Malware 'FileLess' : PoweLiks, Kovter, Gootkit

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Une page concernant les actualités autour des malwares dit "fileless" que l'on peut traduire par "Trojan sans fichiers". On entend par fileless, les malwares qui ne créés aucun fichier ( ou presque ) sur le disque et tourne seulement en mémoire. Comment cette prouesse est possible ? grâce notamment à l'utilisation de PowerShell inclut depuis Windows 7.
De ce fait, on peut aussi appeler ces infections malware PowerShell.
Vous pouvez aussi lire en parallèle la page : Les virus ou trojan Powershell.

PowerShell est un langage de script qui permet à peu près tout de faire et ainsi aussi de créer des malwares dans ce langage. Le premier malware "fileless" se nomme Poweliks puis Trojan.Gootkit (aka Wonton / Xswkit ) Fichier(s) joint(s) ) et enfin Kovter, à l'origine un ransomware 'gendarmerie', devenu par la suite un Trojan.Clicker se sont mis à utiliser ces techniques "fileless'. D'autres vont probablement venir par la suite.

PoweLiks a été évoqué rapidement sur ce sujet qui abordait aussi d'ailleurs un ransomware écrit en PowerShell : rancongiciels-chiffreurs-100-windows-po ... ml#p398299

La première version de PoweLiks créé une clef Run qui charge en mémoire le malware en utilisant
Malware dit 'FileLess' : PoweLiks
Malware dit 'FileLess' : PoweLiks
La clef contient un caractère Null, l'éditeur du registre Windows est alors incapable d'afficher les données contenues dans la clef et bien entendu la supprimer.
Malware dit 'FileLess' : PoweLiks
Malware dit 'FileLess' : PoweLiks
Le méchanisme de fonctionnement de PoweLinks - Retentez donc que le dropper créé, une clef RUN qui charge le script PowerShell pour charger une DLL qui va injecter un processus et être actif en mémoire. Tout le contenu nécessaire se trouve dans la clef Run et aucun fichier n'est créé sur le disque.

Image

Kovter a copié ce procédé pour sortir sa nouvelle version 'fileless' :

Image

FRST ou Autoruns n'ont aucun problème pour afficher la clef et son contenu.
Clef Run du malware Gootkit sur Autoruns
Clef Run du malware Gootkit sur Autoruns
Au démarrage, on peut voir mshta.exe se lançait ainsi que powershell :

Image

En vidéo, Le malware Kovter :





Les détections McAfee concernant ces trois familles de Trojan FileLess durant l'année 2015 :
Trojan Fileless McAfee
Trojan Fileless McAfee
La distribution de ces trojans Fileless, à travers notamment des campagnes d'emails de SPAM malicieux. Au 1er Avril 2015 (ce n'est pas un poisson d'avril), nous parlions d'une campagne d'emails avec des faux documents du ministère de la Justice propulsant le Trojan.Gootkit (aka Win32/Xswkit) : Gootkit et campagne de mail Justice
Trojan Fileless distribution
Trojan Fileless distribution
PowerLiks a aussi connu sa campagne de SPAM, par exemple, ci-dessous un mail malicieux America Airlines
PoweLiks Email malicieux
PoweLiks Email malicieux
Moins connu, le Trojan Phasebot qui semble être une mise à jour de Solarbot, voici la 'publicité' faites par le développeur pour vendre son Trojan. Ce dernier est vendu comme un Rootkit FileLess. Une introduction sur Phasebot par Trend-Micro : Without a Trace: Fileless Malware Spotted in the Wild
Phasebot publicités
Phasebot publicités
Un PDF concernant ces Trojan PowerShell : https://www.carbonblack.com/wp-content/ ... port-1.pdf
Les 3 familles les plus répandus : Wawtrak, PoweLiks, Crigent
que des Trojan Banker
Trojan PowerShell - FileLess
Trojan PowerShell - FileLess
La répartition des activités malveillantes :
Trojan PowerShell - FileLess
Trojan PowerShell - FileLess
Il est donc fort à parier que de nouvelles familles apparaissent, ou comme c'est le cas de Kovter, une famille existant utilise ces procédés qui peuvent poser des problèmes de détections.

Côté Antivirus, j'ai fait quelques tests sur Kovter :

AVG Antivirus Gratuits le détecte et le supprime.
A noter qu'AVG détecte Kovter en Poweliks

Image

Image

Microsoft Security Essential détecte le processus Kovter mais ne nettoyage pas l'infection, probablement parce que MSE ne scanne pas le registre Windows.
Le processus malicieux est arrêté mais se relance au démarrage suivant.


