nDésobfusquez / décodez des fichiers ou des informations\nLes chaînes sont chiffrées avec un chiffrement XOR personnalisé.","html":"T1140\nDésobfusquez / décodez des fichiers ou des informations\nLes chaînes sont chiffrées avec un chiffrement XOR personnalisé.
"},{"id":"text-31","type":"text","heading":"","plain_text":"Les données de configuration et les fichiers journaux sont cryptés avec RC4, à l'aide d'une clé codée en dur.","html":"Les données de configuration et les fichiers journaux sont cryptés avec RC4, à l'aide d'une clé codée en dur.
"},{"id":"text-32","type":"text","heading":"","plain_text":"T1107\nSuppression de fichiers\nUn logiciel malveillant écrase les fichiers avec des données aléatoires et les supprime après l'exfiltration.","html":"T1107\nSuppression de fichiers\nUn logiciel malveillant écrase les fichiers avec des données aléatoires et les supprime après l'exfiltration.
"},{"id":"text-33","type":"text","heading":"","plain_text":"T1036\nMascarade\nLes logiciels malveillants tentent de se déguiser en utilisant des noms de fichiers apparemment légitimes.","html":"T1036\nMascarade\nLes logiciels malveillants tentent de se déguiser en utilisant des noms de fichiers apparemment légitimes.
"},{"id":"text-34","type":"text","heading":"","plain_text":"T1112\nModifier le registre\nUn logiciel malveillant stocke sa configuration dans une clé de registre.","html":"T1112\nModifier le registre\nUn logiciel malveillant stocke sa configuration dans une clé de registre.
"},{"id":"text-35","type":"text","heading":"","plain_text":"T1027\nFichiers ou informations obscurcis\nLes chaînes sont chiffrées avec un chiffrement XOR personnalisé.","html":"T1027\nFichiers ou informations obscurcis\nLes chaînes sont chiffrées avec un chiffrement XOR personnalisé.
"},{"id":"text-36","type":"text","heading":"","plain_text":"Les données de configuration et les fichiers journaux sont cryptés avec RC4, à l'aide d'une clé codée en dur.","html":"Les données de configuration et les fichiers journaux sont cryptés avec RC4, à l'aide d'une clé codée en dur.
"},{"id":"text-37","type":"text","heading":"","plain_text":"Découverte\nT1063\nDécouverte de logiciels de sécurité\nLes logiciels malveillants s’arrêtent si le binaire McAfee Agent (cmdagent.exe) est détecté.","html":"Découverte\nT1063\nDécouverte de logiciels de sécurité\nLes logiciels malveillants s’arrêtent si le binaire McAfee Agent (cmdagent.exe) est détecté.
"},{"id":"text-38","type":"text","heading":"","plain_text":"Collection\nT1074\nDonnées par étapes\nLes logiciels malveillants stockent les données collectées dans un dossier temporaire dans des fichiers nommés avec un préfixe codé en dur.","html":"Collection\nT1074\nDonnées par étapes\nLes logiciels malveillants stockent les données collectées dans un dossier temporaire dans des fichiers nommés avec un préfixe codé en dur.
"},{"id":"text-39","type":"text","heading":"","plain_text":"T1005\nDonnées du système local\nMalware a une commande pour collecter / voler un fichier du système compromis.","html":"T1005\nDonnées du système local\nMalware a une commande pour collecter / voler un fichier du système compromis.
"},{"id":"text-40","type":"text","heading":"","plain_text":"Commander et contrôler\nT1008\nCanaux de secours\nLes logiciels malveillants sont capables de communiquer avec deux serveurs C&C; il prend également en charge le basculement vers un autre serveur C&C à l'aide d'une commande de porte dérobée.","html":"Commander et contrôler\nT1008\nCanaux de secours\nLes logiciels malveillants sont capables de communiquer avec deux serveurs C&C; il prend également en charge le basculement vers un autre serveur C&C à l'aide d'une commande de porte dérobée.
"},{"id":"text-41","type":"text","heading":"","plain_text":"T1105\nCopie de fichier à distance\nLes logiciels malveillants utilisent les travaux BITS pour la communication C&C.","html":"T1105\nCopie de fichier à distance\nLes logiciels malveillants utilisent les travaux BITS pour la communication C&C.
"},{"id":"text-42","type":"text","heading":"","plain_text":"T1005\nProtocole cryptographique standard\nUn logiciel malveillant chiffre la communication C&C à l'aide de RC4 avec une clé codée en dur.","html":"T1005\nProtocole cryptographique standard\nUn logiciel malveillant chiffre la communication C&C à l'aide de RC4 avec une clé codée en dur.
