Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

6 Mai 2015 , Rédigé par nicko Publié dans #informatique

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Les chercheurs en sécurité informatique de l'entreprise CISCO ont découvert un nouveau type de malware particulièrement virulent, celui-ci si détecté détruit le Master Boot Record , ce qui peut ce révéler catastrophique pour la victime.

Le malware, surnommé Rombertik par Cisco Systems, est conçu pour intercepter la totalité du texte brut écrit dans une fenêtre de navigateur. Il se propage via un spam et des messages de phishing, selon l'article publié par le groupe Talos sur blogCisco.com. 

D'un haut niveau, Romberik est une pièce complexe de logiciel malveillant qui est conçu pour se fixer au navigateur de l'utilisateur pour lire les informations d'identification et autres informations sensibles pour ensuite exfiltrer les données ainsi récoltées, vers un serveur contrôlé par l'attaquant, il a des ressemblances avec Dyre. Cependant, contrairement à Dyre qui a été conçu pour cibler les informations bancaires, Rombertik rassemble les informations de tous les sites Web et cela à l'aveugle.(sans mettre de côté certains sites web)

La propagation de Rombertik, se fait via un spam et des messages de phishing envoyés aux éventuelles victimes. Selon Talos comme dans des campagnes de spam et de phishing précédentes, les attaquants utilisent des tactiques d'ingénierie sociale pour inciter les utilisateurs à télécharger, décompresser, et ouvrir les pièces jointes compromises.

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté
Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Dans cet exemple, le message propageant Rombertik semble provenir de "Windows Corporation". Les assaillants tentent de convaincre l'utilisateur de vérifier les documents joints prétendument pour s'assurer que l’expéditeur est bien l'entreprise citée. Si l'utilisateur télécharge et décompresse le fichier, est affiché un fichier ressemblant à une vignette de document.

Bien que ce fichier peut ressembler à une sorte de PDF du à l'affichage de l'icône ou d'une vignette, le fichier est en fait, un fichier exécutable au format .SCR (extension de fichier de module d'écran de veille) qui contient Rombertik. Une fois que l'utilisateur double-clique pour ouvrir le fichier, Rombertik va commencer le processus de compromission du système.

Le processus par lequel Rombertik compromet le système cible est assez complexe avec des contrôles anti-analyses mis en place pour empêcher l'analyse statique et dynamique.
Lors de l'exécution, Rombertik installe puis s'exécute via un premier ensemble de contrôles d'anti-analyses pour vérifier si elle est en cours d'exécution dans
un sandbox . Une fois ces vérifications terminées, Rombertik va procéder à son décryptage et à son installation sur l'ordinateur des victimes afin de maintenir la persistance.


Après l'installation, il lance une copie de lui-même et écrase cette copie avec les fonctionnalités de base du logiciel malveillant. Avant que Rombertik commence le processus d'espionnage sur les utilisateurs, celui-ci effectuera une dernière vérification pour s'assurer qu'il ne soit pas en cours d'analyse en mémoire.


Si cette vérification échoue, Rombertik tentera de détruire le Master Boot Record et redémarra l'ordinateur pour le rendre inutilisable.

Ci-dessous le graphique illustre le processus.

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Analyse:

Dès le début, Rombertik intègre plusieurs couches d'obscurcissement (procédé par lequel du code est rendu impénétrable) avec des fonctionnalités d'anti-analyses. Dissimuler la fonctionnalité d'un malware peut être accomplie de nombreuses façons différentes. Une méthode courante consiste à inclure du code erroné pour gonfler le volume initial qu'un analyste pourrait avoir à examiner et analyser. Dans ce cas, l'échantillon décompressé de Rombertik fait 28KB tandis que sa version compressée fait elle 1264KB. Plus de 97% du fichier compressé est destiné à le faire paraître légitime en incluant 75 images et plus de 8000 fonctions qui ne sont jamais utilisés. Le packer* tente de submerger les analystes en rendant impossible la vérification de chaque fonction.

(*packer: Un packer est un petit programme dont le but est de compresser un logiciel afin de réduire sa taille initiale, tout en conservant son aspect exécutable.)
Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Cisco systems a commencé à peler lentement les couches en se concentrant sur le sous-ensemble de fonctions qui sont utilisés, Cisco systems a observé une technique de fraude au sandbox intéressante. Une technique courante pour échapper à un sandbox est de rester dormant pendant des périodes prolongées avec l'intention de le forcer avant que le malware se "réveille" et commence à s'exécuter. En réponse, les sandbox se sont améliorées dans la détection et dans la réponse apportée lorsqu'un malware est mis en sommeil pendant une longue période.

