{"id":25161,"date":"2024-09-12T09:06:56","date_gmt":"2024-09-12T17:06:56","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18891\/"},"modified":"2024-09-12T09:06:56","modified_gmt":"2024-09-12T17:06:56","slug":"news-18891","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2024\/09\/12\/news-18891\/","title":{"rendered":"Le ransomware Qilin surpris en train de voler des identifiants stock\u00e9s dans Google Chrome"},"content":{"rendered":"

Credit to Author: Nicolas Pommier| Date: Wed, 28 Aug 2024 10:01:05 +0000<\/strong><\/p>\n

\n

Au cours d’une r\u00e9cente enqu\u00eate sur une violation perp\u00e9tr\u00e9e par le ransomware Qilin<\/strong>, l’\u00e9quipe Sophos X-Ops<\/a> a identifi\u00e9 une activit\u00e9 malveillante qui a d\u00e9bouch\u00e9 sur un vol massif d’identifiants stock\u00e9s dans les navigateurs Google Chrome au niveau d\u2019un sous-ensemble de syst\u00e8mes endpoint connect\u00e9s au r\u00e9seau : une technique de collecte d’identifiants avec des implications potentielles pouvant aller bien au-del\u00e0 de l’organisation de la victime d’origine. Il s\u2019agit d\u2019une tactique inhabituelle, qui pourrait constituer une nouvelle tendance lucrative amplifiant toujours un peu plus le chaos d\u00e9j\u00e0 inh\u00e9rent aux attaques de ransomware.<\/p>\n

Le ransomware Qilin<\/h2>\n

Le groupe de ransomware Qilin<\/em> est op\u00e9rationnel depuis un peu plus de deux ans. Il a fait la une des journaux en juin 2024 suite \u00e0 l’attaque contre Synnovis<\/a>, un fournisseur de services gouvernemental travaillant pour divers prestataires de sant\u00e9 et h\u00f4pitaux britanniques. Avant l’activit\u00e9 malveillante que nous allons vous pr\u00e9senter dans cet article, les attaques du ransomware Qilin<\/strong> impliquaient souvent une “double extorsion<\/em>” : \u00e0 savoir le vol des donn\u00e9es de la victime, le chiffrement des syst\u00e8mes de celle-ci, puis la menace de r\u00e9v\u00e9ler ou de vendre les donn\u00e9es vol\u00e9es si la victime ne veut pas payer pour la cl\u00e9 de d\u00e9chiffrement, une tactique que nous avons r\u00e9cemment abord\u00e9e dans notre \u00e9tude intitul\u00e9e \u201cTurning the Screws<\/a>\u201d.<\/p>\n

L\u2019\u00e9quipe Sophos IR a observ\u00e9 l\u2019activit\u00e9 d\u00e9crite dans cet article en juillet 2024. Pour vous fournir un certain contexte pr\u00e9cisons que cette activit\u00e9 a \u00e9t\u00e9 rep\u00e9r\u00e9e sur un seul contr\u00f4leur de domaine au sein du domaine Active Directory<\/em> de la cible ; d’autres contr\u00f4leurs de domaine de l’AD concern\u00e9 ont \u00e9t\u00e9 infect\u00e9s mais affect\u00e9s diff\u00e9remment par le ransomware Qilin<\/strong>.<\/p>\n

Man\u0153uvres de d\u00e9part<\/h2>\n

L’attaquant a obtenu un premier acc\u00e8s \u00e0 l’environnement via des identifiants compromis. Malheureusement, cette m\u00e9thode d\u2019acc\u00e8s initial n\u2019est pas nouvelle pour le ransomware Qilin<\/em> (ou d\u2019ailleurs pour d\u2019autres gangs de ransomware). Notre enqu\u00eate a indiqu\u00e9 que le portail VPN ne disposait pas d\u2019une protection par authentification multifacteur (MFA).<\/p>\n

Le temps de s\u00e9jour de l\u2019attaquant entre l\u2019acc\u00e8s initial au r\u00e9seau et ses d\u00e9placements ult\u00e9rieurs \u00e9tait de dix-huit jours, ce qui peut (ou non) indiquer qu\u2019un courtier d\u2019acc\u00e8s initial (IAB) a permis d\u2019effectuer la v\u00e9ritable incursion. Quoi qu’il en soit, dix-huit jours apr\u00e8s l’acc\u00e8s initial, l’activit\u00e9 des attaquants sur le syst\u00e8me a augment\u00e9, avec des artefacts montrant un mouvement lat\u00e9ral vers un contr\u00f4leur de domaine utilisant des identifiants compromis.<\/p>\n

