Shylock : Un malware qui fait des ravages

Standard

cyber_rt

Depuis deux jours, une alliance internationale s’est formée afin de contrer Shylock.
Ce malware fait actuellement des ravages au niveau international, surtout au niveau bancaire. Cette alliance fait appel à Europol, le FBI, le NCA (Uk national crime agency) et les grands de l’industrie informatique que sont BAE systems, Dell Secureworks, Kaspersky Labs et le GCHQ. Chaque pays tente de renforcer au niveau légal cette action et de surveiller très étroitement les serveurs de domaines Internet car un vaste réseau cybercriminel utilise le troyen Shylock afin d’effectuer des attaques sur les systèmes bancaires au niveau International.

Les investigations sont menées à partir du centre opérationnel au Centre européen de la cybercriminalité (EC3) au sein d’Europol à La Haye. Les enquêteurs de l’ANC, le FBI, l’Italie, les Pays-Bas et la Turquie se sont réunis pour coordonner l’action dans leurs pays respectifs, de concert avec leurs homologues en Allemagne, en France et en Pologne.
La Coordination effectuée par Europol ces deux derniers jours a contribué à abattre les serveurs qui forment le noyau des botnets, les logiciels malveillants et les infrastructures Shylock. Le CERT-UE (Computer Emergency Response Team UE) a participé à l’information pour abattre les domaines malveillants à leurs pairs.

Comment le troyen Shylock fonctionne

Afin de comprendre pourquoi une telle lutte, nous vous proposons de comprendre le fonctionnement de ce malware :

Découvert en septembre 2011, il affecte les systèmes suivants : Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP.

Lorsque le troyen est téléchargé, il se copie lui-même dans un répertoire caché et il se renomme et se fait passer comme étant l’un des programmes suivants :

  • %UserProfile%\Application Data\Microsoft\Internet Explorer\wpnpinst.exe
  • %UserProfile%\Application Data\Microsoft\MMC\tsdiscon.exe

Le cheval de Troie rassemble ensuite les informations système de l’ordinateur et les stocke dans l’entrée de registre suivante, qui commence aussi le cheval de Troie au démarrage de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”[GATHERED SYSTEM INFORMATION IN UUID FORMAT]” = “[PATH TO THE TROJAN]”

Ensuite, il prend l’ensemble des informations système de l’ordinateur compromis et enregistre les informations de configuration dans l’un des domaines suivants :

  • brainsphere.cc
  • commonworldme.cc
  • extensadv.cc
  • gigacat.cc
  • nw-serv.cc
  • online-upd.at
  • somesystems.cc
  • stat-servise.cc
  • str-main.su
  • topbeat.cc
  • www-protection.su

Il effectue des requêtes vers les pages suivantes de commande :

  • first.php
  • ping.php

Le cheval de Troie utilise la fonctionnalité rootkit pour cacher sa présence sur l’ordinateur infecté. Il intercepte également le trafic réseau et tente d’ajouter un code malveillant dans le trafic du réseau, selon les données de configuration qu’il reçoit.

Avez-vous, sur votre réseau une solution de sécurité (appliance) pouvant détecter et contrer efficacement de type de fichier malveillant ? Plusieurs solutions de sécurité existent pour les entreprises(Kaspersky labs, Trend, Symantec…). Ces solutions protègent le réseau de ce type d’attaque généralement faite par mail vers vos utilisateurs. Grâce à ces nouvelles solutions de sécurité, les fichiers malveillants sont éliminés bien avant d’arriver sur vos serveurs de courrier électronique.

Comment se prémunir contre Shylock ?

Voici quelques bonnes pratiques qui vous permettront de mieux protéger votre réseau.

