Malware 'FileLess' : PoweLiks, Kovter, Gootkit

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Une page concernant les actualités autour des malwares dit "fileless" que l'on peut traduire par "Trojan sans fichiers". On entend par fileless, les malwares qui ne créés aucun fichier ( ou presque ) sur le disque et tourne seulement en mémoire. Comment cette prouesse est possible ? grâce notamment à l'utilisation de PowerShell inclut depuis Windows 7.
De ce fait, on peut aussi appeler ces infections malware PowerShell.
Vous pouvez aussi lire en parallèle la page : Les virus ou trojan Powershell.

PowerShell est un langage de script qui permet à peu près tout de faire et ainsi aussi de créer des malwares dans ce langage. Le premier malware "fileless" se nomme Poweliks puis Trojan.Gootkit (aka Wonton / Xswkit ) Fichier(s) joint(s) ) et enfin Kovter, à l'origine un ransomware 'gendarmerie', devenu par la suite un Trojan.Clicker se sont mis à utiliser ces techniques "fileless'. D'autres vont probablement venir par la suite.

PoweLiks a été évoqué rapidement sur ce sujet qui abordait aussi d'ailleurs un ransomware écrit en PowerShell : http://forum.malekal.com/rancongiciels- ... ml#p398299

La première version de PoweLiks créé une clef Run qui charge en mémoire le malware en utilisant
powerliks_registry.jpg
La clef contient un caractère Null, l'éditeur du registre Windows est alors incapable d'afficher les données contenues dans la clef et bien entendu la supprimer.
POWERLIKS2.jpg
Le méchanisme de fonctionnement de PoweLinks - Retentez donc que le dropper créé, une clef RUN qui charge le script PowerShell pour charger une DLL qui va injecter un processus et être actif en mémoire. Tout le contenu nécessaire se trouve dans la clef Run et aucun fichier n'est créé sur le disque.

Image

Kovter a copié ce procédé pour sortir sa nouvelle version 'fileless' :

Image

FRST ou Autoruns n'ont aucun problème pour afficher la clef et son contenu.
Autoruns_gootkit.png
Au démarrage, on peut voir mshta.exe se lançait ainsi que powershell :

Image

En vidéo, Le malware Kovter :





Les détections McAfee concernant ces trois familles de Trojan FileLess durant l'année 2015 :
Trojan_Fileless_McAfee_rapport.png
La distribution de ces trojans Fileless, à travers notamment des campagnes d'emails de SPAM malicieux. Au 1er Avril 2015 (ce n'est pas un poisson d'avril), nous parlions d'une campagne d'emails avec des faux documents du ministère de la Justice propulsant le Trojan.Gootkit (aka Win32/Xswkit) : Gootkit et campagne de mail Justice
Trojan_FileLess_distribution.png
PowerLiks a aussi connu sa campagne de SPAM, par exemple, ci-dessous un mail malicieux America Airlines
poweliks_email.png
Moins connu, le Trojan Phasebot qui semble être une mise à jour de Solarbot, voici la 'publicité' faites par le développeur pour vendre son Trojan. Ce dernier est vendu comme un Rootkit FileLess. Une introduction sur Phasebot par Trend-Micro : Without a Trace: Fileless Malware Spotted in the Wild
PhaseBot_publicite.png
Un PDF concernant ces Trojan PowerShell : https://www.carbonblack.com/wp-content/ ... port-1.pdf
Les 3 familles les plus répandus : Wawtrak, PoweLiks, Crigent
que des Trojan Banker
Malware_PowerShell_FileLess.png
La répartition des activités malveillantes :
Malware_PowerShell_FileLess_2.png
Il est donc fort à parier que de nouvelles familles apparaissent, ou comme c'est le cas de Kovter, une famille existant utilise ces procédés qui peuvent poser des problèmes de détections.

Côté Antivirus, j'ai fait quelques tests sur Kovter :

AVG Antivirus Gratuits le détecte et le supprime.
A noter qu'AVG détecte Kovter en Poweliks

Image

Image

Microsoft Security Essential détecte le processus Kovter mais ne nettoyage pas l'infection, probablement parce que MSE ne scanne pas le registre Windows.
Le processus malicieux est arrêté mais se relance au démarrage suivant.


