Ne suivez pas ce lien ou vous tomberez dans un trou noir et vous serez banni du site.
- Modèle
- asus s550cm\asus x750 UDR
- Vendeur
- darty\amazon
- Achat
- fin 2013\fin 2017
- Processeur
- i7 3ème génération\I7 8ème génération
- Disques
- 1To disque7200 trs\ 1To disque dur 5400 trs+ssd 250 Go
- Mémoire
- 16 go DDR3\16 Go DDR4
- Ecran
- 1366*768\1920*1080
- Système
- Arch Linux
Je vais vous parler d'une A.T.P (Advanced Threat Persistent) que j'ai découvert le 21-22 Mars 2015, qui s'appelle Regin.
La spécificité de ce malware, qui est une backdoor (porte dérobée) est qu'il se cache dans le registre, comme son nom l'indique, bien qu'il écrit au moins un fichier dans le disque dur.
Ce malware est quasiment le même que celui décrit par the intercept, qui a infecté belgacomm, exepté que la description est faite pour la version 32 bits, et j'ai eu la version 64 bits.
Enfin, un descriptif plus synthétique sur le site de Wikipedia
J'utilisais un windows 8.1 industry pro embedded, (précédemment aussi un windows 8 industry pro embedded) en version 64 bits acquis par l'université, fourni "gracieusement") par le programme Dreamspark de microsoft.
Le PC est un ordinateur portable asus, certifié "Windows 8". De cela en découle que j'ai un UEFI, avec l'option Secure Boot, avec une de partition GpT au lieu de table de partition MBR.
J'utilise une session utilisateur, et non pas une session administrateur. Les programmes, les navigateurs, les plug-ins de navigateurs (j'utilisais firefox) sont toujours mis à jour par mes soins, et je vérifie que tout est à jour sur mon ordinateur, en utilisant FileHippo et Secunia
Les prémisses
Le fichier en question est : LockScreenContentServer.exe, qui essaie d'accéder à l'interface COM de SearchIndexer.exe, lors de la mise en hors tension de l'écran.
Comodo indiquait, si je me rappelle bien que le programme n'était pas signé.
Bien que ce fichier semble provenir de Microsoft, et semble légitime, ce programme n'est pas agrée par un certificat root:
Voir le lien ci-dessous:
Le fichier a été uploadé sur virustotal.
Le lien est: Antivirus scan for b1d1ef4575144302956492e57b2c1ce755f38615d2e285b6288f9d1586d53d4a at 2018-03-26 20:44:55 UTC - VirusTotal
Je n'aime pas cela, mais je me suis dit que je pouvais exagérer, comme je l'avais indiqué dans ce post.
Pourtant mon PC était synchronisé avec un serveur de temps, le PC était donc à l'heure , avec la bonne date.
2) Un soir, pendant que l'écran de l'ordinateur était en veille, j'ai eu des alertes incessantes du HIPS de comodo, de façon continue, ce n'était pas un comportement normal, je me suis dit que je pouvais exagérer.
Les fichiers concernés étaient ces deux là.
Cela provenait de Serviio, un programme pour diffuser des vidéos, images de son ordinateur vers sa télévision.
Bien que je sais que je sais que serviio utilise Java, je me suis méfié, sachant que Java comporte pas mal de failles de sécurité. (et j'ai su plus tard que le partage de fichier est une grosse faille de sécurité, en utilisant l'architecture NetBios).
3) Peu de temps après, filehippo me signale une mise à jour de virtualBox. Je mets à jour virtualbox, mais pour faire la mise à jour des addons, je suis obligé de me connecter au mode administrateur.
Or en me connectant en mode administrateur, l'ordinateur a commencé à ralentir énormément( ou en ouvrant Firefox dans le compte administrateur, je ne m'en rappelle plus) , j'ai été obligé déteindre l'ordinateur et en cherchant à éteindre l'ordinateur, j'ai eu une fenêtre me signalant q'un problème avec un programme 16 bits (un programme 16 bits ralentit l'ordinateur, où un message similaire), ce que j'ai trouvé bizarre, puisque utilisant un OS 64 bits, les programmes 16 bits ne sont pas théoriquement opérationnels . Mais comme c'est un windows 8.1 pro, il me semble qu'il y a un mode de compatibilité pour des versions de windows antérieures)
En redémarrant, et en me connectant en mode administrateur, et en regardant les programmes lancés, j'ai vu instance de svchost, sans nom, rien du tout. Or en regardant en détail le processus, il était en mode "suspend", . J'ai quand même lancé RogueKiller, et a tué ce processus, considéré comme malveillant. Mais pas d'autres anomalies particulières.