Une fois que l’attaquant a atteint le contr\u00f4leur de domaine en question, il a modifi\u00e9 la strat\u00e9gie par d\u00e9faut pour introduire une GPO (Group Policy Object\/Strat\u00e9gie de groupe<\/em>) de type connexion\/logon<\/em> et contenant deux \u00e9l\u00e9ments. Le premier \u00e9l\u00e9ment<\/em>, un script PowerShell nomm\u00e9 IPScanner.ps1<\/em>, a \u00e9t\u00e9 \u00e9crit dans un r\u00e9pertoire temporaire au sein du partage SYSVOL (SYStem VOLume<\/em>) (\u00e0 savoir le r\u00e9pertoire NTFS partag\u00e9 situ\u00e9 sur chaque contr\u00f4leur de domaine au sein d’un Active Directory) sur le contr\u00f4leur de domaine sp\u00e9cifique impliqu\u00e9. Il contenait un script de 19 lignes qui tentait de collecter les donn\u00e9es d’identification stock\u00e9es dans le navigateur Chrome.<\/p>\n

Le deuxi\u00e8me \u00e9l\u00e9ment<\/em>, un script batch nomm\u00e9 logon.bat<\/em>, contenait les commandes permettant d’ex\u00e9cuter le premier script<\/em>. Cette combinaison a abouti \u00e0 la collecte des identifiants enregistr\u00e9s dans les navigateurs Chrome sur les machines connect\u00e9es au r\u00e9seau. \u00c9tant donn\u00e9 que ces deux scripts \u00e9taient li\u00e9s \u00e0 une GPO de type connexion\/logon<\/em>, ils s’ex\u00e9cutaient sur chaque ordinateur client lors de la connexion.<\/p>\n

Sur les syst\u00e8mes endpoint<\/h2>\n

Chaque fois qu’une connexion se produisait sur un syst\u00e8me endpoint, logon.bat<\/em> lan\u00e7ait le script IPScanner.ps1<\/em>, qui \u00e0 son tour cr\u00e9ait deux fichiers : un fichier de base de donn\u00e9es SQLite nomm\u00e9 LD<\/em> et un fichier texte nomm\u00e9 temp.log<\/em>, comme le montre la figure 1.<\/p>\n

\"ransomware<\/a><\/p>\n

Figure 1 : Nous appelons cet appareil de d\u00e9monstration Hemlock car il est effectivement vraiment toxique : voici les deux fichiers cr\u00e9\u00e9s par le script de d\u00e9marrage sur une machine infect\u00e9e.<\/em><\/p>\n

Ces fichiers ont \u00e9t\u00e9 r\u00e9\u00e9crits dans un r\u00e9pertoire nouvellement cr\u00e9\u00e9 sur le partage SYSVOL du domaine et nomm\u00e9s d’apr\u00e8s le nom d’h\u00f4te du (ou) des appareils sur lesquels ils ont \u00e9t\u00e9 ex\u00e9cut\u00e9s (dans notre exemple, Hemlock<\/em>).<\/p>\n

Le fichier de base de donn\u00e9es LD<\/em> contient la structure illustr\u00e9e \u00e0 la figure 2.<\/p>\n

\"ransomware<\/a><\/p>\n

Figure\u00a02\u00a0: Dans LD, le fichier de base de donn\u00e9es SQLite est plac\u00e9 dans SYSVOL<\/em><\/p>\n

Signe d\u2019un certain niveau de confiance quant \u00e0 sa capacit\u00e9 \u00e0 ne pas se faire attraper ou bien \u00e0 ne pas perdre son acc\u00e8s au r\u00e9seau, l’attaquant a laiss\u00e9 cette GPO active sur le r\u00e9seau pendant plus de trois jours. Cette strat\u00e9gie a donn\u00e9 aux utilisateurs de nombreuses possibilit\u00e9s de se connecter \u00e0 leurs appareils et, \u00e0 leur insu, de d\u00e9clencher le script de collecte d’identifiants sur leurs syst\u00e8mes. Encore une fois, puisque l\u2019activit\u00e9 malveillante s\u2019appuie sur une GPO de type connexion\/logon<\/em>, chaque utilisateur allait ainsi subir ce vol d’identifiants \u00e0 chaque connexion.<\/p>\n

