Archives du mot-clé Malware

Le malware Derusbi bypass le système de signatures de drivers Windows

Un article intéressant de Sekoia.fr explique comment un rootkit baptisé Derusbi parvient à mettre en échec le système de vérification des signatures cryptographiques des drivers sous Windows.

Le malware commence par installer des drivers légitimes mais vulnérables qu’il exploite afin d’accéder à la mémoire kernel du système pour y modifier un flag gardant l’état de la vérification de ces signatures.
Une fois le flag modifié il installe alors son driver malicieux sans être inquiété par la vérification des signatures.

PackerAttacker : un outil d’unpacking automatique de malware

Présenté à la DerbyCon par des chercheurs de chez Bromium, PackerAttacker est un outil open-source qui fait de l’unpacking générique de malwares.

D’après l’extrait du talk :

(…) all packers have a common goal: to write code to memory and execute it.
We’ve created a tool named The Packer Attacker, which exploits this common feature that exists in all packers.

From an injected DLL, The Packer Attacker uses memory and API hooks to monitor when a sample writes to its PE sections, allocates new memory, or executes within heap memory that has been given executable privileges. When any of these events culminate in a way that resembles expected packer behavior, the targeted memory page(s) are dumped to disk, accompanied by detailed logs of what caused the dump. For it’s memory hooks, The Packer Attacker limits access rights to tracked pages and uses a Vectored Exception Handler to catch ACCESS_VIOLATION exceptions when the memory is written to or executed. For it’s API hooks, the tool uses Microsoft Research’s Detours library. The injected DLL also will also propagate itself into new processes and track when code is unpacked to remote processes.

In our tests, The Packer Attacker has been able to pull full PE executables from actives samples of many high-profile malware families. In blind tests against an unknown variety of malware from a large malware repository, The Packer Attacker showed ~90% efficiency, defeating both known and unknown packers.

Vidéo du talk sur IronGeek.

Shellter : infection d’exécutable par injection de shellcode

Le projet Shellter se présente comme un outil d’injection de shellcode et le tout premier infecteur dynamique de PE.

Kesako ? D’après le readme, afin d’infecter un exécutable, Shellter va d’abord tracer son exécution pour analyser son flot d’exécution et relever les appels aux fonctions de l’API Windows.
La finalité est de pouvoir réutiliser ces appels et (à priori) de déterminer où placer le code malicieux (un shellcode Metasploit encodé). Du coup l’infecteur n’a pas besoin d’ajouter une section à l’exécutable qui sera ensuite déchiffrée et passée exécutable avant de sauter dessus, bref éviter les techniques que tous les AVs connaissent.

L’outil est dans les repos de Kali Linux.

Opération Shrouded Horizon : la chute de Darkode

Via TheRegister, KrebsOnSecurity :

Le FBI a annoncé le démantèlement du forum Darkode dans le cadre d’une opération qui était baptisée Shrouded Horizon.
La justice US s’intéresse maintenant en particulier à 12 personnes qui fréquentaient ce forum.

Les noms de plusieurs personnes arrêtées ont été révélés comme Matjaz Skorjanc alias Iserdo qui était l’ex administrateur du forum.
Iserdo a en réalité était arrêté plus tôt en 2010 pour être le créateur du botnet Mariposa.

Le forum avait été repris par Johan Anders Gudmunds, un suédois utilisant le pseudo Mafi et créateur de l’exploit-kit Crimepack.

Daniel Placek, aka Nocen ou Loki ou Juggernaut serait lui le créateur du forum et est aussi accusé d’avoir vendu plusieurs de ses malwares sur le forum.

Morgan Culbertson est quand à lui le créateur d’un malware perfectionné pour la plateforme Androïd baptisé Dendroid.
Détail amusant, il a aussi été stagiaire chez FireEye où il faisait partie de l’équipe Advanced Persistent Threat. Son rôle consistait à réverser et automatiser la détection de malwares destinés à Androïd. Au moins il connaissait son sujet :p

Pour le journaliste Brian Krebs, l’absence de Sp3cial1st, un membre de Lizard Squad, dans le document du FBI est étonnante. Ce dernier a peut être servi de taupe pour faire tomber ses copains.

Dino : la ferme s’agrandit

Via LeMonde, ESET :

Les chercheurs de chez ESET ont mis la main sur un malware baptisé Dino qui serait l’un des animaux de la ferme virale française avec Casper et Babar.

Et plus des fonctionnalités de RAT qu’on retrouve généralement dans ce type de malware, Dino dispose aussi d’un mécanisme crontab-like pour exécuter des tâches et gère un système de fichier ramFS où des fichiers sont gardées chiffrées en mémoire vive.

Le malware aurait visé des personnes ou entités en Iran durant l’année 2013.