Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Le malware Skeleton Key redétecté deux ans après sa découverte

30 Janvier 2015 , Rédigé par nicko Publié dans #informatique

Le malware Skeleton Key qui pendant ces deux dernières années semblées ne plus être utilisé a été découvert par des chercheurs de l'entreprise Dell Secureworks dans un réseau d'un de ses clients.

Le malware Skeleton Key redétecté deux ans après sa découverte

La menace a été utilisée par des attaquants afin de contourner l'authentification sur Active Directory (AD) qui a un système d'authentification à un seul facteur. Il leur permet de se connecter au système en tant qu'utilisateur légitime avec le mot de passe de leur choix.

Skeleton Key a été la première fois détectée début 2013

Symantec a réalisé sa propre analyse sur un échantillon du malware et a identifié une connexion via la backdoor Winnti, qui a été utilisée dans plusieurs attaques ciblées contre des entreprises partout sur la planète.

Kaspersky allègue que la backdoor est géré par des attaquants spécialisés dans la compromission de réseaux informatiques d'entreprises et de l'industrie du jeu vidéo et qu'il est mis à profit pour volé du code source et des certificats numériques.

Gavin Gorman de Symantec dit à propos de Skeleton Key (détecté Trojan.Skelky) qu'il a évolué durant ses deux dernières années, et que de nouvelles variantes ont vu le jour.

Les premiers signes de son activité ont été enregistrées en Janvier 2013 et il n'a pas été repérer par le radar jusqu'à Novembre de la même année.
Depuis lors, les attaquants se sont de nouveau tournés vers lui un et depuis quatre versions supplémentaires sont apparues et aussi des nouveaux nom de fichiers utilisés par les assail
lants. La série complète des noms de fichiers et des hashes observés sont répertoriés ci-dessous.

msuta64.dll: 66da7ed621149975f6e643b4f9886cfd
ole64.dll: bf45086e6334f647fda33576e2a05826    
HookDC64.dll: bf45086e6334f647fda33576e2a05826    
HookDC.dll: a487f1668390df0f4951b7292bae6ecf    
HookDC.dll: 8ba4df29b0593be172ff5678d8a05bb3    
HookDC.dll: f01026e1107b722435126c53b2af47a9    
ole64.dll: f01026e1107b722435126c53b2af47a9    
olex64.dll: f01026e1107b722435126c53b2af47a9    
HookDC64.dll: f01026e1107b722435126c53b2af47a9    
ole.dll: f01026e1107b722435126c53b2af47a9
HookDC.dll: 747cc5ce7f2d062ebec6219384b57e8c        
ole.dll: 747cc5ce7f2d062ebec6219384b57e8c

Symantec via la Télémétrie a identifié le malware Skeleton Key sur les ordinateurs compromis de cinq organisations qui ont des bureaux aux États-Unis et au Vietnam. La nature exacte et les noms des organisations touchées sont inconnus de Symantec, a dit Gorman dans un billet de blog jeudi.

Plusieurs groupes peuvent utiliser les deux morceaux du malware

La connexion entre Skeleton Key et Winnti a été faite sur la base du fait que les assaillants ont utilisé le même mot de passe dans trois variantes différentes du malware, indiquant qu'un seul groupe est derrière.

D'autres menaces ont été trouvées sur deux des systèmes compromis par le malware Skeleton Key, une variante de la backdoor Winnti (jqs.exe) et un compte-gouttes qui lui est dédié (tmp8296.tmp). Comme les deux pièces ont été détectées sur ces mêmes systèmes, la conclusion selon laquelle ils sont utilisés conjointement par le même acteur peut être tirée.

Les détails sur les noms de fichiers et des hashes sont les suivantes:

jqs.exe (Backdoor.Winnti dropper): 600b604784594e3339776c6563aa45a1
tmp8296.tmp (Backdoor.Winnti variant): 48377c1c4cfedebe35733e9c3675f9b

Symantec n'a pas trouvé de preuves concluantes prouvant que plusieurs groupes d'assaillants utilisés les morceaux du malware, mais n'élimine pas cette possibilité.

Source: Softpedia et Symantec

Partager cet article

Repost 0

Commenter cet article

electricite paris 8 02/02/2015 08:15

J'apprécie votre blog , je me permet donc de poser un lien vers le mien .. n'hésitez pas à le visiter.
Cordialement