J’ai beaucoup écrit sur les chevaux de Troie d’accès à distance (RAT) ces dernières années. Je ne pensais donc pas qu’il y avait tant d’innovation dans cet utilitaire classique des logiciels pirates. Les RAT, bien sûr, permettent aux pirates d’obtenir un accès au shell et de lancer des commandes pour rechercher du contenu, puis copier furtivement des fichiers. Cependant, j’ai manqué, pour une raison ou une autre, DNSMessenger, une nouvelle variante de RAT qui a été découverte plus tôt cette année.
Le malware s’exécute lorsque la victime clique sur un document Word intégré dans un e-mail – il est contenu dans un script VBA qui lance ensuite un certain PowerShell. Rien de très inhabituel jusqu’ici dans cette approche de phishing..
Vous voulez apprendre les bases du ransomware et gagner un crédit CPE ? Essayez notre cours gratuit.
Enfin, la charge utile du RAT maléfique est mise en place dans une autre étape de lancement. Le RAT DNSMessenger est lui-même un script PowerShell. La façon dont le malware se déroule est intentionnellement alambiquée et obfusquée pour le rendre difficile à repérer. .
Et que fait ce RAT basé sur PowerShell ?
Logique du RAT
Personne ne dit qu’un RAT doit être aussi compliqué que cela. La boucle de traitement principale accepte les messages qui indiquent au malware d’exécuter des commandes et de renvoyer les résultats.
L’aspect astucieux de DNSMessenger est que – surprise, surprise – il utilise le DNS comme serveur C2 pour interroger les enregistrements dont il tire les commandes.
C’est un peu plus compliqué que ce que je laisse entendre, et si vous le souhaitez, vous pouvez lire l’analyse originale effectuée par le groupe de sécurité Talos de Cisco.
RAT furtif
Comme l’ont remarqué les pros de la sécurité, DNSMessenger est effectivement » sans fichier » puisqu’il n’a pas besoin d’enregistrer les commandes du serveur distant sur le système de fichiers de la victime. Comme il utilise PowerShell, DNSMessenger est très difficile à détecter lorsqu’il est en cours d’exécution. L’utilisation de PowerShell signifie également que les scanners de virus ne signaleront pas automatiquement le malware.
C’est tout droit sorti du livre de recettes du hacking sans malware.
Ce qui le rend encore plus mortel, c’est son utilisation du protocole DNS, qui ne fait pas partie des protocoles habituels sur lesquels le filtrage et la surveillance du réseau sont effectués – comme HTTP ou HTTPS.
Un coup de chapeau (noir) aux hackers pour avoir trouvé cette idée. Mais cela ne signifie pas que DNSMessenger est totalement indétectable. Le malware doit en effet accéder au système de fichiers, car des commandes sont envoyées via DNS pour analyser les dossiers et rechercher du contenu monétisable. La technologie UBA de Varonis repérerait les anomalies sur le compte sur lequel DNSMessenger s’exécute.
Ce serait formidable s’il était possible de relier l’activité inhabituelle d’accès aux fichiers à l’exfiltration DNS effectuée par DNSMessenger. Nous aurions alors une preuve irréfutable d’un incident en cours.
Varonis Edge
Nous avons récemment introduit Varonis Edge, qui est spécifiquement conçu pour rechercher les signes d’attaque au niveau du périmètre, y compris les VPN, les passerelles de sécurité Web et, oui, le DNS.
Comme je l’ai mentionné dans mon dernier billet, le piratage sans logiciel malveillant est en hausse et nous devrions nous attendre à en voir davantage en 2018.
Ce serait un bon exercice d’expérimenter et d’analyser un trojan de type DNSMessenger. Je ne peux pas le faire ce mois-ci, mais je fais comme première résolution de nouvelle année d’essayer d’expérimenter en janvier sur mon environnement AWS.
En attendant, essayez une démo de Varonis Edge pour en savoir plus.
0 commentaire