Vidéo: Les logiciels malveillants (Octobre 2024)
Introduit il y a des années pour les éditions 64 bits de Windows XP et Windows Server 2003, la protection des correctifs de noyau de Microsoft, ou PatchGuard, est conçue pour empêcher les attaques de logiciels malveillants qui agissent en modifiant des parties essentielles du noyau Windows. Si un rootkit ou un autre programme malveillant parvient à modifier le noyau, PatchGuard bloque délibérément le système. Cette même fonctionnalité rendait la vie difficile aux éditeurs d’antivirus, car beaucoup d’entre eux s’appuyaient sur des correctifs bénins du noyau pour améliorer la sécurité; ils se sont depuis adaptés. Cependant, un nouveau rapport de G Data indique qu'une menace appelée Uroburos peut contourner PatchGuard.
Accrocher les fenêtres
Les rootkits cachent leurs activités en reliant diverses fonctions internes de Windows. Lorsqu'un programme appelle Windows pour signaler les fichiers présents dans un dossier ou les valeurs stockées dans une clé de registre, la demande est d'abord transmise au rootkit. Il appelle à son tour la fonction Windows proprement dite, mais supprime toutes les références à ses propres composants avant de transmettre les informations.
Le dernier article de G Data explique comment Uroburos gère PatchGuard. Une fonction portant le nom volumineux KeBugCheckEx bloque délibérément Windows si elle détecte ce type d'activité de raccordement du noyau (ou plusieurs autres activités suspectes). Alors, naturellement, Uroburos utilise KeBugCheckEx pour cacher ses autres activités.
Une explication très détaillée de ce processus est disponible sur le site Web de codeproject. Cependant, il s’agit bien d’une publication réservée aux experts. L'introduction indique: "Ce n'est pas un tutoriel et les débutants ne doivent pas le lire."
Le plaisir ne s'arrête pas avec le renversement de KeBugCheckEx. Uroburos doit encore charger son pilote et la stratégie de signature de pilote dans Windows 64 bits interdit de charger tout pilote non signé numériquement par un éditeur de confiance. Les créateurs d'Uroburos ont utilisé une vulnérabilité connue dans un pilote légitime pour désactiver cette stratégie.
Cyber-espionnage
Dans un article précédent, les chercheurs de G Data avaient décrit Uroburos comme un "logiciel d’espionnage extrêmement complexe avec des racines russes". Il établit efficacement un avant-poste d’espionnage sur le PC victime, créant un système de fichiers virtuel permettant de conserver en toute sécurité et secrètement ses outils et ses données volées.
Selon le rapport, "nous estimons qu'il a été conçu pour cibler des institutions gouvernementales, des instituts de recherche ou des entreprises traitant d'informations sensibles, ainsi que d'objectifs similaires très médiatisés", et l'associe à une attaque de 2008, Agent.BTZ, infiltrée dans le département de La défense via le fameux tour "USB sur le parking". Leur preuve est solide. Uroburos s'abstient même d'installer s'il détecte que Agent.BTZ est déjà présent.
Les chercheurs de G Data ont conclu qu'un système malveillant de cette complexité est "trop coûteux pour être utilisé comme spyware commun". Ils soulignent que cela n'a été détecté que "de nombreuses années après la première infection présumée". Et ils offrent une mine de preuves que Uroburos a été créé par un groupe russophone.
La vraie cible?
BAE Systems Applied Intelligence cite la recherche effectuée par G Data et fournit des informations supplémentaires sur cette campagne d’espionnage, qu’ils appellent "Snake". Les chercheurs ont rassemblé plus de 100 dossiers uniques liés à Snake et ont révélé quelques faits intéressants. Par exemple, la quasi-totalité des fichiers ont été compilés un jour de semaine, ce qui suggère que "les créateurs du logiciel malveillant ont une semaine de travail, comme tout autre professionnel".
Dans de nombreux cas, les chercheurs ont pu déterminer le pays d'origine de la soumission d'un logiciel malveillant. Entre 2010 et aujourd'hui, 32 échantillons liés à Snake ont été importés d'Ukraine, 11 de Lituanie et seulement deux des États-Unis. Le rapport conclut que Snake est un "élément permanent du paysage" et propose des recommandations détaillées aux experts en sécurité pour déterminer si leurs réseaux ont été pénétrés. G Data offre également de l'aide. Si vous pensez que vous avez une infection, vous pouvez contacter [email protected].
Vraiment, ce n'est pas surprenant. Nous avons appris que la NSA avait espionné des chefs d'État étrangers. D'autres pays vont naturellement essayer de mettre au point des outils de cyberespionnage. Et les meilleurs d'entre eux, comme Uroburos, peuvent durer des années avant d'être découverts.
