Archives du mot-clé Malware

Malwares résidents en mémoire: les différentes techniques existantes

Les articles sur les injection de code dans un process et compagnie on le vent en poupe. La plupart de ces techniques ne sont pourtant pas de la dernière fraîcheur mais on ne fera pas la fine bouche sur un bon article sur le sujet.

C’est le cas de l’article Hunting in memory de Endgame qui passe en revue les méthodes utilisées par différents malwares Windows bien connus.

Backdoorer un exécutable Windows sans rajouter un seul octet

Autre article sympa sur pentest.blog : comment backdoorer un exécutable Windows en insérant son propre code assembleur dans l’espace libre d’une section de code (à l’opposée d’ajouter une section exécutable qui risque d’être traitée comme suspicieuse), bref sans toucher à la taille du binaire.
Evidemment cette méthode fonctionne pour d’autres architectures.

L’article a l’avantage de présenter Cminer, un programme qui va recherche les code caves dans un binaire.

Un bot qui pénètre les serveurs Redis

Article intéressant sur un bot qui obtient des accès root sur des serveurs Linux quelques commandes bien placées sur un serveur Redis.

La technique est la suivante : supprimer les clés existantes, définir une nouvelle clé contenant une clé publique SSH, changer le répertoire de config de Redis, changer le nom de fichier de la base de donnée et laisser ainsi Redis écrire le fichier authorized_keys. Félicitations vous êtes root :p

Derrière le bot installe un faux ransomware, faux parce qu’il supprime les fichiers avant de demander une rançon pour leur version chiffrée qui n’existe pas.

Firejail : une sandbox pour Linux

Quand on pense sandbox sous Linux on pense éventuellement à Limon, Qubes ou de l’instrumentation de Qemu/VirtualBox/VMWare… quitte à sortir un peu du sujet.

Firejail est une sandbox qui peut s’utiliser à la fois pour déterminer le fonctionnement d’un programme (donc plus comme Limon) mais aussi plus simplement pour restreindre le fonctionnement d’une application légitime et réduire l’impact dans le cas d’une éventuelle exploitation (donc plus comme Qubes).

Une double vision qui devrait plaire aux utilisateurs experts comme aux novices. D’autant plus qu’un utilitaire nommé Firetools permet de lancer facilement des applications en sandbox.

Firejail se base sur les Linux namespaces, un mécanisme apparu sur le kernel Linux 3.8.

Analyse des attaques NTP de BlackEnergy

L’utilisation de la commande MONLIST de NTP pour lancer des attaques DDoS est connue depuis quelques temps mais peu de malwares Windows l’avaient implémenté avec succès jusqu’à présent.

Il faut dire que Windows ne facilite pas le travail quand il s’agit de forger des paquets pour spoofer une adresse…

Dans un rapport PDF, ARBOR s’est penché sur un plugin du bot BlackEnergy qui parvient à ses fins en utilisant WinPCap ainsi que l’API IPHelper de Windows.

DailyMotion a servi de relais à une attaque via des publicités piégées

Via ZDNet :

L’entreprise MalwareBytes a suivi une campagne d’injection réalisée via l’exploit-kit Angler et est remontée jusqu’à DailyMotion lors de ses recherches.

Les attaquants ont en réalité acheté (via le enchères de régie publicitaires) un espace publicitaire auprès de WWWPromoter.
Cet espace était alors chargé par différents sites, le plus gros étant DailyMotion qui est 98ème dans le top Alexa.

Impossible de connaître le nombre d’internautes qui ont été infectés dans cette campagne de malvertising mais ça doit être impressionnant…