  1. Utilisez un pare-feu pour bloquer toutes les connexions entrantes provenant d’Internet à des services qui ne devraient pas être accessibles au public. Par défaut, vous devriez refuser toutes les connexions entrantes et seulement permettre aux services que vous souhaitez explicitement à offrir au monde extérieur.
  2. Appliquer une politique de mot de passe. Mots de passe complexes, il est difficile d’accéder aux fichiers de mots de passe sur les ordinateurs infectés. Cela permet d’éviter ou de limiter les dommages quand un ordinateur est compromis.
  3. S’assurer que les programmes et les utilisateurs de l’ordinateur utilisent le plus bas niveau de privilèges nécessaires pour effectuer une tâche. Lorsque vous êtes invité pour un mot de passe root ou UAC, s’assurer que le programme demandant l’accès au niveau de l’administration est une application légitime.
  4. Désactiver l’exécution automatique pour empêcher le lancement automatique de fichiers exécutables sur le réseau et les disques amovibles, et déconnecter les lecteurs lorsqu’il n’est pas nécessaire. Si l’accès en écriture n’est pas nécessaire, activer le mode lecture seule si l’option est disponible.
  5. Désactivez le partage de fichiers s’il n’est pas nécessaire. Si le partage de fichiers est nécessaire, utiliser les ACL et la protection par mot de passe pour limiter l’accès.
  6. Désactiver l’accès anonyme aux dossiers partagés. Accorder l’accès uniquement aux comptes d’utilisateurs avec des mots de passe à des dossiers qui doivent être partagées.
  7. Désactivez et supprimez les services inutiles. Par défaut, de nombreux systèmes d’exploitation installent des services auxiliaires qui ne sont pas critiques. Ces services sont des portes d’attaque. S’ils sont enlevés, les menaces ont moins de possibilités d’attaque.
  8. Si une menace exploite une ou plusieurs services réseau, désactivez ou bloquez l’accès à ces services jusqu’à ce qu’un correctif soit appliqué.
  9. Toujours garder les niveaux de patch mise à jour, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que HTTP,, courrier, services FTP et DNS.
  10. Configurez votre serveur de messagerie pour bloquer ou de supprimer l’email qui contient les pièces jointes qui sont couramment utilisés pour diffuser des menaces, telles que. Vbs,.bat, . Exe,. Pif et. Scr.
  11. Isoler rapidement les ordinateurs infectés afin de prévenir les menaces de se propager davantage. Effectuer une analyse des incidents et restaurez les ordinateurs à l’aide de supports approuvés.
  12. Former les employés de ne pas ouvrir les pièces jointes à moins qu’ils les attendent. Aussi, ne pas exécuter les logiciels téléchargés à partir d’Internet, sauf si elle a été l’absence de virus. Il suffit de visiter un site Internet infecté peut causer une infection si certaines vulnérabilités du navigateur n’ont pas été corrigées.
  13. Si le Bluetooth n’est pas nécessaire pour les appareils mobiles, il doit être éteint. Si vous avez besoin de son utilisation, s’assurer que la visibilité de l’appareil est réglé sur “Caché” de sorte qu’il ne peut être balayée par d’autres appareils Bluetooth. Si l’appairage de l’appareil doit être utilisé, s’assurer que tous les appareils sont réglés sur “non autorisée”, nécessitant une autorisation pour chaque demande de connexion. Ne pas accepter les demandes qui ne sont pas signés ou envoyé à partir de sources inconnues.

Les nouveaux malware : des outils dotés d’une certaine intelligence

Standard

Les nouveaux types de malware sont de mieux en mieux codés et avancés technologiquement. Plusieurs d’entre-eux s’attaquent aux terminaux de point de vente (Jackpos et autres) et volent les données des cartes de crédit, d’autres sont transmis par voie de courriels ayant l’apparence d’entreprises connues. Ces nouveaux fchiers malveillants sont maintenant répertoriés comme  des APT (Advanced Persistent Threat : menace avancée persistante). Ce qui nous à surpris,aujourd’hui, c’est qu’une autre famille de malware est transmis par la voie d’un courriel d’information vers les internautes New Yorkais membres du site internet NYC.gov. Ce courriel informe les membres qu’un suspect d’homicide est apparemment en liberté et peut-être à l’affût d’une nouvelle victime.

homicide-resized-600

homicide2-resized-600

La peur est utilisée comme une arme

En ingénierie sociale, les pirates informatiques usurpent l’identité d’employés internes à une société pour soustraire de l’information sensible d’une entreprise (identité réelle ou numérique). Dans le même registre, les pirates, dans ce cas précis  utilisent la peur comme vecteur d’attaque.
Les internautes de NYC.gov ont reçu cette alerte par courriel. Il contient un fichier compressé (homicide-case#098.zip contenant un écran de veille (.scr) et un fichier pdf portant le même nom censé informer l’internaute sur l’homme recherché pour homicide.Une fois que l’internaute clique sur le fichier, l’infection commence. Le malware cryptodefense se met à modifier explorer.exe,  la base de registre et installe des copies de lui-même dans certaines aires du système afin de ne pas être désinstallé voire d’être éradiqué par les solutions de sécurité classiques comme les anti-virus.
Seules de nouvelles solutions peuvent prévenir et éradiquer ce type de malware.

Ensuite, il commence la suppression de certains fichiers très importants et des éléments d’information dont la première étant d’éliminer l’ensemble des clichés instantanés de fichiers que l’utilisateur peut avoir sauvegardé. Elle le fait en utilisant Vssadmin.exe pour supprimer ces clichés. Les informations sont camouflées et aucune alerte par pop-up n’est affichée à l’écran ce qui ne permet pas de supprimer l’infection . Quelques millisecondes plus tard, il modifie également de nouveau les paramètres de Registre pour désactiver la restauration du système.Dans ce cas précis d’attaque, une connexion http est effectuée sur le port 80 vers l’adresse IP 199.127.225.232 qui est reliée au domaine babyslutsnil.com.

Que doivent faire les particuliers face à ce type de menace ?

Comme indiqué précédemment, seules les nouvelles solutions de sécurité incluant des outils de détection contre les nouvelles menaces peuvent protéger efficacement les machines. Mais, il est tout aussi important que les internautes soient sensibilisés à cette nouvelle forme de risque car savoir, c’est pouvoir mieux agir. Egalement, les entreprises qui hébergent leurs serveurs internet doivent être à même de contrôler l’information diffusée et de surveiller toute information contrefaite. Dans ce cas précis, c’est un organisme gouvernemental qui est victime…(pourtant, les organismes gouvernementaux ne sont-ils pas davantage protégés aux Etats-Unis ? Il est louable de se poser des questions). Donc, vous qui êtes internaute, sensibilisez-vous à la sécurité informatique afin que vous soyez à même d’agir face à ce genre de menace et ainsi, de surfer en toute tranquillité.