Par définition un avion furtif est un avion qui se déplace sans être détecté. Pour la sécurité, c’est pareil, il y a désormais des malwares furtifs, qui attaquent les systèmes sans laisser de traces de fichiers, ni de signatures. Ils n’existent pas…

L’une de ces « calamités » a été détectée récemment par les chercheurs de Kaspersky Labs, qui ont constaté sa présence dans la mémoire (pas sur disque) d’un contrôleur de domaine Windows, le serveur Active Directory, chargé de gérer l’infrastructure des ressources.

Des utilitaires standards

Ce qui est très gênant dans cette affaire, car elle pourrait donner des (mauvaises) idées à d’autres criminels à l’affut de techniques nouvelles, c’est que le malware, qui n’a pas de nom, exploite des utilitaires tout ce qu’il y a de plus normaux de l’environnement Windows, pour commettre ses méfaits.

Il s’agit essentiellement de la suite de tests de pénétration Metasploit et de certains de ses composants, Meterpreter par exemple, qui permettent de fabriquer des exploits et de les lancer sur des cibles à distance, pour s’assurer de la robustesse de leurs protections. De nombreux spécialistes se servent de Metasploit, qui existe depuis plusieurs années, pour faire des tests d’intrusion, ce que les hackers ont détourné, pour concevoir leurs propres exploits malveillants.

La tâche de Meterpreter est de rendre les malwares persistants, avec la possibilité en plus de s’injecter dans d’autres process mémoire. Une manière comme une autre de s’étendre.

Tout cela s’effectue sans qu’il y ait le moindre fichier dans la machine. Et le malware disparaît dès qu’on la redémarre.

Pour fonctionner le malware utilise d’autres utilitaires système, le langage script PowerShell tout d’abord, mais aussi SC, pour « installer » le malware en mémoire, NETSH pour mettre en place un proxy de manière à contrôler le malware depuis une machine distante, ainsi que Mimikatz qui est un collecteur libre de mots de passe, mais qui lui ne fait pas partie de la panoplie Windows.

Evidemment, les hackers doivent avoir de bonnes connaissances système pour pouvoir actionner ce malware furtif, mais nous ne nous inquièterons pas pour eux sur ce point…

Les banques en première ligne

Ce sont surtout les banques qui ont fait l’objet de cette attaque d’un nouveau genre et plus précisément les distributeurs de billets. Une attaque qu’il faudrait plutôt placer dans la famille des pénétrations par force brute, puisqu’elle nécessite une véritable organisation malveillante, le malware ne se diffusant pas par lui-même. Sauf pendant une session.

La seule manière de contrer ses méfaits est de procéder à une analyse mémoire systématique et de contrôler l’identité des exécutables présents (ce qu’a fait Kasperky dans la mémoire du contrôleur de domaine). On voit très bien la lourdeur de ce dispositif, d’où l’inquiétude manifestée par les responsables sécurité qui se « sentent » quelque peu démunis… Ce qui est sûr, c’est que les antimalwares traditionnels seront inefficaces, qui ne sont pas adaptés ni aux furtifs, ni à beaucoup d’autres choses d’ailleurs…

D’après les chiffres fournis par Kaspersky, 140 entreprises ont été visées de cette manière dans le monde, soit au minimum 140 attaques ciblées (militaires), plus particulièrement aux Etats-Unis, avec 21 attaques détectées, qui décidément restent la cible n°1 des hackers de « tous poils ».