Les chercheurs en sécurité ont remarqué une campagne malveillante qui utilisait les journaux d’événements Windows pour stocker des logiciels malveillants, une technique qui n’a pas encore été documentée publiquement pour les attaques dans la nature.
La méthode a permis à l’auteur de la menace à l’origine de l’attaque d’implanter un logiciel malveillant sans fichier dans le système de fichiers dans une attaque remplie de techniques et de modules conçus pour maintenir l’activité aussi furtive que possible.
Ajout de charges utiles aux journaux d’événements Windows
Les chercheurs de Kaspersky ont collecté un échantillon du logiciel malveillant après qu’un produit de l’entreprise équipé d’une technologie de détection basée sur le comportement et de contrôle des anomalies l’a identifié comme une menace sur l’ordinateur d’un client.
L’enquête a révélé que le logiciel malveillant faisait partie d’une campagne « très ciblée » et s’appuyait sur un large éventail d’outils, à la fois personnalisés et disponibles dans le commerce.
L’une des parties les plus intéressantes de l’attaque consiste à injecter des charges utiles de shellcode dans les journaux d’événements Windows pour les services de gestion de clés (KMS), une action complétée par un compte-gouttes de logiciels malveillants personnalisé.
Denis Legezo, chercheur principal en sécurité chez Kaspersky, affirme que cette méthode a été utilisée « pour la première fois » dans la nature « au cours de la campagne malveillante ».
Le compte-gouttes copie le fichier légitime de gestion des erreurs du système d’exploitation WerFault.exe dans ‘C:WindowsTâches‘ puis dépose une ressource binaire chiffrée dans ‘wer.dll‘ (Rapport d’erreurs Windows) au même emplacement, pour le piratage de l’ordre de recherche DLL afin de charger du code malveillant.
Le détournement de DLL est une technique de piratage qui exploite des programmes légitimes avec des vérifications insuffisantes pour charger en mémoire une bibliothèque de liens dynamiques (DLL) malveillante à partir d’un chemin arbitraire.
Legezo dit que le but du dropper est de charger sur le disque pour le processus de chargement latéral et de rechercher des enregistrements particuliers dans les journaux d’événements (catégorie 0x4142 – ‘AB’ en ASCII. Si aucun enregistrement de ce type n’est trouvé, il écrit des morceaux de 8 Ko de shellcode crypté, qui sont ensuite combinés pour former le code du prochain stager.
« La chute wer.dll est un chargeur et ne ferait aucun mal sans le shellcode caché dans les journaux d’événements Windows » – Denis Legezo, chercheur principal en sécurité chez Kaspersky
La nouvelle technique analysée par Kaspersky est probablement en passe de devenir plus populaire puisque Soumyadeep Basu, actuellement stagiaire pour l’équipe rouge de Mandiant, a créé et publié sur GitHub code source pour injecter des charges utiles dans les journaux d’événements Windows.
Acteur techniquement avancé
Sur la base des différentes techniques et modules (suites de test d’intrusion, wrappers anti-détection personnalisés, chevaux de Troie de phase finale) utilisés dans la campagne, Legezo note que l’ensemble de la campagne « semble impressionnant ».
Il a déclaré à EZpublish-france.fr que « l’acteur derrière la campagne est plutôt habile par lui-même, ou du moins dispose d’un bon ensemble d’outils commerciaux assez profonds », indiquant un adversaire de niveau APT.
Parmi les outils utilisés dans l’attaque figurent les frameworks commerciaux de test d’intrusion Cobalt Strike et NetSPI (l’ancien SilentBreak).
Alors que certains modules de l’attaque sont censés être personnalisés, le chercheur note qu’ils peuvent faire partie de la plate-forme NetSPI, pour laquelle une licence commerciale n’était pas disponible pour les tests.
Par exemple, deux chevaux de Troie nommés ThrowbackDLL.dll et SlingshotDLL.dll peuvent être des outils du même nom connus pour faire partie du cadre de test d’intrusion SilentBreak.
« Nous avons commencé la recherche à partir du dernier stager en mémoire puis, grâce à notre télémétrie, nous avons pu reconstruire plusieurs chaînes d’infection » – Denis Legezo
L’enquête a suivi la phase initiale de l’attaque jusqu’en septembre 2021, lorsque la victime a été amenée à télécharger une archive RAR à partir du service de partage de fichiers file.io.
L’auteur de la menace a ensuite diffusé le module Cobalt Strike, qui a été signé avec un certificat d’une société nommée Fast Invest ApS. Le certificat a été utilisé pour signer 15 fichiers et aucun d’entre eux n’était légitime.
Dans la majorité des cas, le but ultime du malware ciblé avec une telle fonctionnalité de dernier stage est d’obtenir des données précieuses des victimes, a déclaré le chercheur à EZpublish-france.fr.
Lors de l’étude de l’attaque, Kaspersky n’a trouvé aucune similitude avec les campagnes précédentes associées à un acteur menaçant connu.
Jusqu’à ce qu’une connexion avec un adversaire connu soit établie, les chercheurs suivent la nouvelle activité sous le nom de SilentBreak, du nom de l’outil le plus utilisé dans l’attaque.