Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Cerber, un ransomware capable de détecter les machines virtuelles

Es-tu le maître des clés ?
Internet 4 min
Cerber, un ransomware capable de détecter les machines virtuelles
Crédits : kaptnali/iStock

Cerber, l’une des familles de ransomwares les plus actives, a reçu dernièrement une évolution qui lui permet d’échapper à certaines formes de détections. Le malware est ainsi capable de vérifier s’il se lance dans une machine virtuelle.

Les ransomwares sont des logiciels malveillants particulièrement célèbres depuis quelques années. Le principe est toujours le même : chiffrer les données sur l’ordinateur de la victime et lui réclamer ensuite une rançon. Le plus souvent, elle retrouve ses fichiers, mais cette fin « heureuse » n’est jamais garantie.

Dans la grande majorité des cas, le ransomware est expédié via un email plus ou moins bien réussi, avec un lien direct de téléchargement. Trend Micro note cependant une nouvelle tendance inquiétante sur la famille Cerber, particulièrement active depuis un an.

Un lien Dropbox vers une archive auto-extractible

Le pirate doit se débrouiller pour faire ouvrir à la victime un lien Dropbox qu’il contrôle. Il pointe vers une archive qui va se télécharger et s’extraire automatiquement. Jusque-là, rien de bien extraordinaire. Mais dès que la charge virale est en capacité d’agir, elle lance immédiatement une détection pour déterminer si elle se trouve au sein d’une machine virtuelle ou pas.

Ce point est particulièrement important. On ne parle pas seulement d’une machine virtuelle du type VirtualBox, VMware ou Hyper-V, mais bien d’un concept au sens large. Or, non seulement les antivirus se servent souvent d’un tel mécanisme, mais les chercheurs en sécurité en font autant pour tester les échantillons. Or, si Cerber détecte une machine virtuelle, il ne se lance tout simplement pas.

Leurrer par la structure des fichiers 

Pour Trend Micro, cette tendance pose un vrai problème, car les fichiers auto-extractibles et simples peuvent en tant que tels représenter un défi pour les mécanismes de détection basés sur l’apprentissage profond. Le chercheur Gilbert Sison explique ainsi que « tous les fichiers auto-extractibles peuvent sembler similaires par leur structure, quel que soit le contenu. Les binaires déballés aux fonctionnalités limitées peuvent ne pas sembler malveillants ». Puisque le nouveau Cerber se sert des deux, le chercheur estime que cette distribution a été conçue spécifiquement pour échapper aux sociétés de sécurité.

L’archive contient en effet trois fichiers : un script Visual Basic, une DLL et un binaire maquillé en fichier de configuration. Le script s’occupe de charger la bibliothèque, qui va ensuite servir à lire le binaire. C’est ce dernier qui lance l’analyse pour détecter la présence non seulement d’une machine virtuelle, mais également d’une sandbox ou encore d’un produit antiviral provenant d’AVG, Bitdefender, Kaspersky, Norton ou encore Trend Micro.

cerber

Un nouveau procédé inquiétant pour la suite

Heureusement, la nouvelle version de Cerber n’ajoute que ce mécanisme d’évasion. Selon Gilbert Sison, ce type de menace ne peut pas espérer vaincre face à des protections à niveaux multiples comme on en trouve maintenant. Par exemple, le binaire empaqueté dans une archive peut bloquer l’analyse des fonctionnalités, une préférence récente des antivirus globalement. Par contre, le fait d’utiliser une DLL non chiffrée rend le modèle d’attaque parfaitement détectable par une simple mise à jour des signatures.

En l’état actuel, cette mouture de Cerber ne sera pas plus dangereuse que les autres une fois que les bases de signatures seront mises à jour chez l’ensemble des éditeurs de solutions de sécurité. Cependant, le simple fait que l’idée même ait germé dans l’esprit des pirates est inquiétante, car cette technique pourrait tout à fait être associée à d’autres pour créer des attaques nettement plus sophistiquées, voire personnalisées dans le cas d’une APT (Advanced Persistent Threat).