Le commencement
1) En redémarrant, via le gestionnaire de tâches de Windows, j'avais un processus svchost sans nom que j'appelle des processus "svchost fantôme". Cela semblait bizarre, puisque je n'arrivais pas à déterminer le service associé. De plus , comme il était en "suspend", je me suis méfié, mais sans plus.
Toutefois, j'observais l'évolution de ce processus au cours du temps, en laissant l'écran allumé, des fois il y avait deux ou trois autres processus fantômes. Je pouvais les tuer via le gestionnaire de tâches, mais j'ai constaté que ces processus "svchost fantôme" étaient en activité, ouvrant des ports réseaux.
En utilisant RogueKiller, ce dernier tuait les processus, mais sans plus, sans détecter d'autres anomalies notoires. J'ai utilisé aussi TDSSKIller, avec analyse des processus au démarrage, mais il n'a rien détecté.
Mais quelques jours plus tard, la situation s'est dégradée:
2) En démarrant l'ordinateur, j'avais un problème de connexion (je ne pouvais pas me connecter), et le parefeu ne se lançait pas. Je devais à chaque fois lancer comodo , me signalant un souci, et fais un diagnostic (voir l'image ci-dessous) . Le diagnostic ne trouve rien d'anormal, et puis la connexion démarre, comme le montre la photo ci-dessus:
Vraiment intrigué, je cherchais à faire lancer les logiciels de désinfections et de diagnostic le plus vite possible au démarrage de l'ordinateur pour essayer de trouver quelque chose concernant ces processus "svchost fantôme" (sans oublier les autres processus en dessous qui me semblait bizarre)
Bizarrement, l'icône de nvidia apparaissait pas, ce qui n'est normal.
Il y avait deux cas:
3) Je me suis donc lancé à faire une analyse complète de l'ordinateur avec l'antimalware Avast, avant le démarrage de Windows.
Avast me détecte une infection Regin.
L'analyse via virustotal est ici
4) J'ai supprimé le dossier Backup.
Puis, en laissant tourner ma machine pendant un temps indéterminé sans ayant contact avec ce dernier, j'ai eu droit à un nouveau dossier backup.
Je vois bien des fichiers, concernant des CV. Mais rien de spécial, ce sont des CV que j'ai corrigé dans le cadre d'une formation pour apprendre le HTML5 et CSS3, donc rien à voir dans le monde professionnel.
5) Mais la nouveauté est que peu de temps après, je ne voyais plus les processus "Svchost fantômes", et le parefeu ne pose pas de problème, et se lance bien au démarrage. Toutefois, l'îcone de Nvidia dans la barre de tâches ne se lance toujours pas.
6) J'ai décompressé le fichier 4d6....2014-11-25_162521. Notons que le fichier 0001000000000C1C_svcsstat.exe_sample n'est pas réapparu dans le fichier (qui avait été détecté par Avast).
J'ai
Le contenu du dossier Get This et le contenu du fichier ProcMon_19_06_2013_0_00_08_57.pml sera détaillé plus tard, pour ne pas alourdir la description.
Remarques:
a) Dans Le dossier Windows, il y a un dossier "lastGood", avec des fichiers de system32, si je me rapelle bien, dans le fichier "LastGood"
Pour les fichiers que j'ai pu voir, il y a une différence avec les certificats, par exemple pour les fichiers nvapi64.dll:
Pour deux même fichiers, les fichiers n'ont pas les mêmes signataires. Il y en a un dont le certificat est certainement usurpé (sûrement celui de gauche). En effet, dans c:\Windows\System32, le certificat signé soit disant par Symantec (voir le certificat racine), à droite, le certificat signé par Nvidia, dans c:\windows\LastGood
b) En utilisant un liveCD de malekal (celui de Windows 8), j'ai une erreur suivante au démarrage de ce liveCD, "La corbeille est endommagée, voulez-vous vider la corbeille? " , ou un message de ce type, car le message est en anglais. Même en vidant la corbeille, en redémarrant le LiveCD, le message d'erreur réapparaissait.
