Archives du mot-clé Malware

Backdoorer un exécutable Windows sans rajouter un seul octet

Autre article sympa sur pentest.blog : comment backdoorer un exécutable Windows en insérant son propre code assembleur dans l’espace libre d’une section de code (à l’opposée d’ajouter une section exécutable qui risque d’être traitée comme suspicieuse), bref sans toucher à la taille du binaire.
Evidemment cette méthode fonctionne pour d’autres architectures.

L’article a l’avantage de présenter Cminer, un programme qui va recherche les code caves dans un binaire.

Un bot qui pénètre les serveurs Redis

Article intéressant sur un bot qui obtient des accès root sur des serveurs Linux quelques commandes bien placées sur un serveur Redis.

La technique est la suivante : supprimer les clés existantes, définir une nouvelle clé contenant une clé publique SSH, changer le répertoire de config de Redis, changer le nom de fichier de la base de donnée et laisser ainsi Redis écrire le fichier authorized_keys. Félicitations vous êtes root :p

Derrière le bot installe un faux ransomware, faux parce qu’il supprime les fichiers avant de demander une rançon pour leur version chiffrée qui n’existe pas.

Firejail : une sandbox pour Linux

Quand on pense sandbox sous Linux on pense éventuellement à Limon, Qubes ou de l’instrumentation de Qemu/VirtualBox/VMWare… quitte à sortir un peu du sujet.

Firejail est une sandbox qui peut s’utiliser à la fois pour déterminer le fonctionnement d’un programme (donc plus comme Limon) mais aussi plus simplement pour restreindre le fonctionnement d’une application légitime et réduire l’impact dans le cas d’une éventuelle exploitation (donc plus comme Qubes).

Une double vision qui devrait plaire aux utilisateurs experts comme aux novices. D’autant plus qu’un utilitaire nommé Firetools permet de lancer facilement des applications en sandbox.

Firejail se base sur les Linux namespaces, un mécanisme apparu sur le kernel Linux 3.8.

Analyse des attaques NTP de BlackEnergy

L’utilisation de la commande MONLIST de NTP pour lancer des attaques DDoS est connue depuis quelques temps mais peu de malwares Windows l’avaient implémenté avec succès jusqu’à présent.

Il faut dire que Windows ne facilite pas le travail quand il s’agit de forger des paquets pour spoofer une adresse…

Dans un rapport PDF, ARBOR s’est penché sur un plugin du bot BlackEnergy qui parvient à ses fins en utilisant WinPCap ainsi que l’API IPHelper de Windows.

DailyMotion a servi de relais à une attaque via des publicités piégées

Via ZDNet :

L’entreprise MalwareBytes a suivi une campagne d’injection réalisée via l’exploit-kit Angler et est remontée jusqu’à DailyMotion lors de ses recherches.

Les attaquants ont en réalité acheté (via le enchères de régie publicitaires) un espace publicitaire auprès de WWWPromoter.
Cet espace était alors chargé par différents sites, le plus gros étant DailyMotion qui est 98ème dans le top Alexa.

Impossible de connaître le nombre d’internautes qui ont été infectés dans cette campagne de malvertising mais ça doit être impressionnant…

Le malware Derusbi bypass le système de signatures de drivers Windows

Un article intéressant de Sekoia.fr explique comment un rootkit baptisé Derusbi parvient à mettre en échec le système de vérification des signatures cryptographiques des drivers sous Windows.

Le malware commence par installer des drivers légitimes mais vulnérables qu’il exploite afin d’accéder à la mémoire kernel du système pour y modifier un flag gardant l’état de la vérification de ces signatures.
Une fois le flag modifié il installe alors son driver malicieux sans être inquiété par la vérification des signatures.

PackerAttacker : un outil d’unpacking automatique de malware

Présenté à la DerbyCon par des chercheurs de chez Bromium, PackerAttacker est un outil open-source qui fait de l’unpacking générique de malwares.

D’après l’extrait du talk :

(…) all packers have a common goal: to write code to memory and execute it.
We’ve created a tool named The Packer Attacker, which exploits this common feature that exists in all packers.

From an injected DLL, The Packer Attacker uses memory and API hooks to monitor when a sample writes to its PE sections, allocates new memory, or executes within heap memory that has been given executable privileges. When any of these events culminate in a way that resembles expected packer behavior, the targeted memory page(s) are dumped to disk, accompanied by detailed logs of what caused the dump. For it’s memory hooks, The Packer Attacker limits access rights to tracked pages and uses a Vectored Exception Handler to catch ACCESS_VIOLATION exceptions when the memory is written to or executed. For it’s API hooks, the tool uses Microsoft Research’s Detours library. The injected DLL also will also propagate itself into new processes and track when code is unpacked to remote processes.

In our tests, The Packer Attacker has been able to pull full PE executables from actives samples of many high-profile malware families. In blind tests against an unknown variety of malware from a large malware repository, The Packer Attacker showed ~90% efficiency, defeating both known and unknown packers.

Vidéo du talk sur IronGeek.