Le malware SandWorm : késako ?

Vous avez certainement entendu parler dernièrement, des attaques du malware au nom très accrocheur de SandWorm.

Ce nom est clairement emprunté au fameux récit de sciences fiction des années 60 nommé Dune, qui faisait référence à une créature à l’allure d’un ver (Worm), long de plusieurs centaines, voire plusieurs milliers de mètres et indestructible, sinon avec de puissantes armes nucléaires.

Dans le contexte qui nous intéresse, ce nom s’applique à une souche de malwares, dont l’arrivée a été annoncée en fanfare par une entreprise de sécurité informatique, qui déclare avoir détecté son utilisation dans certaines attaques ciblées.

Ces attaques ont apparemment été utilisées pour des campagnes Russes de cyber-espionnage contre l’OTAN, l’Union Européenne, le secteur des télécommunications et le secteur de l’énergie.

Ces attaques utilisent tout simplement une vulnérabilité au sein de Windows, connu sous le nom de CVE-2014-4114, patchée dans le Bulletin de sécurité Microsoft MS14-060 du dernier « Patch Tuesday » d’octobre 2014.

Ainsi, cette attaque lancée par SandWorm peut être considérée comme un exploit zero-day, dans la mesure où, la vulnérabilité a été exploitée avant même la diffusion du patch.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

La terminologie “zero-day” fait référence au fait qu’une vulnérabilité ait pu être exploitée, sans qu’aucun patch ne soit encore disponible.

[/vc_message][/vc_column][/vc_row]

Ainsi, en combinant cet exploit zero-day avec des réclamations en provenance des services d’espionnage Russe, le tout avec un nom accrocheur et un logo des plus envoûtants, vous avez au final, tous les ingrédients pour une histoire explosive !

Heureusement, le malware SandWorm est plus facile à gérer que son homonyme annélide interplanétaire.

En fait, dans le jargon informatique, ceci n’est pas du tout un worm ! Voilà l’essentiel de ce que vous devez savoir à propos de ce malware.

Comment SandWorm voyage jusqu’à vous

Le malware arrive jusqu’à vous via un fichier Powerpoint, qui fait référence à un fichier .INF, et où INF est une extension Windows, attribuée à certains types de fichiers d’informations utilisés durant les installations de logiciels.

Les fichiers INF ont été, à une époque, les véhicules préférés des créateurs de malwares, grâce notamment à des fichiers nommés AUTORUN.INF, qui pouvaient être utilisés sur des supports amovibles tels que des clés USB, pour signaler à un programme qu’il pouvait s’exécuter automatiquement dès que le support était connecté.

Les fichiers AUTORUN.INF ne sont plus autorisés désormais à exécuter des programmes, de manière à faire disparaître les risques qu’ils représentaient.

Cependant, les fichiers INF peuvent toujours être utilisés dans des tâches d’installation, afin de mettre en place des fichiers (et parfois en les renommant), et permettre ainsi d’entrer dans les registres.

Cette manière détourner d’opérer est suffisante pour installer des malwares qui s’exécuteront plus tard, même si cela ne suffit tout de même pas pour infecter votre ordinateur dans la foulée.

Comment SandWorm fonctionne

Lors d’une attaque de type SandWorm, le fichier PowerPoint malveillant qui amorce le processus, fait en fait référence à un fichier INF dont le nom de fichier est délocalisé, grâce à un chemin type UNC.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Les Chemins de type UNC sont ces noms de fichiers spécifiques à Windows, qui incluent un nom de serveur, et pas seulement une lettre pour le lecteur ou un nom de répertoire, mais plutôt une syntaxe telle que SERVERSHAREFILE.TXT pour des serveurs connectés à votre réseau, ou bien 198.51.100.5REMOTE.DAT pour un fichier dont la localisation est associée à une adresse IP.

[/vc_message][/vc_column][/vc_row]

Windows est supposé empêcher les applications comme PowerPoint, de duper les utilisateurs en lançant des fichiers externes de cette manière, pour d’évidentes raisons de sécurité. Cependant, le malware SandWorm permet, en s’appuyant sur une vulnérabilité, de contourner cette protection et de lancer une attaque.

Lors de l’attaque, le fichier PowerPoint malveillant fait appel à 2 fichiers localisés sur des serveurs distants, qui en se combinant, permet au malware de délivrer toute sa puissance.

Ces fichiers ont des noms tout à fait innocents tels que slides.inf et slide1.gif, comme s’ils faisaient partie de la présentation.

Cependant, slide1.gif est en réalité un fichier (programme) exécutable, et slides.inf est un fichier d’installation qui renomme le fichier slide1.gif en slide1.gif.exe, avant de créer un registre d’entrée qui permettra l’exécution du programme malveillant à la prochaine session.

En d’autres termes, même sans l’autorisation de lancer directement un programme, le cocktail PowerPoint à base de INF et GIF, est suffisant pour installer un programme qui s’exécutera ultérieurement.

Ainsi, même si le malware lui-même n’est pas intégré directement dans fichier PowerPoint malveillant, ce dernier va le récupérer grâce à un processus appelé «drive-by install», qui s’exécute sans qu’aucune fenêtre d’avertissement ou pop-up n’apparaissent, qui vous auraient permis de mettre un terme à l’installation.

Quoi faire face à SandWorm ?

Contrairement aux SandWorms dans le désert de la planète Arrakis de la saga Dune, vous n’avez pas besoin de puissants explosifs, ou encore d’un puissant nettoyeur de disques durs pour vous protéger contre ce type de menace.

En appliquant le patch MS14-060 de Microsoft, vous pourrez réparer la faille sur laquelle cette vulnérabilité s’appuyait.

En plus, des produits pour améliorer la sécurité informatique de votre système pourront :

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Les produits Sophos, détectent et bloquent les fichiers PowerPoint “SandWormisés » tels que Troj/20144114-A. Le malware slide1.gif connu sous le nom Mal/Generic-S, est aussi bloqué. Les serveurs utilisés dans le processus «call home» de l’attaque, sont aussi bloqués pour éviter le téléchargement de tout autre malware, qui pourrait ainsi infiltrer votre système.

[/vc_message][/vc_column][/vc_row]

Billet inspiré de : “The “Sandworm” malware – what you need to know” de Paul Ducklin de Naked Security

Partagez “Le malware “SandWorm” : késako ?” avec http://bit.ly/1plEFkE