Rombertik emploie une approche similaire pour retarder son exécution, mais il le fait sans être en sommeil. À la place Rombertik écrit 960 millions de fois un octet de données aléatoire sur la mémoire. Cela est conçu pour gagner du temps, comme le fait de se mettre en sommeil, cela présente quelques inconvénients pour les sandbox et les outils d'application de traçage. Le sandbox ne peut être en mesure de déterminer immédiatement si l'application est intentionnellement installé, car l'exécutable malveillant et activé.

L'autre inconvénient est que l'écriture répétitive inonderait les outils d'application de traçage. Si un outil d'analyse tente de se connecter aux instructions, le journal augmenterait sa taille de plus de 100 gigaoctets. Même si l'environnement d'analyse était capable de gérer un journal de cette taille, il faudrait plus de 25 minutes pour écrire autant de données sur un disque dur classique. Cela complique l'analyse.

Après avoir pris son temps intentionnellement en écrivant sur la mémoire à plusieurs reprises, Rombertik vérifie si les outils d'analyse ont modifié le code de routine de l'API Windows ZwGetWriteWatch. Elle le fait en appelant ZwGetWriteWatch avec des arguments invalides. Si la routine ne revient pas avec une erreur spécifique, Rombertik se ferme.

L'hypothèse derrière la vérification d'une erreur spécifique par rapport à une erreur générique est que la vérification par les sandbox suppriment les erreurs renvoyées par les appels de routine de l'API. Une fois la vérification du sandbox terminé, Rombertik appelle la fonction de l'API Windows "OutputDebugString" 335.000 fois comme un mécanisme anti-debugging.

Enfin, une fonction anti-analyse est appelée pour vérifier le nom d'utilisateur et le nom du processus d'exécution des chaînes comme "malwar", "sampl", "viru", et "sandb". Si le packer détecte l'une de ces chaînes, il cessera de déballer et se fermera. À ce stade, les contrôles initiaux d'anti-analyse sont complets.

Une fois parcouru les vérifications initiales d'anti-analyses, il va vérifier si l'exécution en cour se fait via %AppData%\rsr\yfoye.exe . S'il s'exécute pas à partir de là, il procédera à son installation afin d'assurer la persistance après le redémarrage du système avant de continuer à exécuter la charge utile.

Pour s'auto installer, Rombertik crée d'abord un script VBS nommé "fgf.vbs", qui est utilisé pour son démarrage à chaque fois que l'utilisateur se connecte, le script est alors placé dans le dossier de démarrage de l'utilisateur. Rombertik crée alors %AppData%\rsr\yfoye.bat et déplace la version compactée lui-même dans %AppData%\rsr\yfoye.exe.

Si Rombertik détecte qu'il est déjà en cours d'exécution à partir de %AppData%\rsr\yfoye.exe, le malware va alors commencer le décryptage et l'exécution du code principal de déballage dans la mémoire. Rombertik procédera alors à l'exécution de yfoye.exe une seconde fois pour créer une nouvelle instance du processus. Une fois le déballage terminé, Rombertik écrasera la mémoire du nouveau processus avec le code exécutable décompressé. Le code décompressé est monstrueux, celui-ci complexifie le code d'anti-analyse.

Le code contient des dizaines de fonctions qui se chevauchent les unes sur les autres et qui sont inutiles mais ajoutées pour augmenter sa complexité. Le résultat est un cauchemar, un graphe de contrôle de flux avec des centaines de nœuds. Les figures 3 et 4 illustrent la complexité du code de déballage par rapport à l'ensemble du code qui effectue des contrôles anti-analyse.

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Le piège destructeur:

Une fois que la version décompressée de Rombertik commence à s'exécuter au sein de la deuxième copie de yfoye.exe, une dernière fonction anti-analyse est exécutée, celle-ci se révèle être particulièrement agressive si la vérification échoue. La fonction calcule le hash 32 bits d'une ressource dans la mémoire, et le compare à l'horodatage compilé de l'échantillon décompressé. Si la ressource ou la compilation a été modifiée, le malware se veut destructeur.