Pour rendre plus difficile l’\u00e9valuation de l’\u00e9tendue de la compromission, une fois les fichiers contenant les identifiants collect\u00e9s, vol\u00e9s et exfiltr\u00e9s, l’attaquant a supprim\u00e9 tous les fichiers et effac\u00e9 les logs d’\u00e9v\u00e9nement du contr\u00f4leur de domaine et des machines infect\u00e9es. Apr\u00e8s avoir supprim\u00e9 les preuves, ils ont proc\u00e9d\u00e9 au chiffrement des fichiers et \u00e0 l’envoi de la demande de ran\u00e7on, comme le montre la figure 3. Ce ransomware laisse une copie de la demande de ran\u00e7on dans chaque r\u00e9pertoire de l’appareil sur lequel il s’ex\u00e9cute.<\/p>\n

\"ransomware<\/a><\/p>\n

Figure\u00a03\u00a0: Une demande de ran\u00e7on Qilin<\/em><\/p>\n

Le groupe Qilin a de nouveau utilis\u00e9 une GPO comme m\u00e9canisme pour affecter le r\u00e9seau en lui faisant cr\u00e9er une t\u00e2che planifi\u00e9e pour ex\u00e9cuter un fichier batch nomm\u00e9 run.bat<\/em>, qui a ensuite t\u00e9l\u00e9charg\u00e9 et ex\u00e9cut\u00e9 le ransomware.<\/p>\n

Impact<\/h2>\n

Dans cette attaque, le script IPScanner.ps1<\/em> ciblait les navigateurs Chrome, \u00e0 savoir statistiquement le choix le plus susceptible de g\u00e9n\u00e9rer une collecte abondante de mots de passe, puisque Chrome d\u00e9tient<\/a> actuellement un peu plus de 65% du march\u00e9 des navigateurs. Le succ\u00e8s de chaque tentative d\u00e9pendait alors de la quantit\u00e9 d\u2019identifiants que chaque utilisateur stockait dans le navigateur (en ce qui concerne le nombre de mots de passe pouvant \u00eatre acquis sur chaque machine infect\u00e9e, une enqu\u00eate<\/a> r\u00e9cente indique que l’utilisateur moyen poss\u00e8de 87 mots de passe professionnels et environ deux fois plus de mots de passe personnels).<\/p>\n

Une compromission r\u00e9ussie de ce type implique que non seulement les d\u00e9fenseurs doivent changer tous les mots de passe Active Directory ; mais ils doivent \u00e9galement (en th\u00e9orie) demander aux utilisateurs finaux de modifier leurs mots de passe pour des dizaines, voire des centaines, de sites tiers pour lesquels les utilisateurs ont enregistr\u00e9 leurs combinaisons nom d’utilisateur\/mot de passe<\/em> dans le navigateur Chrome. Les d\u00e9fenseurs n\u2019auraient bien s\u00fbr aucun moyen d\u2019obliger les utilisateurs \u00e0 effectuer tous ces changements. Concernant l’exp\u00e9rience d’un point de vue utilisateur final<\/em>, m\u00eame si pratiquement tous les internautes ont re\u00e7u \u00e0 ce stade au moins une notification du type “vos donn\u00e9es ont \u00e9t\u00e9 vol\u00e9es<\/strong>” provenant d’un site qui a perdu le contr\u00f4le des donn\u00e9es de leurs utilisateurs, dans cette situation particuli\u00e8re, c’est l’inverse : un utilisateur est associ\u00e9 \u00e0 des dizaines ou des centaines de violations distinctes<\/em>.<\/p>\n

Il est peut-\u00eatre int\u00e9ressant de noter que, dans cette attaque sp\u00e9cifique, d\u2019autres contr\u00f4leurs de domaine du m\u00eame Active Directory ont \u00e9t\u00e9 chiffr\u00e9s, mais que le contr\u00f4leur de domaine sur lequel cette GPO sp\u00e9cifique a \u00e9t\u00e9 initialement configur\u00e9e n\u2019a pas \u00e9t\u00e9 chiffr\u00e9e par le ransomware. Les raisons pouvant expliquer cette absence de chiffrement, \u00e0 savoir un rat\u00e9, un oubli, des tests A\/B de l\u2019attaquant, d\u00e9passent le cadre de notre enqu\u00eate (et de cet article).<\/p>\n

Conclusion<\/h2>\n

Comme on pouvait s\u2019y attendre, les groupes de ransomware continuent de changer de tactique et d’enrichir leur gamme de techniques. Le groupe de ransomware Qilin<\/em> a peut-\u00eatre d\u00e9cid\u00e9 qu’en ciblant simplement les actifs r\u00e9seau de ses organisations cibles, il passait \u00e0 c\u00f4t\u00e9 de potentielles opportunit\u00e9s.<\/p>\n

