Cerber, l’une des familles de ransomwares les plus actives, a reçu dernièrement une évolution qui lui permet d’échapper à certaines formes de détections. Le malware est ainsi capable de vérifier s’il se lance dans une machine virtuelle.
Les ransomwares sont des logiciels malveillants particulièrement célèbres depuis quelques années. Le principe est toujours le même : chiffrer les données sur l’ordinateur de la victime et lui réclamer ensuite une rançon. Le plus souvent, elle retrouve ses fichiers, mais cette fin « heureuse » n’est jamais garantie.
Dans la grande majorité des cas, le ransomware est expédié via un email plus ou moins bien réussi, avec un lien direct de téléchargement. Trend Micro note cependant une nouvelle tendance inquiétante sur la famille Cerber, particulièrement active depuis un an.
Un lien Dropbox vers une archive auto-extractible
Le pirate doit se débrouiller pour faire ouvrir à la victime un lien Dropbox qu’il contrôle. Il pointe vers une archive qui va se télécharger et s’extraire automatiquement. Jusque-là, rien de bien extraordinaire. Mais dès que la charge virale est en capacité d’agir, elle lance immédiatement une détection pour déterminer si elle se trouve au sein d’une machine virtuelle ou pas.
Ce point est particulièrement important. On ne parle pas seulement d’une machine virtuelle du type VirtualBox, VMware ou Hyper-V, mais bien d’un concept au sens large. Or, non seulement les antivirus se servent souvent d’un tel mécanisme, mais les chercheurs en sécurité en font autant pour tester les échantillons. Or, si Cerber détecte une machine virtuelle, il ne se lance tout simplement pas.
Leurrer par la structure des fichiers
Pour Trend Micro, cette tendance pose un vrai problème, car les fichiers auto-extractibles et simples peuvent en tant que tels représenter un défi pour les mécanismes de détection basés sur l’apprentissage profond. Le chercheur Gilbert Sison explique ainsi que « tous les fichiers auto-extractibles peuvent sembler similaires par leur structure, quel que soit le contenu. Les binaires déballés aux fonctionnalités limitées peuvent ne pas sembler malveillants ». Puisque le nouveau Cerber se sert des deux, le chercheur estime que cette distribution a été conçue spécifiquement pour échapper aux sociétés de sécurité.
L’archive contient en effet trois fichiers : un script Visual Basic, une DLL et un binaire maquillé en fichier de configuration. Le script s’occupe de charger la bibliothèque, qui va ensuite servir à lire le binaire. C’est ce dernier qui lance l’analyse pour détecter la présence non seulement d’une machine virtuelle, mais également d’une sandbox ou encore d’un produit antiviral provenant d’AVG, Bitdefender, Kaspersky, Norton ou encore Trend Micro.
Un nouveau procédé inquiétant pour la suite
Heureusement, la nouvelle version de Cerber n’ajoute que ce mécanisme d’évasion. Selon Gilbert Sison, ce type de menace ne peut pas espérer vaincre face à des protections à niveaux multiples comme on en trouve maintenant. Par exemple, le binaire empaqueté dans une archive peut bloquer l’analyse des fonctionnalités, une préférence récente des antivirus globalement. Par contre, le fait d’utiliser une DLL non chiffrée rend le modèle d’attaque parfaitement détectable par une simple mise à jour des signatures.
En l’état actuel, cette mouture de Cerber ne sera pas plus dangereuse que les autres une fois que les bases de signatures seront mises à jour chez l’ensemble des éditeurs de solutions de sécurité. Cependant, le simple fait que l’idée même ait germé dans l’esprit des pirates est inquiétante, car cette technique pourrait tout à fait être associée à d’autres pour créer des attaques nettement plus sophistiquées, voire personnalisées dans le cas d’une APT (Advanced Persistent Threat).
Les recommandations sont toujours les mêmes
Dans tous les cas, les conseils face à ce type de menace sont toujours les mêmes : n’ouvrez jamais un lien provenant d’une source invérifiable, même si on vous promet monts et merveilles, ou si vous avez le moindre doute. En outre, veillez à ce que vos logiciels soient toujours à jour, car de nombreux malwares cherchent à exploiter des failles pour contourner les protections. C’est particulièrement vrai avec les navigateurs.
