RSAC

Des exploits de la vieille école dans les systèmes modernes

Des chercheurs discutent des nouvelles techniques utilisées par les cybercriminels. Ils téléchargent des systèmes binaires obsolètes sur les ordinateurs récents pour exploiter leurs vulnérabilités.

Nikolay Pankov
26 Mai 2021

Les attaques de type « Living Off the Land », qui utilisent des programmes légitimes ou des caractéristiques spécifiques aux systèmes d’exploitation à des fins malveillantes, n’ont rien de nouveau, mais avec les experts qui s’intéressent à ce nouveau type de programme, les cybercriminels ont dû innover. Les chercheurs Jean-Ian Boutin et Zuzana Hromcova ont évoqué cette innovation ainsi que l’utilisation des programmes légitimes de Windows XP et ses composants lors de la RSA Conference 2021.

La technique « Living Off the Land » et les composants vulnérables de Windows XP

En analysant l’activité du groupe InvisiMole, Boutin et Hromcova ont constaté que ce dernier utilise des fichiers de ce système d’exploitation obsolète depuis longtemps, ce qui leur permet de ne pas se faire remarquer. Les chercheurs ont nommé ces fichiers « VULNBins », un nom semblable à LOLBins, que la communauté de sécurité utilise pour les fichiers des attaques de type « Living Off the Land« .

Bien entendu, pour installer un fichier obsolète sur l’ordinateur de la victime, il faut d’abord y avoir accès. Cependant, les fichiers VULNBins ne sont pas utilisés pour pénétrer dans le système pris pour cible, mais plutôt pour s’y installer de façon persistante sans être remarqué.

Exemples concrets d’utilisation de programmes et de composants de système obsolètes

Si un pirate informatique n’obtient pas les droits d’administrateur, il aura certainement recours à une méthode qui consiste à utiliser un vieux lecteur vidéo avec une faille de type débordement de tampon. Dans le planificateur de tâches, les cybercriminels créent une tâche planifiée qui communique avec le lecteur vidéo, dont le fichier de configuration a été modifié, afin d’exploiter la vulnérabilité pour pouvoir y insérer le code nécessaire pour passer à la prochaine étape de l’attaque.

Cependant, si les cybercriminels du groupe InvisiMole réussissent à obtenir les droits d’administrateur, ils peuvent utiliser une autre méthode qui se sert d’un composant légitime du système comme setupSNK.exe, la bibliothèque de Windows XP wdigest.dll, et Rundll32.exe (provenant eux aussi du système obsolète), nécessaires pour exécuter la bibliothèque. Ensuite, ils manipulent les données que la bibliothèque, créée avant l’implémentation de la technologie ASLR, stocke dans la mémoire. Par conséquent, les cybercriminels connaissent l’adresse exacte de la mémoire où les données seront stockées.

Ils conservent la plupart de la charge utile préalablement chiffrée dans le registre, et toutes les bibliothèques et les fichiers exécutables qu’ils utilisent sont légitimes. Tout ce qui trahit la présence de l’ennemi c’est le fichier avec les paramètres du lecteur et l’exploit qui s’attaque aux bibliothèques obsolètes. Mais ce n’est généralement pas suffisant pour éveiller les soupçons.

Comment se protéger

Afin d’empêcher les cybercriminels d’utiliser de vieux fichiers et des composants de système obsolètes (en particulier ceux provenant d’éditeurs légitimes), posséder une base de données de ces fichiers serait un bon début. Cela permettrait aux systèmes de défense de les bloquer, ou au moins de les pister si la méthode précédente ne peut pas être mise en place. Mais ce n’est pas le cas.

Comme une telle liste n’existe pas encore, utilisez notre solution de type EDR afin de :

Détecter et bloquer l’exécution des composants de Windows qui se trouvent à l’extérieur du dossier système,
Identifier les fichiers système non signés (certains sont signés avec un fichier catalogue au lieu d’une seule signature numérique, mais un fichier système déplacé vers un système qui ne possède pas l’extension .cat requise, est considéré comme non signé),
Créer une règle pour détecter la différence entre la version du système d’exploitation et celle de chaque fichier exécutable,
Créer une règle similaire pour d’autres applications, par exemple pour bloquer l’exécution de fichiers compilés il y a plus de 10 ans.

Comme nous l’avons mentionné précédemment, pour installer quelque chose sur l’ordinateur de la victime, les pirates informatiques doivent d’abord pouvoir y accéder. Afin qu’aucun fichier VULNBins ne soit installé sur le vôtre, installez des solutions de sécurité sur tous les dispositifs connectés à Internet, sensibilisez vos employés sur les nouvelles menaces informatiques et surveillez régulièrement les outils d’accès à distance.

Les escrocs ciblent les utilisateurs d’ArtStation

Arnaque sur ArtStation : les artistes freelance pris pour cible.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Des exploits de la vieille école dans les systèmes modernes

La technique « Living Off the Land » et les composants vulnérables de Windows XP

Exemples concrets d’utilisation de programmes et de composants de système obsolètes

Comment se protéger

Comment Zoom a intégré le chiffrement de bout en bout

Protéger les dispositifs IoT connectés au réseau ou protéger le réseau des dispositifs IoT ?

Les escrocs ciblent les utilisateurs d’ArtStation

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky