Pour s’assurer que leur ransomware Ragnar Locker de 49 Ko puisse fonctionner sans est dérangé, les cybercriminels derrière cette attaque ont utilisé une machine virtuelle Windows XP de 280 Mo pour l’exécuter (et une copie d’Oracle VirtualBox pour exécuter l’ensemble).
C’est presque drôle, mais ce n’est tout de même pas une blague.
L’attaque a été menée par le gang Ragnar Locker. Ce dernier s’est introduit au sein des réseaux de plusieurs entreprises, s’est octroyé des droits de type administrateur, a effectué des opérations de repérage, a supprimé les sauvegardes et a déployé le ransomware manuellement, avant d’exiger des rançons de plusieurs millions de dollars.
Comme beaucoup de cybercriminels qui mènent des attaques de ransomware similaires, “ciblés” ou visant “du gros gibier”, le gang Ragnar Locker essaie d’éviter la détection alors qu’il opère à l’intérieur du réseau d’une victime avec une tactique surnommée “living off the land“.
La technique “living off the land” implique d’utiliser des outils d’administration logicielle légitimes qui existent déjà sur le réseau dans lequel les cybercriminels ont pénétré, ou bien des outils qui ne semblent pas suspects ou douteux (PowerShell ressort souvent comme un favori).
Les SophosLabs rapportent que lors de l’attaque, le gang a utilisé une tâche Windows GPO (Group Policy Object/Objet de Stratégie de Groupe) pour exécuter Microsoft Installer, qui a téléchargé un MSI contenant un certain nombre de fichiers, notamment une copie de VirtualBox et une machine virtuelle Windows XP avec à l’intérieur le ransomware Ragnar Locker exécutable.
VirtualBox est un logiciel d’hyperviseur qui peut exécuter et administrer un ou plusieurs ordinateurs invités virtuels à l’intérieur d’un ordinateur hôte. En règle générale, les invités sont isolés de l’hôte et les processus en cours d’exécution à l’intérieur de l’invité ne peuvent pas interagir avec le système d’exploitation de l’hôte. Il s’agit d’empêcher les processus hostiles, tels que les malwares, d’attaquer l’hôte ou de prendre le contrôle de ce dernier, dans ce que l’on appelle une évasion de machine virtuelle.
Cependant, les protections qui séparent les invités de leur hôte partent du principe qu’un invité hostile se situe à l’intérieur d’un hôte ami, et ce n’était pas le cas ici, car les attaquants avaient accès à la fois à l’invité et à l’hôte.
En fait, du point de vue des attaquants, ils ont essayé d’inverser la situation que l’on rencontre normalement, à savoir un environnement invité ami (pour eux) protégé contre un hôte hostile.
Pour les attaquants, le réseau de la victime est un environnement hostile. La technique “living off the land” est conçue pour leur permettre de travailler le plus furtivement possible, sans déclencher d’alarmes au niveau du logiciel de sécurité du réseau. Lorsqu’ils commencent à exécuter des malwares, ils progressent alors à découvert et le risque de détection est beaucoup plus élevé.
L’exécution de leur malware au sein d’une machine virtuelle a permis à ce dernier d’échapper au regard indiscret du logiciel de sécurité présent sur l’hôte.
Et comme les attaquants contrôlaient l’hôte, ils ont facilement pu affaiblir la protection entre l’hôte et l’invité.
Ils l’ont fait en installant des modules complémentaires VirtualBox qui ont permis aux fichiers de l’hôte d’être partagés avec l’invité, puis en rendant chaque disque local, stockage amovible et lecteur réseau mappé sur l’hôte accessible par la machine virtuelle invitée. Avec ces disques montés à l’intérieur de l’invité, le ransomware pouvait alors chiffrer les fichiers sur ces derniers depuis l’intérieur du cocon protecteur de la machine virtuelle.
Pendant ce temps, concernant le logiciel de sécurité sur l’hôte, les données sur le réseau local étaient chiffrées par un logiciel légitime : le processus VboxHeadless.exe
de VirtualBox.
Du point de vue de l’hôte, les attaquants n’ont donc jamais été à découvert et ont continué à mettre en œuvre leur technique “live off the land”, en utilisant un logiciel légitime, jusqu’à ce qu’ils émettent la demande de rançon.
Pour les détails techniques concernant cette attaque, vous pouvez lire l’article détaillé de Mark Loman au sujet de Ragnar Locker sur le blog Sophos News.
Dernier podcast Sophos-Naked Security
Billet inspiré de The ransomware that attacks you from inside a virtual machine, sur Sophos nakedsecurity.