Et si de (mauvaise) aventure vous deviez être contaminé par un ransomware, la recommandation en France est d’appeler la gendarmerie. Un conseil qui change selon les pays. Aux États-Unis, les FBI avait par exemple recommandé de payer, pour une raison simple : dans la plupart des cas, les pirates redonnent l’accès aux fichiers, afin de maintenir le « marché ». Si les promesses n’étaient pas tenues, les victimes ne paieraient plus.
Commentaires (42)
#1
Pas bien compris comment il détecte la VM ou non, mais c’est pas rassurant
" />
#2
Le concept n’est pas nouveau, d’autres malware ont cette capacité pour tenter d’éviter les détections type FireEye ou LastLine.
#3
Donc il faut quand même télécharger une archive sur dropbox (manuellement), ensuite l’exécuter (elle ne s’extrait pas “automatiquement” comme dit ici, encore faut-il double cliquer dessus), puis ensuite exécuter (manuellement encore) le script à l’intérieur. Le tout bien sûr ponctué d’avertissement Windows à chaque étape.
Un conseil pour les gens qui sont capabled des faire tout ça: formatez directement votre disque dur, ça vous fera moins de clics et d’avertissement Windows à passer.
#4
Je suis le gardien de la porte 🚪 !
#5
#6
#7
Auto-extractible signifie seulement que si tu doubles cliques dessus, elle s’extraira toute seule dans un chemin prédéfini (ex : C:/windows/blabla) et donc sans intervention de la part de l’utilisateur.
#8
Pour les hyperviseurs de type 1 je sais que c’est détectable avec l’instruction cpuid. Pour les autres on peut regarder la présence de certains matériels spécifiques à une VM. Il existe d’autres techniques d’après ce que j’ai vu mais pas pousser plus loin.
#9
#10
#11
#12
#13
Il faut double cliquer dessus donc sans interventions de l’utilisateur. Pas mal^^
#14
#15
Et de mon point de vue, je ne suis pas certain que beaucoup de boîtes perdent vraiment des données importantes par ce biais. Cela signifie qu’aucun mécanisme de sauvegarde interne n’existe. Quand tu as des données importantes, sensibles, voire cruciales ou vitales, que tu sois une micro PME ou une géante multinationale, tu as des sauvegardes périodiques dignes de ce nom. Donc si tu perds les données d’un PC, tu ne perds pas les données sur ton serveur. Encore moins sur tes sauvegardes physiquement hors-ligne ou en lecture seules, etc.
Je ne sais pas s’il existe quelconques statistiques à ce sujet, mais je pense que la majeure partie des cibles de ce type d’attaque sont les particuliers.
#16
Hélas non, beaucoup de PME/Micro PME n’ont pas la culture de la sauvegarde. En général, elle délègue (quand elle pense à le faire) la configuration de leur système informatique à un prestataire, qui n’est pas toujours très compétent en matière de sécurité. Et puis faire configurer / maintenir des systèmes de sauvegarde, ce sont des frais supplémentaires. Et quand il y a des sauvegardes, encore faut-il qu’elles soient faites correctement et que les procédures de restauration fonctionnent. Ce qui n’est là aussi pas toujours le cas. On croit que tout est sauvegardé régulièrement, jusqu’au jour où, lorsqu’on veut restaurer, on s’aperçoit au choix que :
Bref, de ce que je vois, très peu de sociétés (en particulier les PME) ont conscience de la nécessité de faire des sauvegardes, et ce que doit être une sauvegarde. En 2 semaines d’intervalles dernièrement, j’ai eu connaissance de deux boites (un cabinet comptable et une PME), qui ont quasi tout perdu à cause d’un Ransomware. Ils n’avaient pas de sauvegardes. Et l’une pensait que la synchro dans le cloud (icloud) était comme une sauvegarde, car fichiers dupliqués sur plusieurs machines, mais comme il y a de la synchro, ça a synchronisés les fichiers chiffrés par le ransomware sur toutes les machines.
