SSTIC 2013 - Red October
Par Nicolas Brulez
Pourquoi Red ? parce qu’apparemment des Russes seraient derrière le malware, et que coté marketing, ça l’fait.
Octobre 2012, kaspersky récupère 3 malwares qui sont liés à une campagne de cyber-espionnage qui aurait débuté en mai 2007, et qui continuerait aujourd’hui.
Depuis la publication de sa découverte, les serveurs du malwares se ferment les uns après les autres. La plupart des Informations receuillies sont ré-utilisés entre les machines infectés, comme les mots de passes par exemple, qui récupérés d’un coté, sont ré-utilisés de l’autre.
L’ensemble du botnet disposait d’agents divers et variés, windows, windows phone, nokia….
L’attaque se déroule d’abord par une phase d’infection initiale via un e-mail piégé (spear phishing). La pièce jointe contiens un exploit Word ou Excel qui permet en suite l’exécution de la backdoor qui charge par la suite les modules. Pas besoin de 0days vu que les gens ne patchent pas. L’exploit contiets un dropper qui pose un .BAT, un loader. Le .bat permet de patcher l’exe pour gérer le cyrillique. Une fois le loader exécuté, il vient récupérer les modules auprès du serveur de C&C. Les échanges entre le bot et le C&C sont chiffrés.
Les modules sont divisés en 2 catégories. Des modules résident hors-ligne, qui sont installés sur le système, et des modules en-lignes, installés uniquement en mémoire.
Entre chaque campagnes, 2 mois s’écoulent le temps de mettre à jour les modules. à l’aide d’un Sinkhole, et du cloud kaspersky (KSN), Kaspersky à pu identifier les pays contenant des machines infectés. Le Sinkholing à enregistré plus de 55k connexions. Il semblerait que les attaquant ait fait une faute de frappe dans l’enregistrement du nom de domaine.
L’architecture soft se compose de 34 modules répartis en 9 groupes. Recon, Password, Email, USB Drive, Keyboard Persistance, Spreading, Mobile, Exfiltration, etc… bref un vrai malware couteau-suisse.
La fonctionnalité fun, c’est l’execution de commandes en remote via la réception d’un document contenant des tags spécifiques. Comme ça, si l’attauqant perd le contrôle du bot au travers du C&C, il peut toujours lancer des actions sur le bot via l’envoi d’un mail avec une pièce jointe « neutre » contenant les commandes à exécuter.
Le module iPhone permet de dumper les documents intéressant, l’id du téléphone, les SMS, contacts, calendriers etc… Le module Nokia et Windows Mobile fait à peu près la même chose, sauf que sur Windows Mobile, il en provite pour backdoorer le téléphone. Au passage, il en profite pour modifier les options de sécurité sur le téléphone afin d’exécuter les applications non-signés.