
Cette documentation dévoile une nouvelle fois un implant. Celui-ci est, semble-t-il, assez récent en comparaison de ceux qui l’ont précédé puisque le document descriptif date du 14 février 2014. L’implant est architecturé autour d’une bibliothèque de liaison dynamique (ICE.dll), ce qui signifie qu’il est conçu pour capturer les flux vidéo sur des systèmes tournant sous Windows.
Le déploiement de l’implant sur une machine cible consiste en son injection dans l’espace mémoire d’un processus non critique du système cible à l’aide d’un outil de chargement dédié. La bibliothèque de liaison dynamique (ICE.dll) ne serait qu’un codec qu’il faut complémenter avec un gestionnaire de modules. La documentation souligne que l’injection en mémoire doit être précédée de l’installation du gestionnaire via un script Python conçu à cet effet.
L’implant est capable de convertir le flux vidéo en provenance d’une caméra en AVI ou en JPG. Le gestionnaire serait alors chargé de récupérer ces données et de les écrire dans un fichier sur le disque dur de l’ordinateur cible. La procédure parle d’elle-même. Pour tirer avantage de cet outil, un agent doit avoir un accès (direct ou distant) à l’ordinateur cible pour pouvoir effectuer toutes ces configurations.
L’implant est conçu pour permettre une opération furtive, mais exhibe des défauts qui peuvent dévoiler l’activité d’un attaquant. La documentation fait état de ce que le processus parasité par l’implant consomme 50 à 60 % du temps processeur.
Source : guide utilisateur de l’implant
Et vous ?

Voir aussi :

