Malware 'FileLess' : PoweLiks, Kovter, Gootkit

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 23 janv. 2016 20:16

Une page concernant les actualités autour des malwares dit "fileless" que l'on peut traduire par "Trojan sans fichiers". On entend par fileless, les malwares qui ne créés aucun fichier ( ou presque ) sur le disque et tourne seulement en mémoire. Comment cette prouesse est possible ? grâce notamment à l'utilisation de PowerShell inclut depuis Windows 7.
De ce fait, on peut aussi appeler ces infections malware PowerShell.
Vous pouvez aussi lire en parallèle la page : Les virus ou trojan Powershell.

PowerShell est un langage de script qui permet à peu près tout de faire et ainsi aussi de créer des malwares dans ce langage. Le premier malware "fileless" se nomme Poweliks puis Trojan.Gootkit (aka Wonton / Xswkit ) Fichier(s) joint(s) ) et enfin Kovter, à l'origine un ransomware 'gendarmerie', devenu par la suite un Trojan.Clicker se sont mis à utiliser ces techniques "fileless'. D'autres vont probablement venir par la suite.

PoweLiks a été évoqué rapidement sur ce sujet qui abordait aussi d'ailleurs un ransomware écrit en PowerShell : rancongiciels-chiffreurs-100-windows-po ... ml#p398299

La première version de PoweLiks créé une clef Run qui charge en mémoire le malware en utilisant
powerliks_registry.jpg
Malware dit 'FileLess' : PoweLiks
La clef contient un caractère Null, l'éditeur du registre Windows est alors incapable d'afficher les données contenues dans la clef et bien entendu la supprimer.
POWERLIKS2.jpg
Malware dit 'FileLess' : PoweLiks
Le méchanisme de fonctionnement de PoweLinks - Retentez donc que le dropper créé, une clef RUN qui charge le script PowerShell pour charger une DLL qui va injecter un processus et être actif en mémoire. Tout le contenu nécessaire se trouve dans la clef Run et aucun fichier n'est créé sur le disque.

Image

Kovter a copié ce procédé pour sortir sa nouvelle version 'fileless' :

Image

FRST ou Autoruns n'ont aucun problème pour afficher la clef et son contenu.
Autoruns_gootkit.png
Clef Run du malware Gootkit sur Autoruns
Au démarrage, on peut voir mshta.exe se lançait ainsi que powershell :

Image

En vidéo, Le malware Kovter :





Les détections McAfee concernant ces trois familles de Trojan FileLess durant l'année 2015 :
Trojan_Fileless_McAfee_rapport.png
Trojan Fileless McAfee
La distribution de ces trojans Fileless, à travers notamment des campagnes d'emails de SPAM malicieux. Au 1er Avril 2015 (ce n'est pas un poisson d'avril), nous parlions d'une campagne d'emails avec des faux documents du ministère de la Justice propulsant le Trojan.Gootkit (aka Win32/Xswkit) : Gootkit et campagne de mail Justice
Trojan_FileLess_distribution.png
Trojan Fileless distribution
PowerLiks a aussi connu sa campagne de SPAM, par exemple, ci-dessous un mail malicieux America Airlines
poweliks_email.png
PoweLiks Email malicieux
Moins connu, le Trojan Phasebot qui semble être une mise à jour de Solarbot, voici la 'publicité' faites par le développeur pour vendre son Trojan. Ce dernier est vendu comme un Rootkit FileLess. Une introduction sur Phasebot par Trend-Micro : Without a Trace: Fileless Malware Spotted in the Wild
PhaseBot_publicite.png
Phasebot publicités
Un PDF concernant ces Trojan PowerShell : https://www.carbonblack.com/wp-content/ ... port-1.pdf
Les 3 familles les plus répandus : Wawtrak, PoweLiks, Crigent
que des Trojan Banker
Malware_PowerShell_FileLess.png
Trojan PowerShell - FileLess
La répartition des activités malveillantes :
Malware_PowerShell_FileLess_2.png
Trojan PowerShell - FileLess
Il est donc fort à parier que de nouvelles familles apparaissent, ou comme c'est le cas de Kovter, une famille existant utilise ces procédés qui peuvent poser des problèmes de détections.

Côté Antivirus, j'ai fait quelques tests sur Kovter :

AVG Antivirus Gratuits le détecte et le supprime.
A noter qu'AVG détecte Kovter en Poweliks

Image

Image

Microsoft Security Essential détecte le processus Kovter mais ne nettoyage pas l'infection, probablement parce que MSE ne scanne pas le registre Windows.
Le processus malicieux est arrêté mais se relance au démarrage suivant.