En redémarrant, J'ai utilisé ZHPFix pour supprimer les points de restauration, et d'autres fichiers, mais ca échoue:
c) le malware à l'air de buguer, car il laisse des "traces" , qui sont corrigées ensuite si une connexion internet est présente.
Par exemple, en regardant l'image suivante, j'avais pensé à une connection à un serveur distant ou à un serveur local (via le disque dur de mon routeur), mais je ne sais pas.
Je rajoute que les fichiers que avast avait trouvé dans c:\users\asus\appdata\roaming\notepad++\Backup, qui sont restés longtemps dans ce dossier ont tout simplement disparu.
d) J'avais un dualboot linux\Windows, je ne pouvais plus accéder au dossier Windows via linux, alors qu'auparavant je pouvais le faire, et ceci même en désactivant fastboot dans l'UEFI, et même en vérifiant les actions dans le panneau de configuration, concernant la gestion de l'alimentation.
Or c'est le comportement typique que Windows n'est pas éteint complètement, comme si il était en veille hybride pour que l'ordinateur démarre plus rapidement.
A un moment, quand j'utilisais ZHPDiag, je ne pouvais plus lancer le raccourci, alors que je pouvais l'utiliser sans problème auparavant. J'ai donc renommé le fichier original lié au raccourci.
Enfin, en faisant une analyse avec MBAM, j'ai eu un message (pendant la phase de l'analyse de rootkit), indiquant qu'il y avait quelque chose n'allait pas, mais il n'arrivait pas à le détecter, mais je ne me rappelle plus du le message exact.
Désinfection ?
1) J'ai sauvegardé mes données et j'ai désinstallé le plus de programmes possibles et j'ai supprimé des fichiers pour avoir assez de place pour sauvegarder les partitions
2) J'ai voulu sauvegarder les partitions en réduisant la partition principale avec un espace disponible minimal, bien que j'ai supprimé aussi la partition Linux
En réduisant l'espace (avec gparted ou diskmgmt, je ne sais plus) , j'ai eu une alerte de Nvidia, et l'îcone de Nvidia est réapparue dans la barre de tâche.
J'avais cru que c'était une fausse mise à jour de Nvidia. Je pense plutôt que Nvidia avait détecté que certains de ses fichiers étaient falsifiés. De plus, Windows update s'est lancé, et a fait des mises à jour (peu de mises à jour, deux optionnelles si je me rappelle bien, dont l'un concernant une mise à jour de skype.
3) dans la barre de tâches, un programme fort utile, appelé fsutils , a fait une analyse du disque pour réparer la partition et a récupéré une partition de 1Mo. Je n'ai pas sauvegardé cette partition, j'ai juste sauvegardé un fichier, et quand j'y pense maintenant, c'était vraiment insensé de ma part, j'aurai du tout sauvegarder.
En revanche, en allant dans le gestionnaire de tâches, onglet "démarrage", je vois un nom spécial, grisé, non désactivable, non supprimable, non supprimable. Quasiment la même chose lorsque j'avais réinstallé Windows en novembre 2014, mais qui concernait "MSASCuiL", je ne pouvais pas le désactiver (il n'était pas cependant pas grisé).
Intrigué, je recherche le terme via un liveCD de Kaspersky, et en recherchant ce terme, je vois le nom en question, qui n'a rien n'a faire ici.
C'est pour cela que je ne pouvais pas supprimer cette tâche, parce qu'à part des lignes de l'attaquant MAJUSCULE, qui écrit qu'en majuscule, j'avais eu l'idée de supprimer les tâches suivantes:
Afficher la pièce jointe 18128
La ligne infectieuse où un élément est lié à Regin\Grayfish, c'est la ligne ci-dessous.
Ayant peur que ce soit une faille de Comodo, je n'ai pas montré plus, Je vais avertir comodo afin de donner la chance à comodo de corriger sa faille, et effectivement, c'est une faille de comodo. Je remercie Comodo de leur IDS basé sur l'hôte et le réseau de m'avoir signalé les anomalies.
4) J'ai encore plus réduit Windows avec un liveCD Gparted, mais j'avais un BSOD. Comme j'en avais assez avec cette infection, j'ai supprimé toutes les partitions.
5) J'ai remis le routeur aux paramètres usine, et j'ai enlevé le disque dur du routeur.
6) J'ai réinstallé Windows via les dvd de restauration d'asus.