#17
Pour la cible : je pense qu’ils visent tout le monde. (Plus précisément : qu’ils tapent le plus large possible sans se demander si la victime sera un quidam ou un boite)
" />
Pour la partie sauvegarde/PRA : mon expérience personnelle (avec ce qu’elle a de subjectif et de naze en terme de taille d’échantillon) me pousserait à croire qu’il y a beaucoup de boites chez qui ça serait fatal - typiquement des TPE/petites PME - du fait d’un système de sauvegarde non vérifié cas analogue
#18
Triste pour eux. Après, quand tout ton business est basé sur un outil, ne pas se poser des questions sur la fiabilité dudit outil, j’ai du mal à avoir de la compassion. Certes ça représente des frais, mais c’est comme dire “payer des salariés ? ah non non, ce sont des frais en plus”. Bah oui, mais sans salarié, pas de travail fourni, pas de valeur ajoutée, rien à vendre. Sans SI correct, pas de pérennité de la société, c’est tout. A chacun de faire ses choix.
" />
Attention, je ne critique pas les gens qui n’y connaissent rien. Je critique le fait de ne pas réfléchir 2 minutes pour prendre conscience que “certes, je n’y connais rien” (ce qui n’est pas grave du tout, chacun ses compétences), “donc je dois faire appel à quelqu’un qui s’y connait et me faire conseiller, aider”.
Les virus (hors ransomware) c’est vieux comme l’informatique. Et à chaque nouvelle vague, on a l’impression que la planète entière se réveille.
#19
Avec le nom des périphériques aussi (BIOS, disque, etc)
#20
le coup du IT’S HAMMERTIME sur un AMD K8
" /> (easter egg) 
" />
#21
“Et si de (mauvaise) aventure vous deviez être contaminé par un ransomware, la recommandation en France est d’appeler la gendarmerie.”
Personnellement je n’oserais pas appeler la gendarmerie pour ça.
c’est réellement dans leurs recommandations?
Je me dis qu’ils ont déjà bien d’autres choses à faire…
#22
Si quelqu’un a pu récupérer ce malware, ça m’intéresse ! Curieux de voir si la sandbox de Bluecoat y résiste…
#23
Moi je suis en train de l’installer pour voir si 9b4872c77f6eeb4e517 c43ee3f4fa3759b4872c77f6eeb4e517c43ee3f4fa3759b4872c7 7f6eeb4e517c43ee3f4fa37c43ee3f4fa3759 b4872c 77f3f4fa3759b4872c77fa375 9b4872c77f6eeb4e517c43ee3f et merde
#24
#25
#26
Donc avec MARMITON (Malekal), pas de soucis : le VB script ne se serait pas lancé ^^
#27
#28
#29
Comment juste un lien dropbox peu lancer et installer un virus???
Mais si il ne ce lance pas en “VM” ça veut dire que pas d’infection en “VM” ?
#30
#31
#32
D’après mon expérience, il y a en entreprise environ 20 % de gens dangereux dans leur comportement vis-à-vis des liens douteux ; ils se répartissent à égalité entre les simplets qui ne se doutent de rien (eux-même ont des soucis avec l’orthographe et/ou l’anglais et/ou le français -je suis au Canada-) et les opportunistes (toujours les mêmes qui sont la source d’infection) qui sous couvert d’innocence, ouvrent tout ce qui passe en espérant mettre hors ligne le système informatique et se faire renvoyer à la maison, payés.
#33
Blague pourrie désolé 
" />
#34
#35
#36
Certes, mais on les paie pour ça. C’est leur boulot. Si t’as des problème après, c’est de leur responsabilité et tu peux demander des pénalités. Voire imposer à la SSII à ce qu’ils paient de leurs propres deniers le méchant hackeur pour qu’ils récupèrent tes données dont tu as confié la gestion. Le problème est donc le même : c’est le responsable du SI qui doit faire son boulot. Pour ça, il doit connaître son métier. S’il est incompétent, qu’il se fasse épauler, ou qu’il change de métier, c’est tout.
#37
J’arrive pas à saisir. S’il detecte que la machine est un vm, il ne fait rien, c’est bien ça ?
#38
#39
#40
#41
#42