Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
quoideneuf1.over-blog.com

Le malware "TreasureHunter" innove en utilisant l'ID de produits windows pour son mutex dynamique

12 Mars 2015 , Rédigé par nicko Publié dans #informatique

Le malware "TreasureHunter"  innove en utilisant l'ID de produits windows pour son mutex dynamique

Une nouvelle approche basée sur les mutex dynamique des ID de produits Windows pourrait permettre la création de nouveaux malwares qui pourraient rester indétectables pendant une longue période.

Avant de parler de "TreasureHunter» lui-même, je pense qu'il vaut la peine de vous en dire un peu plus à propos de mutex et comme le dit Microsoft:

"Par exemple, pour empêcher deux fils d'écrire sur la mémoire partagée en même temps, chaque thread attend la propriété d'un objet mutex avant d'exécuter le code qui accède à la mémoire. Après avoir écrit sur la mémoire partagée, le fil libère le mutex ".

Pour un programme malveillant, cela signifie que nous pouvons vérifier les noms des mutex des objets , que si nous avions déjà examiné un système infecté.

Comme l'a dit Lenny Zeltser, l'auteur original de l'article:

"Les auteurs de malwares qui souhaitent employer des mutex d'objets ont besoin d'une manière prévisible de nommer ces objets, de sorte que plusieurs instances de codes malveillants s'exécutant sur l'hôte infecté peuvent se référer au même mutex,"

Zeltser a également déclaré:

«Un moyen typique pour ce faire consiste à coder le nom du mutex. L'auteur de TreasureHunter décidé d'utiliser une approche plus sophistiquée pour dériver le nom du mutex basée sur le système de l'ID du produit.

"Cela a aidé le spécimen a échapper à la détection dans des situations où les répondants aux incidents ou des outils anti-malware tenté d'utiliser un nom d'objet statique comme indicateur de compromis. "

Ce qui était incroyable dans mon point de vue est que si vous exécutez "TreasureHunter" dans différents systèmes vous obtenez différents mutex objets, ce qui le rend pratiquement impossible à détecter.

Une preuve, les échantillons soumis à "Virustotal" et "VxStream Sandbox" où vous obtenez un nom de mutex différent.

Virustotal:

C:\DocumentsandSettings\<USER>\ApplicationData\3ed1ed60c7d7374bf0dd76fc664b39cd\jucheck.exe
Le malware &quot;TreasureHunter&quot;  innove en utilisant l'ID de produits windows pour son mutex dynamique

VxStream Sandbox:

C:\Users\PSPUBWS\AppData\Roaming\3ac22cadc45e0558cad697d777f6c3d3\jucheck.exe
Le malware &quot;TreasureHunter&quot;  innove en utilisant l'ID de produits windows pour son mutex dynamique

Cette nouvelle approche utilisée par le malware développé de "Treasure Hunter", ouvre la porte à de nouvelles techniques de contournement par des malwares qui seront indétectable sur les systèmes pendant un certain temps.

Il sera intéressant de voir s''il y aura une évolution de cette méthode.

Source: Securityaffairs

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article
A
Je suis sous linux et je me sens bien plus protégé... est-ce simplement une illusion d'après votre expérience? o.O
Répondre
B
Merci beaucoup de vos explications, nicko. Cela me surprends car depuis que je suis sous linux (en fait Ubuntu), je trouve que mon ordinateur va beaucoup plus rapidement et ne 'bug' jamais, sincèrement! Ce qui n'était évidemment pas le cas de windows.... :o\<br /> <br /> C'est peut-être juste que les vulnérabilités sont mieux dissimulées.... heheheeh
N
Bonjour, les systèmes sous Linux ne sont, hélas, pas infaillibles. En 2014, le nombre de vulnérabilités trouvé sur Linux supérieur à Windows, 233 vulnérabilités pour Linux et 154 pour Windows (toutes vulnérabilités confondues de légère à critique) mais en ce qui concerne l'utilisation du mutex d'un produit Linux par un logiciel malveillant, je n'ai pas trouvé d'information qui confirmerait ce fait.