"},{"id":"text-43","type":"text","heading":"","plain_text":"Exfiltration\nT1020\nExfiltration automatisée\nLes logiciels malveillants exfiltrent automatiquement les fichiers dans un dossier temporaire dans des fichiers nommés avec un préfixe codé en dur.","html":"Exfiltration\nT1020\nExfiltration automatisée\nLes logiciels malveillants exfiltrent automatiquement les fichiers dans un dossier temporaire dans des fichiers nommés avec un préfixe codé en dur.
"},{"id":"text-44","type":"text","heading":"","plain_text":"T1022\nDonnées cryptées\nLes logiciels malveillants chiffrent les données collectées à l'aide de RC4 avec une clé codée en dur, avant l'exfiltration.","html":"T1022\nDonnées cryptées\nLes logiciels malveillants chiffrent les données collectées à l'aide de RC4 avec une clé codée en dur, avant l'exfiltration.
"},{"id":"text-45","type":"text","heading":"","plain_text":"T1041\nExfiltration sur le canal de commande et de contrôle\nLes logiciels malveillants exfiltrent les données sur le canal C&C.","html":"T1041\nExfiltration sur le canal de commande et de contrôle\nLes logiciels malveillants exfiltrent les données sur le canal C&C.
"},{"id":"text-46","type":"text","heading":"","plain_text":"Recherche ESET\t\t\t\t\t\t\t\t9 sept. 2019-11: 30 AM","html":"Recherche ESET\t\t\t\t\t\t\t\t9 sept. 2019-11: 30 AM
"},{"id":"text-47","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Des chercheurs d'ESET ont découvert une porte dérobée liée à des logiciels malveillants utilisés par le groupe Stealth Falcon, un opérateur d'attaques ciblées de logiciels espions contre des journalistes, des militants et des dissidents au Moyen-Orient"},{"id":"text-2","heading":"Text","content":"Stealth Falcon est un groupe menaçant, actif depuis 2012, qui cible les militants politiques et les journalistes au Moyen-Orient. Il a été suivi par le Citizen Lab, une organisation à but non lucratif axée sur la sécurité et les droits de l'homme, qui a publié une analyse d'une cyberattaque particulière en 2016. En janvier 2019, Reuters a publié un rapport d'enquête sur le projet Raven, une initiative qui emploierait anciens agents de la NSA et visant les mêmes types de cibles que Stealth Falcon.\nSur la base de ces deux rapports faisant référence aux mêmes cibles et attaques, le technologue principal d'Amnesty International, Claudio Guarnieri, a conclu que Stealth Falcon et Project Raven sont en fait le même groupe."},{"id":"text-3","heading":"Text","content":"Figure 1. Claudio Guarnieri a connecté Stealth Falcon avec Project Raven"},{"id":"text-4","heading":"Text","content":"Certaines informations techniques sur Stealth Falcon ont déjà été rendues publiques – notamment dans l'analyse déjà mentionnée du Citizen Lab.\nLe composant clé de l'attaque documentée dans le rapport de Citizen Lab était une porte dérobée basée sur PowerShell, livrée via un document armé inclus dans un e-mail malveillant.\nMaintenant, nous avons trouvé une porte dérobée binaire précédemment non signalée que nous avons nommée Win32 / StealthFalcon. Dans cet article, nous révélons des similitudes entre cette porte dérobée binaire et le script PowerShell avec des capacités de porte dérobée attribuées au groupe Stealth Falcon. Nous considérons les similitudes comme une preuve solide que Win32 / StealthFalcon a été créé par ce groupe.\nLa porte dérobée Win32 / StealthFalcon, qui semble avoir été créée en 2015, permet à l'attaquant de contrôler à distance l'ordinateur compromis. Nous avons vu un petit nombre de cibles aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas; dans ce dernier cas, la cible était une mission diplomatique d'un pays du Moyen-Orient. La manière dont la porte dérobée a été distribuée et exécutée sur les systèmes cibles dépasse le cadre de cette enquête; notre analyse se concentre sur ses capacités et sa communication C&C.\nDans sa communication avec le serveur C&C, Win32 / StealthFalcon utilise le composant Windows standard Service de transfert intelligent en arrière-plan (BITS), une technique plutôt inhabituelle. BITS a été conçu pour transférer de grandes quantités de données sans consommer beaucoup de bande passante réseau, ce qu'il atteint en envoyant les données avec un débit limité afin de ne pas affecter les besoins en bande passante d'autres applications. Il est couramment utilisé par les mises à jour, les messagers et d'autres applications conçues pour fonctionner en arrière-plan. Cela signifie que les tâches BITS sont plus susceptibles d'être autorisées par les pare-feu basés sur l'hôte.