Les pirates exploitent généralement les vulnérabilités des réseaux d’entreprise pour y accéder, mais un chercheur a renversé la situation en trouvant des exploits dans les rançongiciels et les logiciels malveillants les plus courants distribués aujourd’hui.
Les logiciels malveillants provenant d’opérations de rançongiciels notoires comme Conti, le REvil relancé, le nouveau venu Black Basta, le très actif LockBit ou AvosLocker, sont tous venus avec des problèmes de sécurité qui pourraient être exploités pour arrêter l’étape finale et la plus dommageable de l’attaque, le cryptage des fichiers.
Code d’exploitation disponible
Analysant les souches de logiciels malveillants de ces gangs de rançongiciels, un chercheur en sécurité nommé hyp3rlinx ont constaté que les échantillons étaient vulnérables au piratage de DLL, une méthode généralement utilisée par les attaquants pour injecter du code malveillant dans une application légitime.
Pour chaque élément malveillant analysé, le chercheur fournit un rapport qui décrit le type de vulnérabilité trouvé, le hachage de l’échantillon, un exploit de preuve de concept (PoC) et une vidéo de démonstration.
Le piratage de DLL ne fonctionne que sur les systèmes Windows et exploite la façon dont les applications recherchent et chargent en mémoire les fichiers DLL (Dynamic Link Library) dont elles ont besoin.
Un programme dont les vérifications sont insuffisantes peut charger une DLL à partir d’un chemin en dehors de son répertoire, élevant les privilèges ou exécutant du code indésirable.
Pour les échantillons de rançongiciels vulnérables de Conti, REvil, LockBit, Black Basta, LockiLocker et AvosLocker, le chercheur affirme que leur exploit permet d’exécuter du code pour « contrôler et mettre fin au pré-cryptage des logiciels malveillants ».
Pour exploiter les vulnérabilités des logiciels malveillants des gangs ci-dessus, le chercheur a créé un code d’exploitation qui doit être compilé dans une DLL avec un nom spécifique afin que le code malveillant reconnaisse le sien et le charge pour commencer à chiffrer les données.
Vous trouverez ci-dessous une vidéo du chercheur exploitant une vulnérabilité de piratage de DLL dans le rançongiciel REvil pour mettre fin au logiciel malveillant avant le début du processus de cryptage.
Pour se défendre contre ces familles de ransomwares, hyp3rlinx indique que la DLL peut être placée à un endroit où les cybercriminels sont susceptibles d’exécuter leur ransomware, comme un emplacement réseau contenant des données importantes.
Une fois la DLL d’exploit chargée, le processus du ransomware doit se terminer avant de commencer l’opération de chiffrement des données.
Le chercheur note que si les logiciels malveillants peuvent mettre fin aux solutions de sécurité sur la machine compromise, ils ne peuvent rien faire contre les DLL car ce ne sont que des fichiers stockés sur le disque de l’hôte, inertes jusqu’à leur chargement.
On ne sait pas quelles versions du logiciel malveillant ransomware hyperlinx se sont révélées vulnérables au piratage de DLL.
Si les échantillons sont nouveaux, il est probable que l’exploit ne fonctionnera que pendant une courte période car les gangs de rançongiciels corrigent rapidement les bugs, en particulier lorsqu’ils frappent l’espace public.
Même si ces découvertes s’avèrent viables pendant un certain temps encore, les entreprises ciblées par les gangs de rançongiciels courent toujours le risque de se faire voler et fuir des fichiers importants, car l’exfiltration pour faire pression sur la victime pour qu’elle paie une rançon fait partie du modus operandi de cet acteur menaçant.
Cependant, les exploits d’hyperlinx pourraient s’avérer utiles au moins pour prévenir les perturbations opérationnelles, qui peuvent causer des dommages importants.
Logiciels malveillants plus vulnérables
hyp3rlinx suit leur travail sous le nom Projet Malvulnqui se concentre sur la recherche de vulnérabilités dans divers logiciels malveillants, des chevaux de Troie et des portes dérobées aux logiciels espions et aux voleurs d’informations.
Le dernier rapport du chercheur sur les vulnérabilités des logiciels malveillants est pour Ligne rougeun voleur d’informations qui est devenu très populaire sur les forums de hackers
Il collecte des informations sensibles telles que les connexions des navigateurs Web, des plates-formes de messagerie (Telegram, Discord), des clients FTP, Steam, et il cible également les portefeuilles de crypto-monnaie.
Voici les rapports de vulnérabilité pour les échantillons de ransomware analysés : Conti, REvil, LockBit, Basta noir, LockiLockeret AvosLocker.