Image

Par contre, le bouclier de protection de Microsoft Security Essential détecte les clefs dans le registre.
Comme le malware les créés aussitôt, il faut que le scan en ligne est arrête les processus et il faut nettoyer les clefs ensuite pour que l'infection ne se remette pas.

Image

Malwarebytes Anti-Malware détecte les clefs du registre en Rootkit.FileLess.MTGen
De même il faut vite rebooter l'ordinateur après le nettoyage afin que les clefs ne soient pas recréés.

Image


Avast! et Antivir sont largués.

Image

Image

Avast! peut voir le "résultat" de l'infection, c'est à dire les tentatives de connexions malicieuses.
On obtiendra alors des alertes URL:MAL sur Powershell.exe

Image

Mitigation pour les domaines d'entreprises, AppLocker peut s'avérer utile.

Sources :
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
nigelle

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par nigelle »

Est il possible de désactiver powershell pour se protéger des actions malveillantes ? Ou de lui mettre un mot de passe pour l’empêcher de fonctionner sauf quand j'en ai besoin ?
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Salut,

bonne question, peut-être avec une des policies, faut que je regarde car j'en sais rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par ѠOOT »

Bonjour,

→ CERT-FR :: bulletin actualité #002 de 2016, section 2.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Merci ѠOOT

J'ai une VM avec Kovter =)
Du coup j'ai publié une vidéo.
J'essayerai de voir pour limiter PowerLess.


En vidéo, Le malware Kovter :

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Edité pour confronter les antivirus gratuits à Kovter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Pour bloquer PowerShell, pour les domaines Windows, AppLocker peut aider.
Faudrait voir aussi en bloquant les binaires PowerShell en exécution/lecture pour certains groupes d'utilisateurs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ѠOOT

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par ѠOOT »

During a recent talk by a representative of MalwareBytes, it was discussed that several modern malware families, notable Poweliks, Phase Bot and Kovter are moving away from the file system and are instead establishing persistence in the registry of the host. This blog outlines the infection vector used by the kovter malware and the analysis method used to investigate it.

FILELESS MALWARE – A BEHAVIOURAL ANALYSIS OF KOVTER PERSISTENCE
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Une campagne via des malvertising ( publicités piégées ) via de fausses mise à jour Adobe Flash a été démantelée par Microsoft.
https://blogs.technet.microsoft.com/mmp ... p-release/

Cette campagne était très active aux USA.
kovter_chain_malvertising.png
L'explosition des détections dûe à cette campagne Kovter :
kovter_chain_malvertising_2.png
Microsoft prétends ainsi avoir "protégé" plus de 350 000 Windows.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Pour logguer les scripts PowerShell.
par un simple .reg : https://github.com/matthewdunwoody/PS_logging_reg
A Windows REG file to enable all default PowerShell logging on a system with PowerShell v5 installed. This file will modify the registry to enable:
  • Module logging for all modules
  • Script block logging
  • Transcription with:
    • Default directory selected (user's documents folder)
    • Invocation header enabled
La clé dans La base de registre Windows :
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]
"EnableScriptBlockLogging"=dword:00000001
ou

Comment activer gpedit.msc sur Windows 10 : Configuration utilisateur > Modèles d'administration > Composants Windows > PowerShell
Powershell_strategie_groupe_locale.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117190
Inscription : 10 sept. 2005 13:57

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

par Malekal_morte »

Un bump du sujet avec Trend-Micro qui a publié une entrée sur son blog : http://blog.trendmicro.com/trendlabs-se ... d-malware/

En plus des trojans MalwareFileLess, Trend-Micro indique aussi que des campagnes de fichiers zippés, contenant des raccourcis Windows (.lnk) qui lance un script PowerShell afin d'installer un Trojan.

Trend-Micro fournit des schémas des attaques LNK-PowerShell :
LNK-PowerShell.jpg
LNK-PowerShell-2.jpg
et le contenu du raccourcis Windows malveillant :
LNK-PowerShell-3.jpg
Rien de vraiment nouveau à part confirmer une énième fois que PowerShell est et va être de plus en plus utilisé pour installer des trojan et cheval de troie.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »