EternalRocks : le malware ciblant le service SMB s'appuie sur 7 exploits de la NSA
Tandis que WannaCry n'en utilise que deux
Le 2017-05-22 10:18:04, par Stéphane le calme, Chroniqueur Actualités
Le ransomware WannaCry, qui a fait couler beaucoup d’encre et a été la raison pour laquelle des DSI de plusieurs entreprises dans le monde ont ouvert des cellules de crise durant le weekend passé, s’appuyait sur deux outils de la NSA pour se propager via le service Windows Server Message Block (SMB) : ETERNALBLUE et DOUBLEPULSAR.
Cette fois-ci, EternalRocks, un autre logiciel malveillant, a été découvert et se propage lui aussi par le service SMB. La différence avec WannaCry ? Il exploite sept outils de la NSA, notamment ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY, qui sont des exploits SMB utilisés pour compromettre les ordinateurs vulnérables, tandis que SMBTOUCH et ARCHITOUCH sont deux outils de la NSA utilisés pour les opérations de reconnaissance SMB. Une fois que le ver a obtenu une entrée, il utilise ensuite un autre outil NSA, DOUBLEPULSAR, pour se propager vers de nouvelles machines vulnérables.
Contrairement à EternalRocks, WannaCry n'a utilisé qu’ETERNALBLUE pour la compromission initiale, et DOUBLEPULSAR pour se propager vers de nouvelles machines vulnérables.
C’est le chercheur en sécurité Miroslav Stampar, membre du CERT croate et accessoirement créateur de l’outil sqlmap, un outil open source permettant d'identifier et d'exploiter une injection SQL sur des applications web, qui l’a découvert après qu’il a infecté son pot de miel SMB.
Contrairement à WannaCry, EternalRocks n'a pas de commutateur kill pour empêcher l'exécution du code. Il utilise certains fichiers avec les mêmes noms que WannaCry pour essayer de tromper les chercheurs de sécurité qui vont alors penser qu’ils sont en face de WannaCry.
Une fois dans la machine, EternalRocks télécharge le navigateur web Tor, qui est supposé permettre de naviguer sur le Web de façon anonyme, mais également d’accéder à des sites hébergés sur le Dark Web qui ne peuvent pas être consultés à partir de navigateurs Web normaux comme Chrome, IE ou Firefox.
Lorsque Tor est installé, EternalRocks lance le téléchargement de composants de base qui seront utilisés plus tard. Tor se connecte à un serveur C&C sur le Dark Web. Après un délai, qui est réglé sur 24 heures, le serveur C&C répond et une archive contenant les sept exploits SMB est téléchargée. Ce délai est susceptible d'avoir été mis en place pour éviter les techniques de sandboxing.
Ensuite, le ver scanne Internet à la recherche de ports SMB ouverts afin de propager l’infection à d'autres organisations.
EternalRocks est beaucoup moins dangereux que WannaCry, dans la mesure où il ne fournit actuellement aucun contenu malveillant. Ceci, cependant, ne signifie pas que EternalRocks est moins complexe. Selon Stampar, c'est en fait le contraire.
En raison de son arsenal d'exploitation plus large, de l'absence d'un domaine de substitution permettant de tuer ses processus, et en raison de sa dormance initiale, EternalRocks pourrait constituer une menace sérieuse pour les ordinateurs avec des ports SMB vulnérables exposés à Internet, si son auteur venait à décider d'armer son ver d’un Ransomware, d’un Troyen bancaire, d’un RAT, ou autre chose.
À première vue, le ver semble être une expérience issue d’un auteur de logiciels malveillants qui effectue des tests et affûte ses flèches en prévision d’une attaque future.
Ceci, cependant, ne signifie pas que EternalRocks est inoffensif. Les ordinateurs infectés par ce ver sont contrôlables via les commandes du serveur C&C et le propriétaire du ver peut exploiter ce canal de communication caché pour envoyer de nouveaux logiciels malveillants aux ordinateurs précédemment infectés par EternalRocks.
En outre, DOUBLEPULSAR, cet implant de la NSA qui dispose de fonctionnalités de porte dérobée, reste actif sur les PC infectés par EternalRocks. Malheureusement, l'auteur du ver n'a pas pris de mesures pour protéger l'implant DOUBLEPULSAR, ce qui signifie que d'autres acteurs malveillants pourraient l'utiliser comme une porte dérobée sur les machines infectées par EternalRocks en envoyant leur propre logiciel malveillant à ces PC.
Source : résultats de la recherche sur EternalRocks
Cette fois-ci, EternalRocks, un autre logiciel malveillant, a été découvert et se propage lui aussi par le service SMB. La différence avec WannaCry ? Il exploite sept outils de la NSA, notamment ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE et ETERNALSYNERGY, qui sont des exploits SMB utilisés pour compromettre les ordinateurs vulnérables, tandis que SMBTOUCH et ARCHITOUCH sont deux outils de la NSA utilisés pour les opérations de reconnaissance SMB. Une fois que le ver a obtenu une entrée, il utilise ensuite un autre outil NSA, DOUBLEPULSAR, pour se propager vers de nouvelles machines vulnérables.