Une fois Windows installé, j'ai voulu mettre à jour les pilotes de nvidia, une fois le programme de nvidia lancé, j'ai trois processus "svchost fantômes" qui sont apparus. Je ne sais pas si c'était toujours dû à l'infection, peut-être est ce dû aussi à l'installation des pilotes.
7) Pris de panique, j'ai supprimé les données du disque dur et du SSD en remplissant ces derniers par des 0.
J'ai remplacé le MBR du disque dur par un MBR standard de Windows et flashé le firmware du "bios uefi". je n'ai pas réinstallé de système de fichier pour le SSD.
8) J'ai réinstallé windows dans une petite partition , et installé le reste avec une distribution Linux. Aujourd'hui, je n'utilise que Windows pour une machine virtuelle.
A l'heure d'aujourd'hui, je pense que je ne suis plus infecté, mais je n'en suis pas certain, par exemple, il existe un module appelé GrayFish qui flashe les disques dur, et impossible pour ma part de vérifier si c'est le cas.
Conclusion
1) Mais comment se malware se cachait aussi bien ?
Pour mon cas, ll se cache très bien parce que GRAYFISH, qui est aussi une version 32 bits d’après la description des papiers blancs de Regin de la part de Symantec, cache Regin 64 bits
De plus, pour mon cas, GRAYFISH, qui est aussi une version 32 bits d’après la description des papiers blancs de Regin de la part de Symantec, ressemble aussi à WHITE LAMBERT de Kaspersky.
De plus BlackLambert est aussi détecté, via une capture réseau se lançant dans une VM, qui ressemble à une machine se lancant dans une VM de qemu, où un trojan banker, d'origine brésilienne est détecté, se cachant derrière un trafic réseau de type Zeus, mais qui ne correspond à aucun CLSID des cartes réseaux présentes dans les rapports de diagnostics, mais néanmoins semble utiliser une VM de virtualbox.
Ainsi, si Regin et GRAYFISH n'étaient pas détectées, un analyste aurait pensé que ZeusVM ou une de ses variantes serait présente.
Ils utilisent la virtualisation et la containérisation pour se cacher.
Le point faible de GRAYFISH\REGIN 32 bits est qu'il est doit être actif pour cacher Regin 64 bits, à ce seul moment, il est détectable.
L'infection est persistance. Bien qu'il existe du code non standard à la fin d'un disque dur externe, deux messages d'erreurs étaient toujours présent, même sans brancher de clés USB ni de disque dur externes.
Néanmoins, vu les revers qu'ils ont pris par la suite lors de leurs provocations, ils ont dû supprimer l'infection, sûrement suite à ces deux événements, que j'appelle BADNEIGHBOR (méchant voisin):
lire ce post: HELP ! - Partition en raw après clonage
==> En regardant cet article, je vais répondre à la question de l'auteur de ce blog:
artemonsecurity.blogspot.com
En guise de conclusion, il mentionne:
GRAYFISH, qui est aussi une version 32 bits de Regin, cache Regin 64 bits, ce dernier doit s’exécuter en mode user, et, contrairement à ce qui est dit, GRAYFISH, qui est aussi, pour mon cas, Regin 32 bits, fonctionne avec les privilèges système, en abusant des failles de moteurs qui crée des conteneurs, par exemple Docker , ou encore via de pilotes vulnérables signés numériquement, mais faillible, notamment, je pense pour mon cas, de Speedfan, et démarre via une tâche au démarrage de Windows. En effet, le démarrage de Windows 8.1 se fait en mode utilisateur.
Il patche probablement la carte réseau.
Ils utilisent la virtualisation et la containérisation pour se cacher.
Le point faible de GRAYFISH\REGIN 32 bits\WHITELAMBERT est qu'il est doit être actif pour cacher Regin 64 bits, à ce seul moment, il est détectable.
Le second point faible de GRAYFISH\REGIN est la ressemblance est troublante avec ZeroAccess, mais en fonction plus évoluée. Je pense que Regin est le papa de ZeroAccess, et non le contraire. Les versions diffusées de ZeroAccess coincident avec celle de Regin.
a_1) Comme le nom du malware l'indique, ce dernier se cache dans la base de registre, c'est sûrement à cause de cela que je ne pouvais pas voir l'origine de processus "svchost fantômes", dans le registre. Ce malware stocke aussi ses outils dans un conteneurs, via son propre système de fichiers, appelé EVFS (encrypted Virtual File Sytem), et qui est visible aux yeux de Windows d'un simple fichier, ce processus pouvait se cacher dans ce système de fichier.
a_2) En étudiant gpg pour apprendre à chiffrer les mails, je me suis rendu compte que l'on peut créer un certificat pour signer des fichiers.