Les recommandations sont toujours les mêmes 

Dans tous les cas, les conseils face à ce type de menace sont toujours les mêmes : n’ouvrez jamais un lien provenant d’une source invérifiable, même si on vous promet monts et merveilles, ou si vous avez le moindre doute. En outre, veillez à ce que vos logiciels soient toujours à jour, car de nombreux malwares cherchent à exploiter des failles pour contourner les protections. C’est particulièrement vrai avec les navigateurs.

Et si de (mauvaise) aventure vous deviez être contaminé par un ransomware, la recommandation en France est d’appeler la gendarmerie. Un conseil qui change selon les pays. Aux États-Unis, les FBI avait par exemple recommandé de payer, pour une raison simple : dans la plupart des cas, les pirates redonnent l’accès aux fichiers, afin de maintenir le « marché ». Si les promesses n’étaient pas tenues, les victimes ne paieraient plus. 

42 commentaires
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 30/03/17 à 07:59:33

Pas bien compris comment il détecte la VM ou non, mais c'est pas rassurant :stress:

Avatar de paugustin Abonné
Avatar de paugustinpaugustin- 30/03/17 à 08:09:34

Le concept n'est pas nouveau, d'autres malware ont cette capacité pour tenter d'éviter les détections type FireEye ou LastLine.

Avatar de Dams333 INpactien
Avatar de Dams333Dams333- 30/03/17 à 08:11:06

Donc il faut quand même télécharger une archive sur dropbox (manuellement), ensuite l'exécuter (elle ne s'extrait pas "automatiquement" comme dit ici, encore faut-il double cliquer dessus), puis ensuite exécuter (manuellement encore) le script à l’intérieur. Le tout bien sûr ponctué d'avertissement Windows à chaque étape.
Un conseil pour les gens qui sont capabled des faire tout ça: formatez directement votre disque dur, ça vous fera moins de clics et d'avertissement Windows à passer.

Avatar de Ghimo Abonné
Avatar de GhimoGhimo- 30/03/17 à 08:11:51

Je suis le gardien de la porte 🚪 !

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 30/03/17 à 08:13:29

jb18v a écrit :

Pas bien compris comment il détecte la VM ou non, mais c'est pas rassurant :stress:

Ses saletés sont devenues conscientes d'elles-même et de leur environnement :eeek2:
Skynet Begins bientôt au cinéma

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 30/03/17 à 08:14:48

Ghimo a écrit :

Je suis le gardien de la porte 🚪 !

Certes. Ben va voir le Gardien de la Galaxy, c'est sur la news Samsung :D

Avatar de Arystos INpactien
Avatar de ArystosArystos- 30/03/17 à 08:18:25

Auto-extractible signifie seulement que si tu doubles cliques dessus, elle s'extraira toute seule dans un chemin prédéfini (ex : C:/windows/blabla) et donc sans intervention de la part de l'utilisateur.

Édité par Arystos le 30/03/2017 à 08:19
Avatar de charon.G INpactien
Avatar de charon.Gcharon.G- 30/03/17 à 08:18:31

Pour les hyperviseurs de type 1 je sais que c'est détectable avec l'instruction cpuid. Pour les autres on peut regarder la présence de certains matériels spécifiques à une VM. Il existe d'autres techniques d'après ce que j'ai vu mais pas pousser plus loin.

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 30/03/17 à 08:19:10

charon.G a écrit :

Pour les hyperviseurs de type 1 je sais que c'est détectable avec l'instruction cpuid. Pour les autres on peut regarder la présence de certains matériels spécifiques à une VM. Il existe d'autres techniques d'après ce que j'ai vu mais pas pousser plus loin.

:merci:

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 30/03/17 à 08:27:13

jb18v a écrit :

Pas bien compris comment il détecte la VM ou non, mais c'est pas rassurant :stress:

Un petit peu de lecture pour ce soir :D
http://www.symantec.com/avcenter/reference/Virtual_Machine_Threats.pdf

Il n'est plus possible de commenter cette actualité.
Page 1 / 5