Posté le septembre 25, 2021 à 18:25
GOOGLE PUBLIE UN RAPPORT SUR LA FAÇON DONT LES HACKERS CACHENT DES LOGICIELS MALVEILLANTS SUR WINDOWS
Le groupe d’analyse des menaces de Google a publié un rapport expliquant comment les hackers utilisent des logiciels malveillants qui peuvent rester cachés sur les appareils Windows, compromettant ainsi un appareil sans que l’utilisateur s’en aperçoive.
Le rapport indique que l’un des principaux facteurs permettant d’améliorer les efforts de cybersécurité consiste à comprendre les stratégies utilisées par ces hackers et à trouver le meilleur moyen de faire face à ces attaques.
Une nouvelle technique pour éviter la détection
Dans son billet de blog, Google explique en détail comment les hackers utilisent une nouvelle technique d’évasion utilisée par les hackers qui ont la motivation financière pour mener une attaque tout en évitant la détection.
Les hackers utilisent généralement diverses techniques pour accéder à un appareil cible. L’une des stratégies utilisées consiste à convaincre la passerelle de messagerie qu’un document n’est pas étranger ; l’appareil exécutera donc ledit programme.
La récente technique utilisée par les hackers montre que ces derniers ont développé une signature de code malformée que Windows traitera ensuite comme valide. Toutefois, ces signatures ne seront pas décodées par l’appareil ni inspectées par le code OpenSSL, un programme utilisé dans les produits d’analyse à des fins de sécurité. En utilisant cette technique, un hacker peut éviter d’être détecté, et il peut donc vaquer à ses occupations en toute tranquillité.
Comment cela fonctionne
Les appareils Windows utilisent les signatures de code pour authentifier la sécurité d’un programme exécutable. Ils vérifient également les coordonnées du signataire. Toutefois, les attaquants ont trouvé des moyens de dissimuler leur identité dans la signature afin que le périphérique ne la détecte pas comme une menace pour la sécurité.
Les hackers cachent leur signature sans compromettre l’authenticité de la signature du code, de sorte que toute modification ne sera pas détectée. En outre, ils augmentent la durée de vie des certificats de signature de code, ce qui leur permet de compromettre davantage de dispositifs et de systèmes.
L’un des programmes mis en évidence par le rapport est OpenSUpdater. Il s’agit d’un logiciel indésirable sur les appareils, qui n’est pas autorisé par Google et qui peut nuire aux appareils cibles. Ce logiciel est utilisé pour télécharger et installer des programmes suspects sur un appareil et compromettre ainsi l’expérience de l’utilisateur.
Le rapport indique également que les hackers qui se cachent derrière ce logiciel indésirable ont pour objectif d’infecter autant d’utilisateurs que possible. Cependant, Google a noté que le logiciel n’a pas de modèle qui montre qui sont ses cibles. Les données antérieures montrent que la plupart des personnes sujettes à des attaques à l’aide de ce logiciel sont situées aux États-Unis. En outre, il s’agit des personnes qui téléchargent des cracks de jeux et d’autres logiciels suspects.
Les échantillons recueillis auprès des appareils qui utilisent OpenSUpdater montrent que les signatures de code portent généralement le même code. Le rapport note également que le certificat de signature de code est acquis auprès d’une autorité de certification légitime, ce qui rend difficile pour le dispositif de détecter la signature comme suspecte.
Google a ajouté que le logiciel avait été utilisé pour mener des attaques depuis la mi-août après que plusieurs échantillons d’OpenSUpdater ont été collectés, contenant des signatures falsifiées. Des investigations plus poussées ont montré que le logiciel avait délibérément tenté de fonctionner en évitant d’être détecté.
Les échantillons recueillis par Google ont montré que « la signature a été modifiée de telle sorte qu’un marqueur de fin de contenu (EOC) a remplacé une balise NULL pour l’élément ‘parameters’ du SigantureAlgorithm signant le certificat X.509 de la feuille. »
« Les marchés EOC terminent les codages de longueur indéfinie, mais dans ce cas, un EOC est utilisé dans un codage de longueur définie (1= 13) », ajoute le rapport.
Google a également déclaré que les produits de sécurité mettant en œuvre OpenSSL pour accéder aux informations de signature n’accepteraient plus l’encodage comme valide. Toutefois, l’utilisateur n’est toujours pas entièrement protégé, car la signature du code utilisée par le binaire sera toujours lue comme légitime et valide.
« C’est la première fois que TAG a observé des hackers utilisant cette technique pour échapper à la détection tout en préservant une signature numérique valide sur les fichiers PE. » Google ajoute également que « la signature est considérée comme valide par le système d’exploitation Windows. » Cela montre que le logiciel malveillant peut compromettre les utilisateurs sans qu’ils le détectent.
Google a déclaré que la technique d’évasion et le logiciel malveillant utilisé ont déjà été signalés à Microsoft. Cependant, Google a déclaré que lorsque l’activité a été découverte, OpenSUpdater a développé d’autres variantes du logiciel pour éviter la détection.
Google a également admis qu’il travaillait en étroite collaboration avec Google Safe Browsing pour protéger les utilisateurs contre le téléchargement de ce logiciel et empêcher son exécution sur leurs appareils. Google a également encouragé les utilisateurs d’appareils Windows et d’autres systèmes informatiques à se procurer des logiciels uniquement auprès de sources authentiques et fiables. La protection contre ces techniques d’évasion vient donc s’ajouter aux techniques générales de sécurité de la navigation sur Internet.