Il tente d'abord de remplacer le Master Boot Record (MBR) en PhysicalDisk0, ce qui rend l'ordinateur inutilisable. Si le malware ne dispose pas des autorisations pour écraser le MBR, il se lancera plutôt dans la destruction de tous les fichiers dans le dossier de l'utilisateur (par exemple C: \ Documents and Settings \ Administrateur \) en chiffrant chaque fichier avec une clé RC4 générée aléatoirement. Après que le MBR a été écrasé, ou que le dossier (par exemple C: \*****) a été chiffré, l'ordinateur redémarre.

Le Master Boot Record se lance avec le code exécuté avant le système d'exploitation. Le MBR écrasé contient le code “Carbon crack attempt, failed”, qui engendre une boucle infinie qui empêche le système de continuer le déma
rrage.

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Le MBR contient également des informations sur les partitions de disque. Le MBR modifié écrase les octets des partitions par des octets nuls, ce qui rend encore plus difficile la récupération des données une fois sabotées.

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Une fois que l'ordinateur est redémarré, celui-ci se voit bloqué avec ce message affiché sur l'écran et cela jusqu'à ce que le système d'exploitation soit réinstallé:

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Rombertik commence à se comporter comme un échantillon de logiciel malveillant appeler 'essuie-glace', ceux-ci saccagent l'ordinateur de l'utilisateur s'il est détecté est analysé.

Talos a observé des techniques d'anti-débogage et d'anti-analyse dans des échantillons de logiciel malveillant dans le passé, pour l'entreprise Rombertik est unique du fait qu'il essaye activement de détruire l'ordinateur s'il détecte certains attributs associés à l'analyse de lo
giciel malveillant.

Le malware réel:

À ce stade, Rombertik suppose que tous les contrôles d'anti-analyses sont passé et commence effectivement à faire ce qui était initialement prévu - voler les données de l'utilisateur. Rombertik va scanner le processus en cours d'exécution de l'utilisateur afin de déterminer si un navigateur Web est en cours d'exécution.

Si Rombertik détecte une instance de Firefox, Chrome ou Internet Explorer, il va s'injecter dans le processus et ce raccorder à la fonction API qui gèrent les données en texte clair.

Une fois accomplie, Rombertik est alors capable de lire toutes les données en texte clair que l'utilisateur tape dans leur navigateur et de capturer cette entrée avant qu'elle ne soit cryptée si l'entrée doit être envoyée via HTTPS. Cela permet au malware de recueillir des données telles que les noms d'utilisateur et mots de passe à partir de presque n'importe quel site web.

Rombertik ne cible pas un site en particulier, tels les sites bancaires, mais à la place, tente de voler des informations sensibles provenant d'autant de sites Web que possible. Les données collectées sont ensuite codées en base64 et sont transmises sans chiffrement vers www.centozos.org.in/don1/gate.php (dans cet exemple) avec HTTP .

Le malware rombertik écrase le Master Boot Record rendant inutilisable votre PC s'il est détecté

Couverture et Indicateurs de Compromis:

Échantillon Analysé (SHA256)

0d11a13f54d6003a51b77df355c6aa9b1d9867a5af7661745882b61d9b75bccf

Serveurs de commande et de contrôle:

www.centozos[.]org[.]in

Conclusion:

Rombertik est une pièce complexe de logiciel malveillant avec plusieurs couches d'obscurcissement avec la fonctionnalité d'anti-analyse mais qui est en fin de compte conçue pour voler les données d'utilisateurs. Des bonnes pratiques de sécurité, comme s'assurer qu'un logiciel antivirus est installé et mis à jour, ne pas cliquer pas sur des pièces jointes d'expéditeurs inconnus, s'assurer que des politiques de sécurité robustes sont en place pour le courrier électronique (telles que le blocage de certains types de pièces jointes).

Source: Blog.Cisco

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Temple informatique 16/11/2016 11:23

Bonjour,
Là, je suis tombé sur votre blog, j'essaye de lire l'article mais c'est très long et je ne parviens pas à le faire. En plus, il fait très chaud en ce moment et je suis paresseux. Merci.

compteur pour declarer son amour 08/12/2015 16:47

Bonne continuation.
Faites une jolie déclaration avec un compteur d'amour.

Loli Todon 25/09/2015 17:42

d'utiliser cette Rombertik http://cookoo.fr/publiciels/dns-unlocker