{"id":25145,"date":"2024-09-12T09:04:34","date_gmt":"2024-09-12T17:04:34","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18875\/"},"modified":"2024-09-12T09:04:34","modified_gmt":"2024-09-12T17:04:34","slug":"news-18875","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18875\/","title":{"rendered":"Les auteurs de ransomware ajoutent un nouvel EDR Killer \u00e0 leur arsenal (EDRKillShifter)"},"content":{"rendered":"

Credit to Author: Nicolas Pommier| Date: Wed, 21 Aug 2024 15:03:26 +0000<\/strong><\/p>\n

\n

Les analystes de Sophos ont r\u00e9cemment d\u00e9couvert un nouvel utilitaire de type EDR Killer<\/em> d\u00e9ploy\u00e9 par un groupe cybercriminel qui tentait d’attaquer une organisation avec un ransomware appel\u00e9 RansomHub<\/em>. Bien que l\u2019attaque de ransomware ait finalement \u00e9chou\u00e9, l\u2019analyse post-mortem de cette derni\u00e8re a r\u00e9v\u00e9l\u00e9 l\u2019existence d\u2019un nouvel outil con\u00e7u pour bloquer les logiciels de protection endpoint. Nous appelons cet outil EDRKillShifter<\/strong>.<\/p>\n

Depuis 2022, nous avons constat\u00e9 une augmentation de la sophistication des malwares con\u00e7us pour d\u00e9sactiver les solutions EDR sur un syst\u00e8me infect\u00e9, \u00e0 mesure que les clients adoptent de plus en plus les outils EDR pour prot\u00e9ger les syst\u00e8mes endpoint. Sophos a d\u00e9j\u00e0 publi\u00e9 une \u00e9tude sur AuKill<\/a>, un outil de type EDR Killer<\/em> d\u00e9couvert par Sophos X-Ops<\/a> l’ann\u00e9e derni\u00e8re et vendu commercialement sur les march\u00e9s cybercriminels.<\/p>\n

Lors de l\u2019incident du mois de mai dernier, les acteurs malveillants (nous estimons avec une confiance mod\u00e9r\u00e9e que cet outil pourrait \u00eatre potentiellement utilis\u00e9 par plusieurs attaquants), ont tent\u00e9 d\u2019utiliser EDRKillShifter<\/em> pour bloquer la protection Sophos sur l\u2019ordinateur cibl\u00e9, mais l\u2019outil a \u00e9chou\u00e9. Ils ont ensuite tent\u00e9 de lancer l\u2019ex\u00e9cutable du ransomware sur la machine qu\u2019ils contr\u00f4laient, mais cette tentative a \u00e9galement \u00e9chou\u00e9 lorsque la fonction CryptoGuard<\/em> de l\u2019agent endpoint a \u00e9t\u00e9 d\u00e9clench\u00e9e.<\/p>\n

Comment fonctionne EDRKillShifter ?<\/h2>\n

L’outil EDRKillShifter<\/em> est un ex\u00e9cutable de type “chargeur (loader<\/em>)”, un m\u00e9canisme de diffusion pour les pilotes l\u00e9gitimes qui est vuln\u00e9rable \u00e0 d\u2019\u00e9ventuels abus (\u00e9galement connu sous le nom “Bring Your Own Vulnerable Driver” ou BYOVD).\u00a0 En fonction des exigences de l\u2019acteur malveillant, il peut fournir une large gamme de diff\u00e9rentes charges virales de pilote.<\/p>\n

Le processus d’ex\u00e9cution de ce chargeur\/loader comporte trois \u00e9tapes. L’attaquant doit ex\u00e9cuter EDRKillShifter<\/em> avec une ligne de commande incluant une s\u00e9quence de type “mot de passe”. Lorsqu’il est ex\u00e9cut\u00e9 avec le mot de passe correct, l’ex\u00e9cutable d\u00e9chiffre une ressource int\u00e9gr\u00e9e nomm\u00e9e BIN et l’ex\u00e9cute en m\u00e9moire.<\/p>\n

Le code BIN d\u00e9compresse et ex\u00e9cute la charge virale finale. Cette derni\u00e8re, \u00e9crite avec le langage de programmation Go, supprime et exploite l\u2019un des nombreux pilotes vuln\u00e9rables et l\u00e9gitimes pour obtenir des privil\u00e8ges suffisants afin de d\u00e9verrouiller la protection d\u2019un outil EDR.<\/p>\n

\"\"<\/a><\/p>\n

Pr\u00e9sentation g\u00e9n\u00e9rale du processus d’ex\u00e9cution du chargeur\/loader<\/em><\/p>\n

Neutralisation de la premi\u00e8re couche<\/h2>\n

Une analyse superficielle r\u00e9v\u00e8le que tous les \u00e9chantillons partagent les m\u00eames donn\u00e9es de version. Le nom de fichier d’origine est Loader.exe<\/em> et son nom de produit est ARK-Game<\/em> (certains membres de l’\u00e9quipe de recherche ont \u00e9mis l’hypoth\u00e8se que l’acteur malveillant tentait de faire passer la charge virale finale pour un jeu vid\u00e9o populaire nomm\u00e9 ‘ARK : Survival Evolved’<\/em>).<\/p>\n

La langue du binaire est le russe, indiquant ainsi que l’auteur du malware a compil\u00e9 l’ex\u00e9cutable sur un ordinateur avec des param\u00e8tres de localisation russes.<\/p>\n

\"EDR<\/a><\/p>\n

Informations sur la version d’EDRKillShifter telles qu’affich\u00e9es dans l’explorateur CFF<\/em><\/p>\n