Or Windows veut que les pilotes\drivers soient signés (sinon il faut désactiver la signature des pilotes pour installer un driver\pilote non signé).
Je pense fortement que les assaillants ont volé des certificats pour signer et installer des drivers\pilotes signés. C'est l'hypothèque la plus probable concernant le problème des fichiers ayant un problème de certificats
Il faut maintenant trouver les pilotes\drivers frauduleux, via les logiciels de diagnostics, et autres éléments sauvegardés, si c'est possible et si c'est le cas.
Cette hypothèse est fort probable,car en me renseignant sur stuxnet, un malware pour saboter des centrifugences en Iran , des certificats ont été volé dans deux sociétés, JMicron et Realtek,bien que ces certificats ont été révoqué par Verisign.
b) J'avais pensé à une machine virtuelle chiffrée à un moment pour que le malware se cache, puisqu'il est bizarre qu'il y ait peu de trace. Néanmoins, J'ai des machines virtuelles sous virtualbox, car en capturant des trames réseaux, je voyais des adresses IP locales d'une machine virtuelle, ainsi que les adresses MAC. Je me dit maintenant que c'était peut-être dû au fait que j'ai testé les trames réseaux avec un VPN. J'ai pris d'autres trames réseaux, où je n'ai pas observé ce phénomène. Néanmoins, je voyais que les paquets d'avast étaient bloqués. De plus, la date de certains paquets était de 2014. Comme j'ai appris plus tard que Regin sous propre système de fichier (EVSF), il était bien caché.
2) Deux fois, à des moments différents, mon téléphone portable se déchargeait très rapidement. De plus, bien que le réseau était fonctionnel, mes correspondants n'arrivaient pas à me joindre. En redémarrant le téléphone, je recevais une notification des appels manqués, et les SMS qui avaient été envoyés pendant la période où mon portable se déchargeait très rapidement.
3) J'ai récemment branché le disque dur à la box, et j'avais une vidéo enregistrée stockée sur ce disque dur. Une fois la vidéo supprimée, la moitié de l'espace de ce disque dur était encore rempli, bien qu'aucune donnée ne semblait présente. En formatant le disque dur, le disque est maintenant"vide".
Je vais acheter un adaptateur USB\SATA pour voir ce que cela donne.
4) Le seul souci est que je formate mon disque dur souvent. Or en fiant à la date du dossier compressé, si elle est exacte, ce dernier serait apparu environ un mois après le formatage de ce disque dur, (le formatage s'est effectué fin octobre 2014) . Ainsi, via un réalisme naïf, je pourrai croire que ca ne soit pas lié à une période antérieure .
En effet, j'aurai pu être infecté avant le formatage, et le programme aurait bien pu être stocké dans le disque dur du routeur. Bien que je vaccine les clés USB pour éviter les infections via les médias amovibles, j'ai pu attrapé cela par une clé USB, ce n'est pas exclu.
A part cela, aujourd'hui, je me demande comment j'ai attrapé ce malware.
En effet, c'était à la période où j'étudiais dans un master pro dans un des fleurons francais:
6) Une de mes plus grandes erreurs est d'avoir laissé activé l'architecture les services liés aux partage de fichier. Un moment, j'avais utilisé un programme pour remettre les services Windows par défaut. Bien qu'il me semble que j'ai désactivé certains services, lors de la découverte de cette porte dérobée, il y avait des services désactivés qui ont été réactivés. Mais comme je ne suis pas sûr, je prends pour argent comptant le fait que je n'ai pas désactivé ces services.
7) Une énigme est encore présente, quand je lis l'un des fichiers: le contenu de GetThis.csv
Pour conclure, le lecteur D: est mon lecteur DVD. Normalement, un lecteur DVD sans rien ne peur rien écrire. Il existerait donc une zone où l'on pourrait enregister des données. Néanmoins, il y a une piste à suivre, dont je ne parlerai pas ici , mais qui a un lien avec une fuite de données d'un ennemi d'internet selon le FSF.
