Archives pour la catégorie Malware

CIA Leaks the return

L’hémorragie continue, Wikileaks vient de publier de nouveaux documents secrets de la CIA.

Il concerne des outils iOS, Mac OS X et Linux principalement exploitant des vulnérabilités déjà patchées. On peut y voir des tools d’exploitation via thunderbolt, des kernel rootkit ou encore des EFI custom firmware, une petite idée de l’arsenal dont ils disposent.

Pour plus d’informations, vous pouvez voir l’article de Ars Technica.

Jellyfish, exemple de GPGPU Malware

Un groupe de hackers à mis en ligne quelques PoC concernant l’infection d’une machine par le biais du GPU. Pour que le PoC fonctionne, il faut un GPU compatible avec OpenCL.
Actuellement, il n’existe presque pas d’antivirus scannant la mémoire GPU d’où la dangerosité de ce vecteur d’attaque d’autant plus qu’il est possible d’accéder au CPU par la suite.

Pour quelques explications supplémentaires en français voir developpez.com.

Les codes sources des PoC (malware, keylogger et scanner) voir github.

À la rencontre de badBIOS

L’expert en sécurité Dragos Ruiu a découvert un malware d’une sophistication peu commune. Le programme infecterait le BIOS à travers d’une clé USB et serait particulièrement difficile à supprimer.

Apparemment le virus force les machines à démarrer sur le disque principal et arrive à communiquer avec les autres machines du réseau malgré la désactivation du Wi-Fi, de l’Ethernet ou du Bluetooth. Apparemment le malware résisterait également à une réinitialisation complète de la machine (même du firmware).

Tous les éléments ne sont pas encore connus quant au détails du fonctionnement de badBIOS mais ce qui est sûr c’est qu’il est capable d’infecter des machines utilisant Windows, Mac OS X, Linux ou BSD.

Plus d’informations sur Ars Technica.

MiniFlame le fiston de Flame

Il y a quelques temps le vers Flame avait été découvert par le CERT Iranien et analyser par plusieurs boîtes d’antivirus dont Kaspersky. Il s’est avéré que le vers utilisait un réseau complexe de serveur de contrôle et de commande (C&C).

Depuis l’eau a coulé sous les ponts et certains des serveurs C&C ont pu être analysés. Il s’avère qu’un bout de code, MiniFlame était sur l’un de ces serveurs et qu’il s’agit d’un module (pouvant fonctionner de manière autonome) de Flame destiné à un espionnage ultra ciblé.

Il apparaît que seul une vingtaine de machines ai été infecté d’après les recherches. La majorité se situant au Liban.

Via ThreatPost

Stuxnet : un deal israélo-américain

Via Extented Subset :

Le NY Times a publié récemment un article dans lequel ils remontent la trace de Stuxnet.

Pour eux, le fameux virus aurait des origines mi américaines mi israéliennes.

Le projet aurait d’abord vu le jour sous l’ère Bush.
En 2008, la société Siemens aurait fait appel au Laboratoire Nationnal d’Idaho pour vérifier la sécurité de ses logiciels (les fameux systèmes SCADA)… Les chercheurs sur le projet ont alors pu découvrir des vulnérabilités… qui auraient été récupérées pour développer le virus.

Israel qui cherchaient de leur côté à stopper ou ralentir la course au nucléaire de l’Iran aurait pris contact avec les américains pour participer au projet.
Ils auraient offert l’architecture matériel, reproduisant très fidèlement le système informatique utilisé pour gérer les centrifugeuses iraniennes à Natanz et l’auraient reproduit à Dimona dans le désert de Negev.

C’est dans ce complexe qu’aurait été testé et retesté Stuxnet afin d’obtenir le résultat que l’on connait aujourd’hui : un malware efficace, stable et discret.

Le Mossad aurait aussi apporté son coup de main en liquidant certains des scientifiques de Téhéran soupçonnés de travailler sur le dossier nucléaire.

L’article d’Extended Subset rajoute son grain de sel en montrant du doigt la possible implication de Jason Wright dans cette affaire car il aurait travaillé justement sur des systèmes SCADA pour la labo d’Idaho à cette époque…

Or ce même personnage a fondé Netsec, la société qui aurait été embauchée pour ajouter une backdoor cryptographique à la pile IPSEC d’OpenBSD

Le NY Times indique aussi que certains documents public sur le travail du labo d’Idaho sur les systèmes SCADA ont depuis disparus des sites Internet.

VX Zine

Une chose devenue de plus en plus rare dans le milieu Vxers : des e-zines !

Le premier, Dark-Codez 3 nous propose :

_Omegle.com MITM
_Python Injection
_Perl core module infection
_How to Orwellbox?
_Ogame als Spreader
_beEF and ARP is fun! Perforin
_Die Gefahr Von Debug Codes
_The Risk of Debug Codes in Batch

Link : http://vx.netlux.org/dl/mag/dcm3.zip

Le deuxieme, Virus Writting Bulletin :

_One-oh-one on Linux Virii
_Inversing a random numbers
_Code Mutations via Behaviour Analysis
_The true Export/Import business
_EPO in C LUA DLLs
_The DLIT EPO
_BTX encryption

Link : http://vx.netlux.org/hh86/