Piégeurs, bacs à sable et faux policiers

Examiner les malwares sur des sites Web et dans des e-mails, évaluer leur potentiel, se mettre dans la peau d’un hacker, démasquer sa stratégie, anticiper, mettre en réseau, combiner, avertir, résoudre des cas – le quotidien d’un analyste de malware.

Publié le 06.10.2020

Lundi matin. Je me réjouis déjà de ma semaine en tant que Malware Monitoring- and Analysis Duty Officer (MM-A DO). Je dois notamment veiller à ce que nos systèmes de traitement des diverses sources de télémétrie liées aux malwares soient opérationnels et fonctionnent correctement. Nous collectons p. ex. des e-mails potentiellement malveillants dans des «spamtraps» ou extrayons des malwares de sites Web infectés pour les faire examiner automatiquement dans notre «sandbox», une zone de test isolée.

Détecter les anomalies

Après un premier café, je remarque déjà deux anomalies:

Premièrement, un e-mail dans notre spamtrap contient un document Word qui télécharge le malware «Emotet» depuis un domaine suisse. Cependant, l’extracteur censé extraire de l’échantillon la centaine de serveurs Command & Control (C2), a échoué. Je dois absolument l’adapter. Visiblement, les méchants ont encore touché au code. Je vois l’URL de téléchargement et un C2, mais les 99 autres sont manquants. Heureusement, l’URL est correctement marquée dans notre base de données – le SWITCH DNS Firewall la connaît donc déjà. Cette base contient des domaines dont nous savons qu’ils sont liés à des logiciels malveillants: une mesure de protection essentielle pour nos hautes écoles.

Deuxièmement, un logiciel Android ne fonctionnait pas vraiment dans le bac à sable. Je préfère transmettre ce problème à notre expert en malwares mobiles. Peu après, il revient avec le C2 et déclare qu’il s’agit du malware «FakeCop». Voilà qui me parle, bien sûr. Le groupe «Roaming Mantis» diffuse massivement ce malware en Suisse, en utilisant le nom de la Poste Suisse pour le phishing.

Un malware sympa

Après qu’une analyse eut détecté une vulnérabilité probablement exploitée chez l’un de nos clients Industrie & Logistique, nous l’avons immédiatement informé. Bingo: aujourd’hui même, le client confirme l’incident via notre système de tickets. Il nous fournit même un malware pour Linux qui part dans le bac à sable et dans le désassembleur pour analyser le code binaire. Le malware est gros, il contient plus de 5000 fonctions. Curieusement, il semble désamorcer la vulnérabilité par un «hack» – serait-ce un malware «sympa»? Que nenni. Il ouvre un canal et est prêt à recevoir des commandes. J’extrais l’adresse IP légèrement cryptée du C2 et crée un profil Netflow rétrospectif. Effectivement, certaines hautes écoles pourraient également être touchées. Je les avertis immédiatement.

Cette journée s’annonce intéressante. Peut-être détecterons-nous dans notre réseau de hautes écoles une machine infectée, exploitée comme C2 – nous pourrions alors essayer de retrouver les véritables serveurs back-end ensemble avec nos contacts de sécurité. C’est l’heure de reprendre un café... ou de grignoter quelque chose.

Conclusion

L’analyse des malwares constitue un élément central d’un programme de Threat Intelligence. Plus nos données télémétriques sont de bonne qualité, plus vite nous détectons les incidents potentiels et pouvons agir de manière proactive en tant que CERT. Les nombreux systèmes ne sont qu’un moyen de parvenir, avec nos partenaires, à protéger au mieux les hautes écoles et autres groupes de clients.

Tags
Security
Autres articles