Enfin, il ne faut pas prendre pour argent comptant dans l'analyse que je fais, je ne suis pas un spécialiste dans le domaine de la sécurité informatique. De plus, j'ai encore beaucoup de choses à analyser, comme les trames réseaux que j'ai capturées, et les logs de diagnostics. Du peu que je connais, il y a des choses qui ont l'air intéressants, comme des paquets qui font référence à Chuck Norris (Chuck Norris can drown a fich, Chuck Norris can divise by zero), et renseignement pris, ca rappelle à un bot IRC qui se propagait via des failles de certains routeurs)
Mais il ne faut pas publier que Regin touche aussi les particuliers, et je suis certain qu'il y a plus de personnes qui sont touchées que l'on croit, mais qui ne savent pas qu'elles sont espionnées. Ce genre d'A.T.P est concu pour la majorité sous Windows, et au fil des ans, de plus en plus d'A.T.P sont découvertes. Cela risquera de se developper encore plus dans l'avenir, surtout que c'est le début de l'ère des objets connectés.
La spécificité de ce malware, qui est une backdoor (porte dérobée) est qu'il se cache dans le registre, comme son nom l'indique, bien qu'il écrit au moins un fichier dans le disque dur.
Ce malware est quasiment le même que celui décrit par the intercept, qui a infecté belgacomm, exepté que la description est faite pour la version 32 bits, et j'ai eu la version 64 bits.
Enfin, un descriptif plus synthétique sur le site de Wikipedia
J'utilisais un windows 8.1 industry pro embedded, (précédemment aussi un windows 8 industry pro embedded) en version 64 bits acquis par l'université, fourni "gracieusement") par le programme Dreamspark de microsoft.
Le PC est un ordinateur portable asus, certifié "Windows 8". De cela en découle que j'ai un UEFI, avec l'option Secure Boot, avec une de partition GpT au lieu de table de partition MBR.
J'utilise une session utilisateur, et non pas une session administrateur. Les programmes, les navigateurs, les plug-ins de navigateurs (j'utilisais firefox) sont toujours mis à jour par mes soins, et je vérifie que tout est à jour sur mon ordinateur, en utilisant FileHippo et Secunia
Les prémisses
1) L'histoire a commencé quand j'ai une alerte du H.I.P.S de comodo, lorsque l'ordinateur se mettait en hors tension.Le fichier en question est : LockScreenContentServer.exe, qui essaie d'accéder à l'interface COM de SearchIndexer.exe, lors de la mise en hors tension de l'écran.
Comodo indiquait, si je me rappelle bien que le programme n'était pas signé.
Bien que ce fichier semble provenir de Microsoft, et semble légitime, ce programme n'est pas agrée par un certificat root:
Voir le lien ci-dessous:
Le fichier a été uploadé sur virustotal.
Le lien est: Antivirus scan for b1d1ef4575144302956492e57b2c1ce755f38615d2e285b6288f9d1586d53d4a at 2018-03-26 20:44:55 UTC - VirusTotal
Je n'aime pas cela, mais je me suis dit que je pouvais exagérer, comme je l'avais indiqué dans ce post.
Pourtant mon PC était synchronisé avec un serveur de temps, le PC était donc à l'heure , avec la bonne date.
2) Un soir, pendant que l'écran de l'ordinateur était en veille, j'ai eu des alertes incessantes du HIPS de comodo, de façon continue, ce n'était pas un comportement normal, je me suis dit que je pouvais exagérer.
Les fichiers concernés étaient ces deux là.
Cela provenait de Serviio, un programme pour diffuser des vidéos, images de son ordinateur vers sa télévision.
Bien que je sais que je sais que serviio utilise Java, je me suis méfié, sachant que Java comporte pas mal de failles de sécurité. (et j'ai su plus tard que le partage de fichier est une grosse faille de sécurité, en utilisant l'architecture NetBios).
3) Peu de temps après, filehippo me signale une mise à jour de virtualBox. Je mets à jour virtualbox, mais pour faire la mise à jour des addons, je suis obligé de me connecter au mode administrateur.
Or en me connectant en mode administrateur, l'ordinateur a commencé à ralentir énormément( ou en ouvrant Firefox dans le compte administrateur, je ne m'en rappelle plus) , j'ai été obligé déteindre l'ordinateur et en cherchant à éteindre l'ordinateur, j'ai eu une fenêtre me signalant q'un problème avec un programme 16 bits (un programme 16 bits ralentit l'ordinateur, où un message similaire), ce que j'ai trouvé bizarre, puisque utilisant un OS 64 bits, les programmes 16 bits ne sont pas théoriquement opérationnels . Mais comme c'est un windows 8.1 pro, il me semble qu'il y a un mode de compatibilité pour des versions de windows antérieures)
En redémarrant, et en me connectant en mode administrateur, et en regardant les programmes lancés, j'ai vu instance de svchost, sans nom, rien du tout. Or en regardant en détail le processus, il était en mode "suspend", . J'ai quand même lancé RogueKiller, et a tué ce processus, considéré comme malveillant. Mais pas d'autres anomalies particulières.
