Malware 'FileLess' : PoweLiks, Kovter, Gootkit

[Malekal_morte]

Une page concernant les actualités autour des malwares dit "fileless" que l'on peut traduire par "Trojan sans fichiers". On entend par fileless, les malwares qui ne créés aucun fichier ( ou presque ) sur le disque et tourne seulement en mémoire. Comment cette prouesse est possible ? grâce notamment à l'utilisation de PowerShell inclut depuis Windows 7.
De ce fait, on peut aussi appeler ces infections malware PowerShell.
Vous pouvez aussi lire en parallèle la page : Les virus ou trojan Powershell.

PowerShell est un langage de script qui permet à peu près tout de faire et ainsi aussi de créer des malwares dans ce langage. Le premier malware "fileless" se nomme Poweliks puis Trojan.Gootkit (aka Wonton / Xswkit ) Fichier(s) joint(s) ) et enfin Kovter, à l'origine un ransomware 'gendarmerie', devenu par la suite un Trojan.Clicker se sont mis à utiliser ces techniques "fileless'. D'autres vont probablement venir par la suite.

PoweLiks a été évoqué rapidement sur ce sujet qui abordait aussi d'ailleurs un ransomware écrit en PowerShell : rancongiciels-chiffreurs-100-windows-po ... ml#p398299

La première version de PoweLiks créé une clef Run qui charge en mémoire le malware en utilisant

Malware dit 'FileLess' : PoweLiks

La clef contient un caractère Null, l'éditeur du registre Windows est alors incapable d'afficher les données contenues dans la clef et bien entendu la supprimer.

Malware dit 'FileLess' : PoweLiks

Le méchanisme de fonctionnement de PoweLinks - Retentez donc que le dropper créé, une clef RUN qui charge le script PowerShell pour charger une DLL qui va injecter un processus et être actif en mémoire. Tout le contenu nécessaire se trouve dans la clef Run et aucun fichier n'est créé sur le disque.



Kovter a copié ce procédé pour sortir sa nouvelle version 'fileless' :



FRST ou Autoruns n'ont aucun problème pour afficher la clef et son contenu.

Clef Run du malware Gootkit sur Autoruns

Au démarrage, on peut voir mshta.exe se lançait ainsi que powershell :



En vidéo, Le malware Kovter :





Les détections McAfee concernant ces trois familles de Trojan FileLess durant l'année 2015 :

Trojan Fileless McAfee

La distribution de ces trojans Fileless, à travers notamment des campagnes d'emails de SPAM malicieux. Au 1er Avril 2015 (ce n'est pas un poisson d'avril), nous parlions d'une campagne d'emails avec des faux documents du ministère de la Justice propulsant le Trojan.Gootkit (aka Win32/Xswkit) : Gootkit et campagne de mail Justice

Trojan Fileless distribution

PowerLiks a aussi connu sa campagne de SPAM, par exemple, ci-dessous un mail malicieux America Airlines

PoweLiks Email malicieux

Moins connu, le Trojan Phasebot qui semble être une mise à jour de Solarbot, voici la 'publicité' faites par le développeur pour vendre son Trojan. Ce dernier est vendu comme un Rootkit FileLess. Une introduction sur Phasebot par Trend-Micro : Without a Trace: Fileless Malware Spotted in the Wild

Phasebot publicités

Un PDF concernant ces Trojan PowerShell : https://www.carbonblack.com/wp-content/ ... port-1.pdf
Les 3 familles les plus répandus : Wawtrak, PoweLiks, Crigent
que des Trojan Banker

Trojan PowerShell - FileLess

La répartition des activités malveillantes :

Trojan PowerShell - FileLess

Il est donc fort à parier que de nouvelles familles apparaissent, ou comme c'est le cas de Kovter, une famille existant utilise ces procédés qui peuvent poser des problèmes de détections.

Côté Antivirus, j'ai fait quelques tests sur Kovter :

AVG Antivirus Gratuits le détecte et le supprime.
A noter qu'AVG détecte Kovter en Poweliks





Microsoft Security Essential détecte le processus Kovter mais ne nettoyage pas l'infection, probablement parce que MSE ne scanne pas le registre Windows.
Le processus malicieux est arrêté mais se relance au démarrage suivant.




Par contre, le bouclier de protection de Microsoft Security Essential détecte les clefs dans le registre.
Comme le malware les créés aussitôt, il faut que le scan en ligne est arrête les processus et il faut nettoyer les clefs ensuite pour que l'infection ne se remette pas.