Si ce groupe, ou d’autres attaquants, ont d\u00e9cid\u00e9 d’exploiter \u00e9galement les identifiants stock\u00e9s au niveau des syst\u00e8mes endpoint, ce qui pourrait fournir un potentiel acc\u00e8s \u00e0 une cible ult\u00e9rieure, ou bien des mines d’informations sur des cibles de grande valeur \u00e0 exploiter par d’autres moyens, alors il est clair qu\u2019un nouveau chapitre, plut\u00f4t sombre, vient peut-\u00eatre de s’ouvrir dans l\u2019histoire actuelle de la cybercriminalit\u00e9.<\/p>\n

Remerciements<\/h2>\n

Anand Ajjan des SophosLabs, ainsi qu’Ollie Jones et Alexander Giles de l’\u00e9quipe Incident Response, ont contribu\u00e9 \u00e0 cette analyse.<\/p>\n

R\u00e9ponse et rem\u00e9diation<\/h2>\n

Les entreprises et les particuliers doivent s’appuyer sur des gestionnaires de mots de passe qui utilisent les meilleures pratiques du secteur en mati\u00e8re de d\u00e9veloppement de logiciels et qui sont r\u00e9guli\u00e8rement test\u00e9s par des organismes tiers ind\u00e9pendants. L\u2019utilisation d\u2019un gestionnaire de mots de passe bas\u00e9 sur un navigateur s\u2019est av\u00e9r\u00e9e \u00e0 maintes reprises non s\u00e9curis\u00e9e, cet article en \u00e9tant la preuve la plus r\u00e9cente.<\/p>\n

L\u2019authentification multifacteur aurait \u00e9t\u00e9 une mesure pr\u00e9ventive efficace dans une telle situation, comme nous l\u2019avons d\u00e9j\u00e0 dit pr\u00e9c\u00e9demment<\/a>. Bien que l’utilisation du MFA continue d’augmenter, une \u00e9tude Lastpass<\/em> de 2024 indique que m\u00eame si l’adoption du MFA dans les entreprises de plus de 10 000 employ\u00e9s atteint un taux pas vraiment extraordinaire de 87 %, ce niveau d’adoption chute brutalement, en passant de 78 % pour les entreprises de 1 001 \u00e0 1 000 employ\u00e9s \u00e0 un taux de 27 % pour les entreprises de 25 employ\u00e9s ou moins. \u00a0Pour parler franchement, les entreprises doivent faire beaucoup mieux, pour leur propre s\u00e9curit\u00e9, et dans ce cas-ci, pour celle des autres entreprises \u00e9galement.<\/p>\n

Notre propre requ\u00eate Powershell.01<\/em> a jou\u00e9 un r\u00f4le d\u00e9terminant dans l\u2019identification des commandes PowerShell suspectes ex\u00e9cut\u00e9es au cours de l\u2019attaque. Cette requ\u00eate est disponible gratuitement sur notre Github<\/a>, parmi bien d\u2019autres.<\/p>\n

Sophos d\u00e9tecte le ransomware Qilin<\/em> sous le nom Troj\/Qilin-B<\/strong> avec des d\u00e9tections comportementales telles que Impact_6a<\/strong> et Lateral_8a<\/strong>. Le script d\u00e9crit ci-dessus est d\u00e9tect\u00e9 sous le nom Troj\/Ransom-HDV<\/strong>.<\/p>\n

Billet inspir\u00e9 de Qilin ransomware caught stealing credentials stored in Google Chrome<\/a>, sur le Blog Sophos.<\/p>\n<\/p><\/div>\n

http:\/\/feeds.feedburner.com\/sophos\/dgdY<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

<\/p>\n

Credit to Author: Nicolas Pommier| Date: Wed, 28 Aug 2024 10:01:05 +0000<\/strong><\/p>\n

Les ransomwares familiers d\u00e9veloppent un certain app\u00e9tit pour les mots de passe de sites tiers.<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10378,10377],"tags":[129,24552,16771],"class_list":["post-25161","post","type-post","status-publish","format-standard","hentry","category-security","category-sophos","tag-featured","tag-security-operations","tag-threat-research"],"_links":{"self":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/25161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/comments?post=25161"}],"version-history":[{"count":0,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/posts\/25161\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/media?parent=25161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/categories?post=25161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palada.net\/index.php\/wp-json\/wp\/v2\/tags?post=25161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}