\nPar rapport à la communication traditionnelle via les fonctions API, le mécanisme BITS est exposé via une interface COM et donc plus difficile à détecter pour un produit de sécurité. De plus, cette conception est fiable et furtive. Le transfert reprend automatiquement après avoir été interrompu pour des raisons telles qu'une panne de réseau, la déconnexion de l'utilisateur ou un redémarrage du système. De plus, parce que BITS ajuste la vitesse à laquelle les fichiers sont transférés en fonction de la bande passante disponible, l'utilisateur n'a aucune raison de soupçonner.\nWin32 / StealthFalcon peut commuter la communication entre deux serveurs C&C dont les adresses sont stockées dans une clé de registre, ainsi que d'autres valeurs de configuration, et peut être mis à jour par l'une des commandes de porte dérobée. Si la porte dérobée ne parvient pas à atteindre ses serveurs C&C, la porte dérobée se supprime du système compromis après un nombre préconfiguré de tentatives infructueuses.\nWin32 / StealthFalcon est un fichier DLL qui, après exécution, se planifie en tant que tâche s'exécutant à chaque connexion utilisateur. Il ne prend en charge que les commandes de base mais affiche une approche systématique de la collecte de données, de l'exfiltration de données, de l'utilisation d'autres outils malveillants et de la mise à jour de sa configuration."},{"id":"text-5","heading":"Text","content":"Nom de la commande\nFonctionnalité"},{"id":"text-6","heading":"Text","content":"K\nSe désinstaller"},{"id":"text-7","heading":"Text","content":"CFG\nMettre à jour les données de configuration"},{"id":"text-8","heading":"Text","content":"RC\nExécutez l'application spécifiée"},{"id":"text-9","heading":"Text","content":"DL\nÉcrire les données téléchargées dans un fichier"},{"id":"text-10","heading":"Text","content":"CF\nPréparer un fichier pour l'exfiltration"},{"id":"text-11","heading":"Text","content":"CFW\nExfiltrer et supprimer des fichiers"},{"id":"text-12","heading":"Text","content":"CFWD\nNon implémenté / aucune opération"},{"id":"text-13","heading":"Text","content":"Tableau 1. Commandes de porte dérobée\nPar exemple, la fonctionnalité clé de la porte dérobée, téléchargeant et exécutant des fichiers, est obtenue via des vérifications régulières des bibliothèques nommées «win * .dll» ou «std * .dll» dans le répertoire à partir duquel le logiciel malveillant est exécuté et en chargeant ces bibliothèques.\nDe plus, Win32 / StealthFalcon collecte les fichiers et les prépare à l'exfiltration en stockant une copie cryptée avec un préfixe codé en dur dans un dossier temporaire. Il vérifie ensuite régulièrement ces fichiers et les exfiltre automatiquement. Après l'exfiltration réussie des fichiers, le malware supprime en toute sécurité tous les fichiers journaux et les fichiers collectés – avant de supprimer les fichiers, il les réécrit avec des données aléatoires – pour empêcher l'analyse judiciaire et la récupération des données supprimées.\nLes valeurs de configuration sont stockées dans le HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Shell Extensions clé d'enregistrement. Toutes les valeurs sont préfixées par le nom de fichier du logiciel malveillant (sans extension)."},{"id":"text-14","heading":"Text","content":"Suffixe du nom de la valeur\nContenu"},{"id":"text-15","heading":"Text","content":"-FontDisposition\nID de victime de 4 octets généré aléatoirement"},{"id":"text-16","heading":"Text","content":"-MRUData\nDomaine C&C crypté RC4"},{"id":"text-17","heading":"Text","content":"-MRUList\nDomaine C&C crypté RC4"},{"id":"text-18","heading":"Text","content":"-IconPosition\nIndicateur déterminant les domaines C&C à utiliser"},{"id":"text-19","heading":"Text","content":"-IconDisposition\nNombre de secondes de sommeil après chaque itération de contact avec le serveur C&C"},{"id":"text-20","heading":"Text","content":"-PopupPosition\nCompteur des tentatives infructueuses pour atteindre les serveurs C&C"},{"id":"text-21","heading":"Text","content":"Tableau 2. Données de configuration stockées dans le registre\nUne fonction intéressante est exécutée avant le démarrage de toute charge utile malveillante et semble redondante. Il fait référence à plus de 300 importations, mais ne les utilise pas du tout. Au lieu de cela, il revient toujours et continue avec la charge utile par la suite, sans vérification des conditions qui suggérerait qu'il s'agit d'une astuce anti-émulation."