Cerber, l’une des familles de ransomwares les plus actives, a reçu dernièrement une évolution qui lui permet d’échapper à certaines formes de détections. Le malware est ainsi capable de vérifier s’il se lance dans une machine virtuelle.
Les ransomwares sont des logiciels malveillants particulièrement célèbres depuis quelques années. Le principe est toujours le même : chiffrer les données sur l’ordinateur de la victime et lui réclamer ensuite une rançon. Le plus souvent, elle retrouve ses fichiers, mais cette fin « heureuse » n’est jamais garantie.
Dans la grande majorité des cas, le ransomware est expédié via un email plus ou moins bien réussi, avec un lien direct de téléchargement. Trend Micro note cependant une nouvelle tendance inquiétante sur la famille Cerber, particulièrement active depuis un an.
Un lien Dropbox vers une archive auto-extractible
Le pirate doit se débrouiller pour faire ouvrir à la victime un lien Dropbox qu’il contrôle. Il pointe vers une archive qui va se télécharger et s’extraire automatiquement. Jusque-là, rien de bien extraordinaire. Mais dès que la charge virale est en capacité d’agir, elle lance immédiatement une détection pour déterminer si elle se trouve au sein d’une machine virtuelle ou pas.
Ce point est particulièrement important. On ne parle pas seulement d’une machine virtuelle du type VirtualBox, VMware ou Hyper-V, mais bien d’un concept au sens large. Or, non seulement les antivirus se servent souvent d’un tel mécanisme, mais les chercheurs en sécurité en font autant pour tester les échantillons. Or, si Cerber détecte une machine virtuelle, il ne se lance tout simplement pas.
Leurrer par la structure des fichiers
Pour Trend Micro, cette tendance pose un vrai problème, car les fichiers auto-extractibles et simples peuvent en tant que tels représenter un défi pour les mécanismes de détection basés sur l’apprentissage profond. Le chercheur Gilbert Sison explique ainsi que « tous les fichiers auto-extractibles peuvent sembler similaires par leur structure, quel que soit le contenu. Les binaires déballés aux fonctionnalités limitées peuvent ne pas sembler malveillants ». Puisque le nouveau Cerber se sert des deux, le chercheur estime que cette distribution a été conçue spécifiquement pour échapper aux sociétés de sécurité.
L’archive contient en effet trois fichiers : un script Visual Basic, une DLL et un binaire maquillé en fichier de configuration. Le script s’occupe de charger la bibliothèque, qui va ensuite servir à lire le binaire. C’est ce dernier qui lance l’analyse pour détecter la présence non seulement d’une machine virtuelle, mais également d’une sandbox ou encore d’un produit antiviral provenant d’AVG, Bitdefender, Kaspersky, Norton ou encore Trend Micro.
Un nouveau procédé inquiétant pour la suite
Heureusement, la nouvelle version de Cerber n’ajoute que ce mécanisme d’évasion. Selon Gilbert Sison, ce type de menace ne peut pas espérer vaincre face à des protections à niveaux multiples comme on en trouve maintenant. Par exemple, le binaire empaqueté dans une archive peut bloquer l’analyse des fonctionnalités, une préférence récente des antivirus globalement. Par contre, le fait d’utiliser une DLL non chiffrée rend le modèle d’attaque parfaitement détectable par une simple mise à jour des signatures.
En l’état actuel, cette mouture de Cerber ne sera pas plus dangereuse que les autres une fois que les bases de signatures seront mises à jour chez l’ensemble des éditeurs de solutions de sécurité. Cependant, le simple fait que l’idée même ait germé dans l’esprit des pirates est inquiétante, car cette technique pourrait tout à fait être associée à d’autres pour créer des attaques nettement plus sophistiquées, voire personnalisées dans le cas d’une APT (Advanced Persistent Threat).
Les recommandations sont toujours les mêmes
Dans tous les cas, les conseils face à ce type de menace sont toujours les mêmes : n’ouvrez jamais un lien provenant d’une source invérifiable, même si on vous promet monts et merveilles, ou si vous avez le moindre doute. En outre, veillez à ce que vos logiciels soient toujours à jour, car de nombreux malwares cherchent à exploiter des failles pour contourner les protections. C’est particulièrement vrai avec les navigateurs.
Et si de (mauvaise) aventure vous deviez être contaminé par un ransomware, la recommandation en France est d’appeler la gendarmerie. Un conseil qui change selon les pays. Aux États-Unis, les FBI avait par exemple recommandé de payer, pour une raison simple : dans la plupart des cas, les pirates redonnent l’accès aux fichiers, afin de maintenir le « marché ». Si les promesses n’étaient pas tenues, les victimes ne paieraient plus.