Malwarebytes Anti-Malware détecte les clefs du registre en Rootkit.FileLess.MTGen
De même il faut vite rebooter l'ordinateur après le nettoyage afin que les clefs ne soient pas recréés.




Avast! et Antivir sont largués.





Avast! peut voir le "résultat" de l'infection, c'est à dire les tentatives de connexions malicieuses.
On obtiendra alors des alertes URL:MAL sur Powershell.exe



Mitigation pour les domaines d'entreprises, AppLocker peut s'avérer utile.

Sources :

• Les virus ou trojan Powershell
• http://blog.trendmicro.com/trendlabs-se ... -registry/
• http://www.symantec.com/connect/blogs/p ... nt-removal
• http://www.kernelmode.info/forum/viewto ... =16&t=3669
• https://reaqta.com/2015/09/poweliks-fil ... -evolving/
• http://www.symantec.com/connect/blogs/k ... try-update
• http://www.xylibox.com/2015/01/phase-wi ... bot-a.html
• http://www.mcafee.com/us/resources/repo ... sf19381385

[nigelle]

Est il possible de désactiver powershell pour se protéger des actions malveillantes ? Ou de lui mettre un mot de passe pour l’empêcher de fonctionner sauf quand j'en ai besoin ?

[Malekal_morte]

Salut,

bonne question, peut-être avec une des policies, faut que je regarde car j'en sais rien.

[ѠOOT]

Bonjour,

→ CERT-FR :: bulletin actualité #002 de 2016, section 2.

[Malekal_morte]

Merci ѠOOT

J'ai une VM avec Kovter =)
Du coup j'ai publié une vidéo.
J'essayerai de voir pour limiter PowerLess.


En vidéo, Le malware Kovter :

[Malekal_morte]

Edité pour confronter les antivirus gratuits à Kovter.

[Malekal_morte]

Pour bloquer PowerShell, pour les domaines Windows, AppLocker peut aider.
Faudrait voir aussi en bloquant les binaires PowerShell en exécution/lecture pour certains groupes d'utilisateurs.

[ѠOOT]

During a recent talk by a representative of MalwareBytes, it was discussed that several modern malware families, notable Poweliks, Phase Bot and Kovter are moving away from the file system and are instead establishing persistence in the registry of the host. This blog outlines the infection vector used by the kovter malware and the analysis method used to investigate it.

→ FILELESS MALWARE – A BEHAVIOURAL ANALYSIS OF KOVTER PERSISTENCE

[Malekal_morte]

Une campagne via des malvertising ( publicités piégées ) via de fausses mise à jour Adobe Flash a été démantelée par Microsoft.
https://blogs.technet.microsoft.com/mmp ... p-release/

Cette campagne était très active aux USA.

Kovter malvertising

L'explosition des détections dûe à cette campagne Kovter :

Kovter malvertising

Microsoft prétends ainsi avoir "protégé" plus de 350 000 Windows.

[Malekal_morte]

Lien connexe : Les virus ou trojan Powershell

[Malekal_morte]

Pour logguer les scripts PowerShell.
par un simple .reg : https://github.com/matthewdunwoody/PS_logging_reg

A Windows REG file to enable all default PowerShell logging on a system with PowerShell v5 installed. This file will modify the registry to enable:

• Module logging for all modules
• Script block logging
• Transcription with:
  • Default directory selected (user's documents folder)
  • Invocation header enabled

La clé dans La base de registre Windows :

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]
"EnableScriptBlockLogging"=dword:00000001

ou

Comment activer gpedit.msc sur Windows 10 : Configuration utilisateur > Modèles d'administration > Composants Windows > PowerShell

[Malekal_morte]

Un bump du sujet avec Trend-Micro qui a publié une entrée sur son blog : http://blog.trendmicro.com/trendlabs-se ... d-malware/

En plus des trojans MalwareFileLess, Trend-Micro indique aussi que des campagnes de fichiers zippés, contenant des raccourcis Windows (.lnk) qui lance un script PowerShell afin d'installer un Trojan.

Trend-Micro fournit des schémas des attaques LNK-PowerShell :

attaque LNK-PowerShell

attaque LNK-PowerShell

et le contenu du raccourcis Windows malveillant :

attaque LNK-PowerShell

Rien de vraiment nouveau à part confirmer une énième fois que PowerShell est et va être de plus en plus utilisé pour installer des trojan et cheval de troie.