},{"id":"text-22","heading":"Text","content":"Figure 2. Une fonction référençant des centaines d'importations inutilisées, éventuellement ajoutée pour éviter la détection du malware\nNous ne connaissons pas l'intention précise de cette fonction, mais nous soupçonnons qu'il s'agit soit d'une tentative d'échapper à la détection, soit d'une partie d'un cadre plus large utilisé par les auteurs de logiciels malveillants.\nWin32 / StealthFalcon et la porte dérobée basée sur PowerShell décrits dans l'analyse de Citizen Lab partagent le même serveur C&C: l'adresse windowsearchcache[.]com a été utilisé comme «domaine de serveur C2 de deuxième étape» dans la porte dérobée analysée par le Citizen Lab, ainsi que dans l'une des versions de Win32 / StealthFalcon.\nLes deux portes dérobées présentent des similitudes significatives dans le code – bien qu'elles soient écrites dans des langages différents, la logique sous-jacente est préservée. Les deux utilisent des identifiants codés en dur (très probablement l'ID de campagne / ID cible). Dans les deux cas, toutes les communications réseau de l'hôte compromis sont préfixées avec ces identifiants et chiffrées avec RC4 à l'aide d'une clé codée en dur.\nPour leur communication avec le serveur C&C, ils utilisent tous deux HTTPS mais définissent des indicateurs spécifiques pour la connexion afin d'ignorer le certificat du serveur.\nNous avons découvert et analysé une porte dérobée avec une technique rare pour la communication C&C – en utilisant Windows BITS – et quelques techniques avancées pour entraver la détection et l'analyse, et pour assurer la persistance et compliquer l'analyse médico-légale. Les similitudes dans le code et l'infrastructure avec un malware précédemment connu par Stealth Falcon nous conduisent à la conclusion que la porte dérobée Win32 / StealthFalcon est également le travail de ce groupe de menaces.\nNom de détection ESET\nWin32 / StealthFalcon\nSHA-1\n31B54AEBDAF5FBC73A66AC41CCB35943CC9B7F7250973A3FC57D70C7911F7A952356188B9939E56B244EB62B9AC30934098CA4204447440D6FC4E2595C8F83CC4FF57E7C67925DF4D9DAABE5D0CC07E2\nClés RC4\n258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA32519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A23EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F68DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE\nRemarque: Un logiciel malveillant dérive une deuxième clé RC4 en XORant chaque octet de la clé codée en dur avec 0x3D.\nIndicateurs basés sur l'hôte\nNoms de fichiers malveillants\nImageIndexer.dllWindowsBackup.dllWindowsSearchCache.dllJavaUserUpdater.dll\nModèles de nom de fichier journal\n% TEMP% dsc *% TEMP% sld *% TEMP% plx *\nClés / valeurs de registre\nHKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Shell ExtensionsX-MRUListX-MRUDataX-FontDispositionX-IconDispositionX-IconPositionX-PopupPositionX est le nom de fichier du malware (sans extension).\nIndicateurs de réseau\nNoms de travail BITS\nWindowsImages-WindowsBackup-WindowsSearchCache-ElectricWeb\nServeurs C&C\nfootballtimes[.]Infoportfolio de légumes[.]comwindowsearchcache[.]comelectricweb[.]orgupnpdiscover[.]org"},{"id":"text-23","heading":"Text","content":"Tactique\nIdentifiant\nprénom\nLa description"},{"id":"text-24","heading":"Text","content":"Exécution\nT1059\nInterface de ligne de commande\nUtilisations de logiciels malveillants cmd.exe pour exécuter certaines commandes."},{"id":"text-25","heading":"Text","content":"T1106\nExécution via API\nUtilisations de logiciels malveillants CreateProcessW API pour l'exécution."},{"id":"text-26","heading":"Text","content":"T1085\nRundll32\nUtilisations de logiciels malveillants rundll32.exe pour charger la DLL de porte dérobée."