Rombertik est le nom d’un malware dont les caractéristiques sont étonnantes à plus d’un titre. Il a pour objectif de voler des informations, ce qui est assez classique, mais son comportement anti-détection est radical : il provoque un maximum de dégâts, avant de lancer la machine dans un cycle sans fin de redémarrages.
Un voleur véhiculé par une campagne de fishing classique
Les malwares ont leurs grandes phases. Il y a 20 ans, beaucoup de virus avaient surtout pour objectif d’empoisonner la vie des utilisateurs en détruisant leurs données. Avec l’explosion d’Internet, de nombreux pirates ont découvert qu’il y avait bien mieux à faire : voler des informations et les transmettre. Aussi, plus un malware pouvait rester caché sur une machine, plus longtemps il pouvait accomplir sa mission d’espionnage.
Rombertik fait partie des voleurs d’informations. Il n’est d’ailleurs pas particulièrement subtil. D’après l’équipe de sécurité Talos de Cisco, il tente de récupérer à peu près tout ce qui lui passe entre les mains, dans l’espoir d’obtenir des données un peu plus croustillantes, notamment des identifiants et des mots de passe.
Il infecte une machine le plus souvent en étant ouvert depuis un email. Ce dernier présente un texte qui ne pourrait tromper le moindre utilisateur un tant soit peu averti : le destinataire est invité à vérifier les spécifications par une entreprise qui se présente comme étant la Windows Corporation. Tout un programme. Si l’utilisateur ouvre le document, il se décompresse et se présente alors comme un document PDF, avec une miniature suggérant un listing. Ce qu’il n’est pas.
Un malware capable de s'échapper d'une sandbox
Il s’agit en fait d’un fichier .SCR, le format utilisé par Windows pour les écrans de veille. Le code de Rombertik y est contenu, mais Cisco ne dit pas si une ou plusieurs failles sont exploitées, ce qui est probablement le cas. À partir de la première exécution, une longue série d’étapes commence. Le malware réalise ainsi une première série de contrôles pour déterminer s’il est exécuté dans une sandbox ou pas. Si c’est le cas, il dispose de plusieurs mécanismes singuliers pour s’en échapper.
Une sandbox est toujours en place pour des raisons de sécurité et peut être accompagnée d’outils permettant d’analyser le comportement de ce qui s’y ébroue. Plutôt que de dormir et d’attendre son heure, Rombertik va écrire 960 millions de fois un simple octet en mémoire pour passer le temps, ce que certaines sandbox ne vont pas détecter comme suspect, tout en surchargeant les outils d’analyse. Selon Cisco, créer un log d’une telle activité produirait un fichier de plus de 100 Go. Si la sandbox tient le coup, Rombertik s’arrête alors de fonctionner. Si l'attaque fonctionne, le malware complètera alors avec d’autres mécanismes pour s’échapper de la zone mémoire isolée.
97 % de code inutile
Une fois à l’air libre, Rombertik crée un script pour être certain de s’exécuter au démarrage. Il se dédouble ensuite et se cache dans le dossier AppData. C’est la copie qui va faire l’essentiel du travail, et elle dévoile des caractéristiques étranges. Sous sa forme compactée, elle pèse en effet 1 264 Ko, alors que sous forme décompressée, le poids passe à… 28 Ko. En fait, 97 % du code de Rombertik ne sert strictement à rien : il contient 75 images inutiles et environ 8 000 fonctions qui ne sont jamais appelées. Cisco précise qu’il s’agit bien sûr d’une volonté, car une telle quantité de fonctions rend le travail d’examen beaucoup plus difficile.
À partir de là, le malware est actif et remplit donc sa mission d’espionnage. Mais ce qui rend Rombertik particulièrement « efficace », c’est le nombre de mécanismes mis en place pour se dérober aux outils d’analyse ou pour disparaître s’il est détecté. Et dans ce cas, l’utilisateur perdra sans doute de nombreuses données, Rombertik pratiquant la politique de la terre brûlée.
Détecté, Rombertik veut tout casser
Dans les premiers temps de son fonctionnement, le malware va lancer une dernière série de vérifications. S’il se « rend compte » qu’il est activement analysé, de manière manuelle ou automatique, il déclenche les hostilités. Il tente en premier de réécrire le MBR (Master Boot Record) sur le premier disque dur référencé par la machine (PhysicalDisk0). S’il en a la permission, l’opération réussit et la machine ne peut plus démarrer : le MBR est lu avant que le système d’exploitation n’entre en piste, et il faut alors des outils spécifiques pour le reconstruire. S’il n’a pas les droits suffisants, Rombertik sort l’artillerie lourde. Il va chercher les fichiers contenus dans les dossiers Documents et Settings\Administrator pour les chiffrer un par un avec une clé RC4 générée aléatoirement pour chacun. Quand le MBR a été réécrit ou que les fichiers ont été chiffrés, l’ordinateur est redémarré.
Les deux cas sont problématiques, même si techniquement la récupération des informations reste possible. Si le MBR a été réécrit, Rombertik en aura profité pour changer toutes les informations relatives aux partitions et ajouter un code qui provoque le redémarrage de la machine. En clair, l’ordinateur va redémarrer en boucle, jusqu’à ce que le disque soit extrait pour tenter de récupérer les données, ou que le système d’exploitation soit réinstallé.
La meilleure défense contre le malware est évidemment un antivirus qui supprimera la partie exécutable avant même qu’elle n’entre en piste. Et on ne le répètera de toute façon jamais assez : n’ouvrez jamais une pièce jointe qui vous paraît suspecte, soit parce qu’elle vient d’un contact qui ne vous enverrait pas ce genre de données, soit parce qu’elle émane d’un illustre inconnu.
