Backoff : le malware indétectable

Standard

cybercrime

Il n’y a pas de vacances pour les développeurs de fichiers malveillants. Ces dernières semaines, plus de 600 entreprises  ont été touchées par un nouveau fichier malveillant (malware) baptisé Backoff. Ce fichier a été modifié par des développeurs particulièrement doués car, à ce jour, aucune solution de sécurité n’arrive à le détecter…Selon les spécialistes de Tenable Security, il a été détecté par leurs outils d’audits de vulnérabilité et à déclenché une alerte qui a été remontée aux principaux éditeurs de solutions de sécurité au niveau international. Ce fichier a été découvert le 31 juillet dernier par le CERT US.

Ce malware touche les systèmes de points de vente et exploite les fonctions  d’administration à distance des systèmes suivants : Microsoft’s Remote Desktop , Apple Remote Desktop , Chrome Remote Desktop , Splashtop 2 , et LogMeIn .

Depuis un ordinateur distant, les attaquants procèdent à une attaque de Brute-force et  ne s’arrêtent pas là puisque, comme les autres malware du genre depuis le début de l’année 2014 d’attaque de systèmes de points de vente, ils volent les données financières des clients (données de cartes bancaires), et les informations confidentielles des clients (mails, téléphone…) en les cryptant et en les envoyant vers une autre machine distante. Il existe plusieurs versions de ce malware et la dernière en date (1.5.6 dite “last”) compromet l’ordinateur de point de vente atteint la base de registre (pour les systèmes windows). Vous trouverez, ci-dessous les informations techniques :

Version 1.5.6 “last”

Packed MD5: 12C9C0BC18FDF98189457A9D112EEBFC

Unpacked MD5: 205947B57D41145B857DE18E43EFB794

Install Path: %APPDATA%\OracleJava\javaw.exe

Mutexes:

nUndsa8301nskal

nuyhnJmkuTgD

Files Written:

%APPDATA%\nsskrnl

%APPDATA%\winserv.exe

%APPDATA%\OracleJava\javaw.exe

%APPDATA%\OracleJava\Local.dat

%APPDATA%\OracleJava\Log.txt

Static String (POST Request): jhgtsd7fjmytkr

Registry Keys:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\identifier

HKCU\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run\Windows NT Service

HKLM\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run\Windows NT Service

HKCU\SOFTWARE\\Microsoft\Active Setup\Installed Components\{B3DB0D62-B481-4929-888B-49F426C1A136}\StubPath

HKLM\SOFTWARE\\Microsoft\Active Setup\Installed Components\{B3DB0D62-B481-4929-888B-49F426C1A136}\StubPath

User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101 Firefox/24.0

URI(s):  /windebug/updcheck.php

Comment se protéger face à ce malware ?

Il est recommandé de télécharger les fichiers de définitions anti-virales le plus souvent possible et d’analyser les terminaux de points de vente de façon récurrente par votre solution de sécurité habituelle, voire de la tester avec une autre car les variantes du fichier malveillant sont à présent nombreuses.

Vérifications des accès distants :

  • Configurez les paramètres de verrouillage de compte utilisateur après une période de temps ou un certain nombre de tentatives de connexion infructueuses. Cela empêche toute tentative non autorisée de se connecter au terminal si un utilisateur non autorisé effectue des tentatives ou par types d’attaques automatisées comme la force brute.
  • Limiter le nombre d’utilisateurs et de poste de travail qui peuvent se connecter à l’aide des outils de connexion à distance
  • Utilisez des pare-feu (logiciel ou matériel le cas échéant) afin de de restreindre l’accès aux ports d’écoute à distance (par défaut TCP 3389).
  • Changer le port d’écoute à distance par défaut bureau.
  • Définir des paramètres de mot de passe complexes. La configuration d’un temps d’expiration et de longueur de mot de passe et sa complexité peut diminuer la quantité de temps pendant laquelle une attaque réussie peut se produire.
  • Exigez l’authentification à deux facteurs (2FA) pour l’accès au bureau à distance.
  • Installez une passerelle Bureau à distance pour restreindre l’accès.
  • Ajoutez une couche supplémentaire d’authentification et de cryptage par tunneling pour votre bureau à distance via IPSec, SSH ou SSL
  • Exigez l’authentification à double facteur ( 2FA ) pour l’accès aux réseaux de traitement des paiements. Même si un réseau privé virtuel est utilisé, il est important que cette authentification soit  mise en œuvre pour aider à atténuer les keyloggers (détection des frappes claviers) ou des attaques de type dumping.
  • Limitez les privilèges administratifs pour les utilisateurs et les applications.
  • Examinez périodiquement les systèmes (contrôleurs locaux et de domaine) pour les utilisateurs inconnus où pour ceux qui ne les utilisent pas de manière récurrente.

Nous vous informerons dans un nouvel article des nouvelles solutions à adopter. Surtout, si vous êtes commerçant, pensez à protéger vos terminaux de point de vente par des solutions professionnelles et faites-vous assister par notre cabinet de conseil.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s