Contrairement à EternalRocks, WannaCry n'a utilisé qu’ETERNALBLUE pour la compromission initiale, et DOUBLEPULSAR pour se propager vers de nouvelles machines vulnérables.
C’est le chercheur en sécurité Miroslav Stampar, membre du CERT croate et accessoirement créateur de l’outil sqlmap, un outil open source permettant d'identifier et d'exploiter une injection SQL sur des applications web, qui l’a découvert après qu’il a infecté son pot de miel SMB.
Contrairement à WannaCry, EternalRocks n'a pas de commutateur kill pour empêcher l'exécution du code. Il utilise certains fichiers avec les mêmes noms que WannaCry pour essayer de tromper les chercheurs de sécurité qui vont alors penser qu’ils sont en face de WannaCry.
Une fois dans la machine, EternalRocks télécharge le navigateur web Tor, qui est supposé permettre de naviguer sur le Web de façon anonyme, mais également d’accéder à des sites hébergés sur le Dark Web qui ne peuvent pas être consultés à partir de navigateurs Web normaux comme Chrome, IE ou Firefox.
Lorsque Tor est installé, EternalRocks lance le téléchargement de composants de base qui seront utilisés plus tard. Tor se connecte à un serveur C&C sur le Dark Web. Après un délai, qui est réglé sur 24 heures, le serveur C&C répond et une archive contenant les sept exploits SMB est téléchargée. Ce délai est susceptible d'avoir été mis en place pour éviter les techniques de sandboxing.
Ensuite, le ver scanne Internet à la recherche de ports SMB ouverts afin de propager l’infection à d'autres organisations.
EternalRocks est beaucoup moins dangereux que WannaCry, dans la mesure où il ne fournit actuellement aucun contenu malveillant. Ceci, cependant, ne signifie pas que EternalRocks est moins complexe. Selon Stampar, c'est en fait le contraire.
En raison de son arsenal d'exploitation plus large, de l'absence d'un domaine de substitution permettant de tuer ses processus, et en raison de sa dormance initiale, EternalRocks pourrait constituer une menace sérieuse pour les ordinateurs avec des ports SMB vulnérables exposés à Internet, si son auteur venait à décider d'armer son ver d’un Ransomware, d’un Troyen bancaire, d’un RAT, ou autre chose.
À première vue, le ver semble être une expérience issue d’un auteur de logiciels malveillants qui effectue des tests et affûte ses flèches en prévision d’une attaque future.
Ceci, cependant, ne signifie pas que EternalRocks est inoffensif. Les ordinateurs infectés par ce ver sont contrôlables via les commandes du serveur C&C et le propriétaire du ver peut exploiter ce canal de communication caché pour envoyer de nouveaux logiciels malveillants aux ordinateurs précédemment infectés par EternalRocks.
En outre, DOUBLEPULSAR, cet implant de la NSA qui dispose de fonctionnalités de porte dérobée, reste actif sur les PC infectés par EternalRocks. Malheureusement, l'auteur du ver n'a pas pris de mesures pour protéger l'implant DOUBLEPULSAR, ce qui signifie que d'autres acteurs malveillants pourraient l'utiliser comme une porte dérobée sur les machines infectées par EternalRocks en envoyant leur propre logiciel malveillant à ces PC.
Source : résultats de la recherche sur EternalRocks
-
MaximeChMembre éprouvéLe service SMB est-il toujours d'actualité sur W10?
Ce moment est peut-être déjà passé, un peu d'auto-promotion éhontée pour en discuter icile 22/05/2017 à 13:59 -
mh-cbonMembre extrêmement actifAller pour être sympa, pas de railleries, bon courage amis des DSI : )
Ceci dit, on a pas encore eu de vers qui s'installe dans le bios machine (ou similaire), malgré que cela soit possible.
J'attends avec impatience ce doux moment de délectation où les pcs seront compromis dans leurs hardware.le 22/05/2017 à 11:41 -
mh-cbonMembre extrêmement actifIl semble que oui https://www.rootusers.com/disable-sm...-0-windows-10/
osef de l'auto promo, on a besoin de
- corréler les infos les unes autres tellement elles sont nombreuses et biaisées
- l'intelligence collective pour repérer les âneries
+10^6le 22/05/2017 à 14:38 -
AiekickMembre extrêmement actifle service SMB ca concerne que windows ?le 22/05/2017 à 14:59
-
vanquishMembre chevronnéBen oui, c'est ce qui permet le partage de fichiers (et d'imprimante si je ne dis pas de bétises).
Mais la faille a été corrigé.
SMB 1.0 est conservé pour des raisons de compatibilité avec les OS anciens.L'alternative (compatible) Linux s'appelle SaMBa.Envoyé par Aiekick
Je dis compatible car il existe d'autres systèmes de partages.le 22/05/2017 à 20:11