Image

Par contre, le bouclier de protection de Microsoft Security Essential détecte les clefs dans le registre.
Comme le malware les créés aussitôt, il faut que le scan en ligne est arrête les processus et il faut nettoyer les clefs ensuite pour que l'infection ne se remette pas.

Image

Malwarebytes Anti-Malware détecte les clefs du registre en Rootkit.FileLess.MTGen
De même il faut vite rebooter l'ordinateur après le nettoyage afin que les clefs ne soient pas recréés.

Image


Avast! et Antivir sont largués.

Image

Image

Avast! peut voir le "résultat" de l'infection, c'est à dire les tentatives de connexions malicieuses.
On obtiendra alors des alertes URL:MAL sur Powershell.exe

Image

Mitigation pour les domaines d'entreprises, AppLocker peut s'avérer utile.

Sources :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


nigelle
Messages : 1
Inscription : 17 nov. 2015 14:30

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par nigelle » 01 févr. 2016 15:39

Est il possible de désactiver powershell pour se protéger des actions malveillantes ? Ou de lui mettre un mot de passe pour l’empêcher de fonctionner sauf quand j'en ai besoin ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 01 févr. 2016 18:27

Salut,

bonne question, peut-être avec une des policies, faut que je regarde car j'en sais rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par ѠOOT » 01 févr. 2016 18:33

Bonjour,

→ CERT-FR :: bulletin actualité #002 de 2016, section 2.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 02 févr. 2016 14:23

Merci ѠOOT

J'ai une VM avec Kovter =)
Du coup j'ai publié une vidéo.
J'essayerai de voir pour limiter PowerLess.


En vidéo, Le malware Kovter :

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 03 févr. 2016 18:34

Edité pour confronter les antivirus gratuits à Kovter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 03 mars 2016 20:26

Pour bloquer PowerShell, pour les domaines Windows, AppLocker peut aider.
Faudrait voir aussi en bloquant les binaires PowerShell en exécution/lecture pour certains groupes d'utilisateurs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par ѠOOT » 25 mars 2016 18:35

During a recent talk by a representative of MalwareBytes, it was discussed that several modern malware families, notable Poweliks, Phase Bot and Kovter are moving away from the file system and are instead establishing persistence in the registry of the host. This blog outlines the infection vector used by the kovter malware and the analysis method used to investigate it.

FILELESS MALWARE – A BEHAVIOURAL ANALYSIS OF KOVTER PERSISTENCE
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 11 mai 2016 13:49

Une campagne via des malvertising ( publicités piégées ) via de fausses mise à jour Adobe Flash a été démantelée par Microsoft.
https://blogs.technet.microsoft.com/mmp ... p-release/

Cette campagne était très active aux USA.
kovter_chain_malvertising.png
Kovter malvertising
L'explosition des détections dûe à cette campagne Kovter :
kovter_chain_malvertising_2.png
Kovter malvertising
Microsoft prétends ainsi avoir "protégé" plus de 350 000 Windows.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 30 janv. 2017 18:41

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 07 mars 2017 16:11

Pour logguer les scripts PowerShell.
par un simple .reg : https://github.com/matthewdunwoody/PS_logging_reg
A Windows REG file to enable all default PowerShell logging on a system with PowerShell v5 installed. This file will modify the registry to enable:
  • Module logging for all modules
  • Script block logging
  • Transcription with:
    • Default directory selected (user's documents folder)
    • Invocation header enabled
La clé dans La base de registre Windows :
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]
"EnableScriptBlockLogging"=dword:00000001
ou

Comment activer gpedit.msc sur Windows 10 : Configuration utilisateur > Modèles d'administration > Composants Windows > PowerShell
Powershell_strategie_groupe_locale.png
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte » 28 mai 2017 13:24

Un bump du sujet avec Trend-Micro qui a publié une entrée sur son blog : http://blog.trendmicro.com/trendlabs-se ... d-malware/

En plus des trojans MalwareFileLess, Trend-Micro indique aussi que des campagnes de fichiers zippés, contenant des raccourcis Windows (.lnk) qui lance un script PowerShell afin d'installer un Trojan.

Trend-Micro fournit des schémas des attaques LNK-PowerShell :
LNK-PowerShell.jpg
attaque LNK-PowerShell
LNK-PowerShell-2.jpg
attaque LNK-PowerShell
et le contenu du raccourcis Windows malveillant :
LNK-PowerShell-3.jpg
attaque LNK-PowerShell
Rien de vraiment nouveau à part confirmer une énième fois que PowerShell est et va être de plus en plus utilisé pour installer des trojan et cheval de troie.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités