Les attaques de type « Living Off the Land », qui utilisent des programmes légitimes ou des caractéristiques spécifiques aux systèmes d’exploitation à des fins malveillantes, n’ont rien de nouveau, mais avec les experts qui s’intéressent à ce nouveau type de programme, les cybercriminels ont dû innover. Les chercheurs Jean-Ian Boutin et Zuzana Hromcova ont évoqué cette innovation ainsi que l’utilisation des programmes légitimes de Windows XP et ses composants lors de la RSA Conference 2021.
La technique « Living Off the Land » et les composants vulnérables de Windows XP
En analysant l’activité du groupe InvisiMole, Boutin et Hromcova ont constaté que ce dernier utilise des fichiers de ce système d’exploitation obsolète depuis longtemps, ce qui leur permet de ne pas se faire remarquer. Les chercheurs ont nommé ces fichiers « VULNBins », un nom semblable à LOLBins, que la communauté de sécurité utilise pour les fichiers des attaques de type « Living Off the Land« .
Bien entendu, pour installer un fichier obsolète sur l’ordinateur de la victime, il faut d’abord y avoir accès. Cependant, les fichiers VULNBins ne sont pas utilisés pour pénétrer dans le système pris pour cible, mais plutôt pour s’y installer de façon persistante sans être remarqué.
Exemples concrets d’utilisation de programmes et de composants de système obsolètes
Si un pirate informatique n’obtient pas les droits d’administrateur, il aura certainement recours à une méthode qui consiste à utiliser un vieux lecteur vidéo avec une faille de type débordement de tampon. Dans le planificateur de tâches, les cybercriminels créent une tâche planifiée qui communique avec le lecteur vidéo, dont le fichier de configuration a été modifié, afin d’exploiter la vulnérabilité pour pouvoir y insérer le code nécessaire pour passer à la prochaine étape de l’attaque.
Cependant, si les cybercriminels du groupe InvisiMole réussissent à obtenir les droits d’administrateur, ils peuvent utiliser une autre méthode qui se sert d’un composant légitime du système comme setupSNK.exe, la bibliothèque de Windows XP wdigest.dll, et Rundll32.exe (provenant eux aussi du système obsolète), nécessaires pour exécuter la bibliothèque. Ensuite, ils manipulent les données que la bibliothèque, créée avant l’implémentation de la technologie ASLR, stocke dans la mémoire. Par conséquent, les cybercriminels connaissent l’adresse exacte de la mémoire où les données seront stockées.
Ils conservent la plupart de la charge utile préalablement chiffrée dans le registre, et toutes les bibliothèques et les fichiers exécutables qu’ils utilisent sont légitimes. Tout ce qui trahit la présence de l’ennemi c’est le fichier avec les paramètres du lecteur et l’exploit qui s’attaque aux bibliothèques obsolètes. Mais ce n’est généralement pas suffisant pour éveiller les soupçons.
Comment se protéger
Afin d’empêcher les cybercriminels d’utiliser de vieux fichiers et des composants de système obsolètes (en particulier ceux provenant d’éditeurs légitimes), posséder une base de données de ces fichiers serait un bon début. Cela permettrait aux systèmes de défense de les bloquer, ou au moins de les pister si la méthode précédente ne peut pas être mise en place. Mais ce n’est pas le cas.
Comme une telle liste n’existe pas encore, utilisez notre solution de type EDR afin de :
- Détecter et bloquer l’exécution des composants de Windows qui se trouvent à l’extérieur du dossier système,
- Identifier les fichiers système non signés (certains sont signés avec un fichier catalogue au lieu d’une seule signature numérique, mais un fichier système déplacé vers un système qui ne possède pas l’extension .cat requise, est considéré comme non signé),
- Créer une règle pour détecter la différence entre la version du système d’exploitation et celle de chaque fichier exécutable,
- Créer une règle similaire pour d’autres applications, par exemple pour bloquer l’exécution de fichiers compilés il y a plus de 10 ans.
Comme nous l’avons mentionné précédemment, pour installer quelque chose sur l’ordinateur de la victime, les pirates informatiques doivent d’abord pouvoir y accéder. Afin qu’aucun fichier VULNBins ne soit installé sur le vôtre, installez des solutions de sécurité sur tous les dispositifs connectés à Internet, sensibilisez vos employés sur les nouvelles menaces informatiques et surveillez régulièrement les outils d’accès à distance.