À chaque fois qu’un nouveau logiciel malveillant ou une nouvelle technique d’attaque est découverte, nos clients s’inquiètent de savoir si ça pourrait les affecter eux. Plusieurs viennent à nous pour demander : « suis-je protégé contre cette nouvelle menace ? »
Cette publication répond à ces inquiétudes autour de Astaroth, un logiciel malveillant pour le vol d’information qui utilise des techniques sans fichiers pour obtenir l’accès aux ordinateurs et ensuite voler des mots de passe.
Le logiciel malveillant du jour : Astaroth
La famille de logiciel malveillant Astaroth est suivie depuis longtemps – plus particulièrement par le group de protection contre les menaces avancées de Microsoft (the Microsoft Advanced Threat Protection (ATP) group).
Récemment, Astaroth a adapté ses techniques sans fichiers pour échapper à la détection. En particulier, celui-ci n’utilise plus WMI qui était utilisé précédemment comme déclencheur pour la détection. Il utilise maintenant les flux alternatifs de données (alternate data streams ADS). La publication suivante par ATP décrit les changements:

Fil-pièges de SMART-Monitor
Commençons par regarder la décomposition de la chaîne d’infection publiée par ATP. Le rapport identifie cinq étapes :
- La phase d’infection : où la composante de harponnage dépose le fichier Zip initial qui est ensuite déchiffrer pour démarrer la chaîne d’infection.
- La phase d’étage : où les composants additionnels du logiciel malveillant sont téléchargés.
- La phase du script principal : où les différentes composantes du logiciel malveillant sont réassemblées en préparation de leur injection en mémoire.
- La phase d’injection : où le logiciel malveillant est injecté en mémoire par la technique du processus creux.
- La phase de monétisation : où l’attaquant met la machine au travail pour voler des mots de passe.
Dans cette chaîne d’infection, le modèle de couverture de CYDEF détecterait plusieurs items dans les trois premières phases (pendant que le logiciel malveillant est installé). Les étapes 4 et 5, où le logiciel malveillant réside purement dans des processus creux, laisseraient peu de traces qui seraient observables avec notre modèle actuel. Ceci veut dire que des logiciels malveillants s’apparentant à Astaroth serait détectés par SMART-Monitor suffisamment tôt pour prévenir que l’attaquant accède les données sensibles.
Chaîne d’attaque de Astaroth
Détection rapide des brèches avec SMART-Monitor
Regardons chaque opportunité en détail.
Une des meilleurs trucs d’Astaroth est le modèle de livraison par fichier Zip. À premier abord, le fichier compressé contient des fichiers qui semblent inoffensifs. Ceci ne générerait pas d’alerte dans SMART-Monitor.
Ceci étant dit, le fichier LNK dans l’archive Zip générait une activité qui identifiée pour revue par un analyste.
Utilisation non légitime de CMD

Utiliser la ligne unique de JavaScript et BITSadmin
Ensuite, la chaîne de processus pour démarrer le Javascript en ligne unique alerterait l’analyste de regarder plus attentivement. Ceci se présenterait à l’analyste dans le contexte de communication réseau (pendant le 2e étage de JS est en cours de téléchargement).
Après cela, le JavaScript principal appelerait BITSadmin. La relation image-à-image (la chaîne de processus) bizarre aurait immédiate une apparence suspecte pour l’analyste. La ligne de commande pour appeller BITSadmin serait aussi automatiquement révisée et entraînerait des soupçons.
La ligne de commande fournie sur le blog ATP alerterait aussi immédiatement un analyste :

Abus de flux de données alternatifs

Cette ligne de commande serait révisée attentivement par notre équipe puisque CMD est un LOLbin connu.
La même logique s’applique à la création des DLLs :