},{"id":"text-27","heading":"Text","content":"T1053\nTâche planifiée\nHoraires des programmes malveillants rundll32.exe à exécuter à chaque connexion, puis à charger la DLL de porte dérobée."},{"id":"text-28","heading":"Text","content":"Persistance\nT1053\nTâche planifiée\nLes logiciels malveillants établissent la persistance en planifiant une tâche qui charge la porte dérobée à chaque connexion utilisateur."},{"id":"text-29","heading":"Text","content":"Evasion de défense\nT1197\nEmplois BITS\nLes logiciels malveillants utilisent le mécanisme de transfert de fichiers BITS pour la communication réseau, afin d'éviter la détection."},{"id":"text-30","heading":"Text","content":"T1140\nDésobfusquez / décodez des fichiers ou des informations\nLes chaînes sont chiffrées avec un chiffrement XOR personnalisé."},{"id":"text-31","heading":"Text","content":"Les données de configuration et les fichiers journaux sont cryptés avec RC4, à l'aide d'une clé codée en dur."},{"id":"text-32","heading":"Text","content":"T1107\nSuppression de fichiers\nUn logiciel malveillant écrase les fichiers avec des données aléatoires et les supprime après l'exfiltration."},{"id":"text-33","heading":"Text","content":"T1036\nMascarade\nLes logiciels malveillants tentent de se déguiser en utilisant des noms de fichiers apparemment légitimes."},{"id":"text-34","heading":"Text","content":"T1112\nModifier le registre\nUn logiciel malveillant stocke sa configuration dans une clé de registre."},{"id":"text-35","heading":"Text","content":"T1027\nFichiers ou informations obscurcis\nLes chaînes sont chiffrées avec un chiffrement XOR personnalisé."},{"id":"text-36","heading":"Text","content":"Les données de configuration et les fichiers journaux sont cryptés avec RC4, à l'aide d'une clé codée en dur."},{"id":"text-37","heading":"Text","content":"Découverte\nT1063\nDécouverte de logiciels de sécurité\nLes logiciels malveillants s’arrêtent si le binaire McAfee Agent (cmdagent.exe) est détecté."},{"id":"text-38","heading":"Text","content":"Collection\nT1074\nDonnées par étapes\nLes logiciels malveillants stockent les données collectées dans un dossier temporaire dans des fichiers nommés avec un préfixe codé en dur."},{"id":"text-39","heading":"Text","content":"T1005\nDonnées du système local\nMalware a une commande pour collecter / voler un fichier du système compromis."},{"id":"text-40","heading":"Text","content":"Commander et contrôler\nT1008\nCanaux de secours\nLes logiciels malveillants sont capables de communiquer avec deux serveurs C&C; il prend également en charge le basculement vers un autre serveur C&C à l'aide d'une commande de porte dérobée."},{"id":"text-41","heading":"Text","content":"T1105\nCopie de fichier à distance\nLes logiciels malveillants utilisent les travaux BITS pour la communication C&C."},{"id":"text-42","heading":"Text","content":"T1005\nProtocole cryptographique standard\nUn logiciel malveillant chiffre la communication C&C à l'aide de RC4 avec une clé codée en dur."},{"id":"text-43","heading":"Text","content":"Exfiltration\nT1020\nExfiltration automatisée\nLes logiciels malveillants exfiltrent automatiquement les fichiers dans un dossier temporaire dans des fichiers nommés avec un préfixe codé en dur."},{"id":"text-44","heading":"Text","content":"T1022\nDonnées cryptées\nLes logiciels malveillants chiffrent les données collectées à l'aide de RC4 avec une clé codée en dur, avant l'exfiltration."},{"id":"text-45","heading":"Text","content":"T1041\nExfiltration sur le canal de commande et de contrôle\nLes logiciels malveillants exfiltrent les données sur le canal C&C."},{"id":"text-46","heading":"Text","content":"Recherche ESET\t\t\t\t\t\t\t\t9 sept. 2019-11: 30 AM"},{"id":"text-47","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/12/stealth-falcon-backdoor.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/12/20/eset-a-decouvert-une-porte-derobee-non-documentee-utilisee-par-le-celebre-groupe-stealth-falcon-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/12/20/eset-a-decouvert-une-porte-derobee-non-documentee-utilisee-par-le-celebre-groupe-stealth-falcon-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/12/20/eset-a-decouvert-une-porte-derobee-non-documentee-utilisee-par-le-celebre-groupe-stealth-falcon-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}