IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

EternalRocks : le malware ciblant le service SMB s'appuie sur 7 exploits de la NSA
Tandis que WannaCry n'en utilise que deux

Le , par Stéphane le calme

481PARTAGES

12  0 
Le ransomware WannaCry, qui a fait couler beaucoup d’encre et a été la raison pour laquelle des DSI de plusieurs entreprises dans le monde ont ouvert des cellules de crise durant le weekend passé, s’appuyait sur deux outils de la NSA pour se propager via le service Windows Server Message Block (SMB) : ETERNALBLUE et DOUBLEPULSAR.

Cette fois-ci, EternalRocks, un autre logiciel malveillant, a été découvert et se propage lui aussi par le service SMB. La différence avec WannaCry ? Il exploite sept outils de la NSA, notamment ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY, qui sont des exploits SMB utilisés pour compromettre les ordinateurs vulnérables, tandis que SMBTOUCH et ARCHITOUCH sont deux outils de la NSA utilisés pour les opérations de reconnaissance SMB. Une fois que le ver a obtenu une entrée, il utilise ensuite un autre outil NSA, DOUBLEPULSAR, pour se propager vers de nouvelles machines vulnérables.

Contrairement à EternalRocks, WannaCry n'a utilisé qu’ETERNALBLUE pour la compromission initiale, et DOUBLEPULSAR pour se propager vers de nouvelles machines vulnérables.

C’est le chercheur en sécurité Miroslav Stampar, membre du CERT croate et accessoirement créateur de l’outil sqlmap, un outil open source permettant d'identifier et d'exploiter une injection SQL sur des applications web, qui l’a découvert après qu’il a infecté son pot de miel SMB.

Contrairement à WannaCry, EternalRocks n'a pas de commutateur kill pour empêcher l'exécution du code. Il utilise certains fichiers avec les mêmes noms que WannaCry pour essayer de tromper les chercheurs de sécurité qui vont alors penser qu’ils sont en face de WannaCry.

Une fois dans la machine, EternalRocks télécharge le navigateur web Tor, qui est supposé permettre de naviguer sur le Web de façon anonyme, mais également d’accéder à des sites hébergés sur le Dark Web qui ne peuvent pas être consultés à partir de navigateurs Web normaux comme Chrome, IE ou Firefox.

Lorsque Tor est installé, EternalRocks lance le téléchargement de composants de base qui seront utilisés plus tard. Tor se connecte à un serveur C&C sur le Dark Web. Après un délai, qui est réglé sur 24 heures, le serveur C&C répond et une archive contenant les sept exploits SMB est téléchargée. Ce délai est susceptible d'avoir été mis en place pour éviter les techniques de sandboxing.

Ensuite, le ver scanne Internet à la recherche de ports SMB ouverts afin de propager l’infection à d'autres organisations.

EternalRocks est beaucoup moins dangereux que WannaCry, dans la mesure où il ne fournit actuellement aucun contenu malveillant. Ceci, cependant, ne signifie pas que EternalRocks est moins complexe. Selon Stampar, c'est en fait le contraire.

En raison de son arsenal d'exploitation plus large, de l'absence d'un domaine de substitution permettant de tuer ses processus, et en raison de sa dormance initiale, EternalRocks pourrait constituer une menace sérieuse pour les ordinateurs avec des ports SMB vulnérables exposés à Internet, si son auteur venait à décider d'armer son ver d’un Ransomware, d’un Troyen bancaire, d’un RAT, ou autre chose.

À première vue, le ver semble être une expérience issue d’un auteur de logiciels malveillants qui effectue des tests et affûte ses flèches en prévision d’une attaque future.

Ceci, cependant, ne signifie pas que EternalRocks est inoffensif. Les ordinateurs infectés par ce ver sont contrôlables via les commandes du serveur C&C et le propriétaire du ver peut exploiter ce canal de communication caché pour envoyer de nouveaux logiciels malveillants aux ordinateurs précédemment infectés par EternalRocks.

En outre, DOUBLEPULSAR, cet implant de la NSA qui dispose de fonctionnalités de porte dérobée, reste actif sur les PC infectés par EternalRocks. Malheureusement, l'auteur du ver n'a pas pris de mesures pour protéger l'implant DOUBLEPULSAR, ce qui signifie que d'autres acteurs malveillants pourraient l'utiliser comme une porte dérobée sur les machines infectées par EternalRocks en envoyant leur propre logiciel malveillant à ces PC.

Source : résultats de la recherche sur EternalRocks

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de MaximeCh
Membre éprouvé https://www.developpez.com
Le 22/05/2017 à 13:59
Le service SMB est-il toujours d'actualité sur W10?

Citation Envoyé par mh-cbon Voir le message
Ceci dit, on a pas encore eu de vers qui s'installe dans le bios machine (ou similaire), malgré que cela soit possible.
J'attends avec impatience ce doux moment de délectation où les pcs seront compromis dans leurs hardware.
Ce moment est peut-être déjà passé, un peu d'auto-promotion éhontée pour en discuter ici
1  0 
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 22/05/2017 à 11:41
Aller pour être sympa, pas de railleries, bon courage amis des DSI : )

Ceci dit, on a pas encore eu de vers qui s'installe dans le bios machine (ou similaire), malgré que cela soit possible.

J'attends avec impatience ce doux moment de délectation où les pcs seront compromis dans leurs hardware.
0  0 
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 22/05/2017 à 14:38
Citation Envoyé par MaximeCh Voir le message
Le service SMB est-il toujours d'actualité sur W10?
Il semble que oui https://www.rootusers.com/disable-sm...-0-windows-10/

Citation Envoyé par MaximeCh Voir le message

Ce moment est peut-être déjà passé, un peu d'auto-promotion éhontée pour en discuter ici
osef de l'auto promo, on a besoin de
- corréler les infos les unes autres tellement elles sont nombreuses et biaisées
- l'intelligence collective pour repérer les âneries

+10^6
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 22/05/2017 à 14:59
le service SMB ca concerne que windows ?
0  0 
Avatar de vanquish
Membre chevronné https://www.developpez.com
Le 22/05/2017 à 20:11
Citation Envoyé par MaximeCh Voir le message
Le service SMB est-il toujours d'actualité sur W10?
Ben oui, c'est ce qui permet le partage de fichiers (et d'imprimante si je ne dis pas de bétises).
Mais la faille a été corrigé.
SMB 1.0 est conservé pour des raisons de compatibilité avec les OS anciens.

Citation Envoyé par Aiekick
e service SMB ca concerne que windows ?
L'alternative (compatible) Linux s'appelle SaMBa.
Je dis compatible car il existe d'autres systèmes de partages.
0  0