Image

Par contre, le bouclier de protection de Microsoft Security Essential détecte les clefs dans le registre.
Comme le malware les créés aussitôt, il faut que le scan en ligne est arrête les processus et il faut nettoyer les clefs ensuite pour que l'infection ne se remette pas.

Image

Malwarebytes Anti-Malware détecte les clefs du registre en Rootkit.FileLess.MTGen
De même il faut vite rebooter l'ordinateur après le nettoyage afin que les clefs ne soient pas recréés.

Image


Avast! et Antivir sont largués.

Image

Image

Avast! peut voir le "résultat" de l'infection, c'est à dire les tentatives de connexions malicieuses.
On obtiendra alors des alertes URL:MAL sur Powershell.exe

Image

Mitigation pour les domaines d'entreprises, AppLocker peut s'avérer utile.

Sources :
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

nigelle
Messages : 1
Inscription : 17 nov. 2015 13:30

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par nigelle »

Est il possible de désactiver powershell pour se protéger des actions malveillantes ? Ou de lui mettre un mot de passe pour l’empêcher de fonctionner sauf quand j'en ai besoin ?

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Salut,

bonne question, peut-être avec une des policies, faut que je regarde car j'en sais rien.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par ѠOOT »

Bonjour,

→ CERT-FR :: bulletin actualité #002 de 2016, section 2.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Merci ѠOOT

J'ai une VM avec Kovter =)
Du coup j'ai publié une vidéo.
J'essayerai de voir pour limiter PowerLess.


En vidéo, Le malware Kovter :

Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Edité pour confronter les antivirus gratuits à Kovter.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Pour bloquer PowerShell, pour les domaines Windows, AppLocker peut aider.
Faudrait voir aussi en bloquant les binaires PowerShell en exécution/lecture pour certains groupes d'utilisateurs.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par ѠOOT »

During a recent talk by a representative of MalwareBytes, it was discussed that several modern malware families, notable Poweliks, Phase Bot and Kovter are moving away from the file system and are instead establishing persistence in the registry of the host. This blog outlines the infection vector used by the kovter malware and the analysis method used to investigate it.

FILELESS MALWARE – A BEHAVIOURAL ANALYSIS OF KOVTER PERSISTENCE
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Une campagne via des malvertising ( publicités piégées ) via de fausses mise à jour Adobe Flash a été démantelée par Microsoft.
https://blogs.technet.microsoft.com/mmp ... p-release/

Cette campagne était très active aux USA.
Kovter malvertising
Kovter malvertising
L'explosition des détections dûe à cette campagne Kovter :
Kovter malvertising
Kovter malvertising
Microsoft prétends ainsi avoir "protégé" plus de 350 000 Windows.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Pour logguer les scripts PowerShell.
par un simple .reg : https://github.com/matthewdunwoody/PS_logging_reg
A Windows REG file to enable all default PowerShell logging on a system with PowerShell v5 installed. This file will modify the registry to enable:
  • Module logging for all modules
  • Script block logging
  • Transcription with:
    • Default directory selected (user's documents folder)
    • Invocation header enabled
La clé dans La base de registre Windows :
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]
"EnableScriptBlockLogging"=dword:00000001
ou

Comment activer gpedit.msc sur Windows 10 : Configuration utilisateur > Modèles d'administration > Composants Windows > PowerShell
Powershell_strategie_groupe_locale.png
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103387
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malware 'FileLess' : PoweLiks, Kovter, Gootkit

Message par Malekal_morte »

Un bump du sujet avec Trend-Micro qui a publié une entrée sur son blog : http://blog.trendmicro.com/trendlabs-se ... d-malware/

En plus des trojans MalwareFileLess, Trend-Micro indique aussi que des campagnes de fichiers zippés, contenant des raccourcis Windows (.lnk) qui lance un script PowerShell afin d'installer un Trojan.

Trend-Micro fournit des schémas des attaques LNK-PowerShell :
attaque LNK-PowerShell
attaque LNK-PowerShell
attaque LNK-PowerShell
attaque LNK-PowerShell
et le contenu du raccourcis Windows malveillant :
attaque LNK-PowerShell
attaque LNK-PowerShell
Rien de vraiment nouveau à part confirmer une énième fois que PowerShell est et va être de plus en plus utilisé pour installer des trojan et cheval de troie.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Actualité & News Informatique »