Tous les exemples n\u00e9cessitent un mot de passe unique de 64 caract\u00e8res transmis \u00e0 la ligne de commande. Si le mot de passe est erron\u00e9 (ou n\u2019est pas fourni), l\u2019ex\u00e9cution \u00e9chouera.<\/p>\n

\"EDR<\/a><\/p>\n

L’ex\u00e9cution \u00e9choue si l’utilisateur ne fournit pas le mot de passe correct au niveau de la console lors de l’ex\u00e9cution du programme<\/em><\/p>\n

Une fois ex\u00e9cut\u00e9, EDRKillShifter<\/em> charge en m\u00e9moire une ressource chiffr\u00e9e nomm\u00e9e BIN, int\u00e9gr\u00e9e \u00e0 l\u2019outil lui-m\u00eame. Il copie \u00e9galement ces donn\u00e9es dans un nouveau fichier nomm\u00e9 Config.ini<\/em> et place ce dernier au m\u00eame endroit dans le syst\u00e8me de fichiers o\u00f9 le binaire a \u00e9t\u00e9 ex\u00e9cut\u00e9.<\/p>\n

Le code du chargeur\/loader alloue ensuite une nouvelle page m\u00e9moire \u00e0 l’aide de VirtualAlloc<\/em> et \u00e9crit le contenu chiffr\u00e9 dans la page nouvellement allou\u00e9e. Le malware supprime ensuite le fichier Config.ini<\/em> et proc\u00e8de au d\u00e9chiffrement de l’ensemble suivant de charges virales : \u00e0 savoir le pilote vuln\u00e9rable \u00e0 d\u2019\u00e9ventuels abus et un binaire Go. Le chargeur\/loader utilise un hachage SHA256 du mot de passe d\u2019entr\u00e9e comme cl\u00e9 de d\u00e9chiffrement des charges virales de la deuxi\u00e8me couche.<\/p>\n

\"EDR<\/a><\/p>\n

Pseudocode de la routine de d\u00e9chiffrement de la deuxi\u00e8me couche du malware EDRKillShifter<\/em><\/p>\n

Si le malware parvient \u00e0 d\u00e9chiffrer les charges virales de la deuxi\u00e8me couche, il cr\u00e9e alors un nouveau thread<\/em> et lance son ex\u00e9cution au niveau de ce dernier.<\/p>\n

Chargement de l\u2019EDR Killer final en m\u00e9moire<\/h2>\n

La deuxi\u00e8me \u00e9tape est obfusqu\u00e9e gr\u00e2ce \u00e0 l\u2019utilisation d\u2019une technique de code auto-modifiable. Pendant l’ex\u00e9cution, la deuxi\u00e8me couche modifie ses propres instructions. \u00c9tant donn\u00e9 que les instructions r\u00e9ellement ex\u00e9cut\u00e9es ne sont r\u00e9v\u00e9l\u00e9es que lors de l’ex\u00e9cution elle-m\u00eame, des outils ou une \u00e9mulation suppl\u00e9mentaires sont n\u00e9cessaires pour l’analyse.<\/p>\n

La figure ci-dessous illustre davantage la technique en question. La premi\u00e8re section montre le d\u00e9but de la couche de code auto-modifiable. Toutes les instructions avant le premier appel lors du d\u00e9sassemblage n\u2019ont aucun sens \u00e0 ce stade. Si nous revisitons le m\u00eame bloc d\u2019instructions apr\u00e8s avoir ex\u00e9cut\u00e9 le premier appel, nous voyons un ensemble d\u2019instructions diff\u00e9rent. Le premier appel modifie le jeu d’instructions suivant, qui modifie ensuite le jeu d’instructions suivant, et ainsi de suite.<\/p>\n

\"EDR<\/a><\/p>\n

L’EDRKillShifter utilise un code auto-modifiable pour modifier chaque instruction ult\u00e9rieure<\/em><\/p>\n

Le seul objectif de la couche finale d\u00e9cod\u00e9e est de charger dynamiquement la charge virale finale en m\u00e9moire et de l’ex\u00e9cuter.<\/p>\n

Analyse de la charge virale ultime<\/h2>\n

Tous les \u00e9chantillons que nous avons analys\u00e9s ex\u00e9cutaient une variante diff\u00e9rente de l\u2019EDR Killer<\/em> en m\u00e9moire. Ils sont tous \u00e9crits en langage Go et obfusqu\u00e9s (\u00e9ventuellement gr\u00e2ce \u00e0 l’utilisation d’un outil open source nomm\u00e9 gobfuscate<\/a>). Les obfuscateurs sont des outils con\u00e7us pour emp\u00eacher l\u2019ing\u00e9nierie inverse. Il peut y avoir des raisons l\u00e9gitimes pour lesquelles les ing\u00e9nieurs logiciels masquent le logiciel, par exemple pour emp\u00eacher les concurrents de voler la propri\u00e9t\u00e9 intellectuelle. Cependant, les auteurs de malwares utilisent \u00e9galement des obfuscateurs pour rendre plus difficile l\u2019analyse des malwares par les experts en s\u00e9curit\u00e9.<\/p>\n

La plupart des ing\u00e9nieurs sp\u00e9cialistes en reverse engineering s’appuient sur ces donn\u00e9es obfusqu\u00e9es lors de l’analyse des malwares \u00e9crits en langage Go, mais dans ce cas, ces donn\u00e9es cl\u00e9s sont masqu\u00e9es dans le code compil\u00e9. Certaines de ces informations comprennent les \u00e9l\u00e9ments suivants :<\/p>\n