Le commencement
1) En redémarrant, via le gestionnaire de tâches de Windows, j'avais un processus svchost sans nom que j'appelle des processus "svchost fantôme". Cela semblait bizarre, puisque je n'arrivais pas à déterminer le service associé. De plus , comme il était en "suspend", je me suis méfié, mais sans plus.
Toutefois, j'observais l'évolution de ce processus au cours du temps, en laissant l'écran allumé, des fois il y avait deux ou trois autres processus fantômes. Je pouvais les tuer via le gestionnaire de tâches, mais j'ai constaté que ces processus "svchost fantôme" étaient en activité, ouvrant des ports réseaux.
En utilisant RogueKiller, ce dernier tuait les processus, mais sans plus, sans détecter d'autres anomalies notoires. J'ai utilisé aussi TDSSKIller, avec analyse des processus au démarrage, mais il n'a rien détecté.
Mais quelques jours plus tard, la situation s'est dégradée:
2) En démarrant l'ordinateur, j'avais un problème de connexion (je ne pouvais pas me connecter), et le parefeu ne se lançait pas. Je devais à chaque fois lancer comodo , me signalant un souci, et fais un diagnostic (voir l'image ci-dessous) . Le diagnostic ne trouve rien d'anormal, et puis la connexion démarre, comme le montre la photo ci-dessus:
Vraiment intrigué, je cherchais à faire lancer les logiciels de désinfections et de diagnostic le plus vite possible au démarrage de l'ordinateur pour essayer de trouver quelque chose concernant ces processus "svchost fantôme" (sans oublier les autres processus en dessous qui me semblait bizarre)
Bizarrement, l'icône de nvidia apparaissait pas, ce qui n'est normal.
Il y avait deux cas:
- Soit les programmes se chargeait en mémoire, mais ne démarraient pas.
- Soit j'avais droit à un BSOD ( Critical_Stucture_corruption) , quand les programmes voulus se lancaient et \ou quand les processus "svchost fantôme " étaient tués.
3) Je me suis donc lancé à faire une analyse complète de l'ordinateur avec l'antimalware Avast, avant le démarrage de Windows.
Avast me détecte une infection Regin.
L'analyse via virustotal est ici
4) J'ai supprimé le dossier Backup.
Puis, en laissant tourner ma machine pendant un temps indéterminé sans ayant contact avec ce dernier, j'ai eu droit à un nouveau dossier backup.
Je vois bien des fichiers, concernant des CV. Mais rien de spécial, ce sont des CV que j'ai corrigé dans le cadre d'une formation pour apprendre le HTML5 et CSS3, donc rien à voir dans le monde professionnel.
5) Mais la nouveauté est que peu de temps après, je ne voyais plus les processus "Svchost fantômes", et le parefeu ne pose pas de problème, et se lance bien au démarrage. Toutefois, l'îcone de Nvidia dans la barre de tâches ne se lance toujours pas.
6) J'ai décompressé le fichier 4d6....2014-11-25_162521. Notons que le fichier 0001000000000C1C_svcsstat.exe_sample n'est pas réapparu dans le fichier (qui avait été détecté par Avast).
J'ai
Le contenu du dossier Get This et le contenu du fichier ProcMon_19_06_2013_0_00_08_57.pml sera détaillé plus tard, pour ne pas alourdir la description.
Remarques:
a) Dans Le dossier Windows, il y a un dossier "lastGood", avec des fichiers de system32, si je me rapelle bien, dans le fichier "LastGood"
Pour les fichiers que j'ai pu voir, il y a une différence avec les certificats, par exemple pour les fichiers nvapi64.dll:
Pour deux même fichiers, les fichiers n'ont pas les mêmes signataires. Il y en a un dont le certificat est certainement usurpé (sûrement celui de gauche). En effet, dans c:\Windows\System32, le certificat signé soit disant par Symantec (voir le certificat racine), à droite, le certificat signé par Nvidia, dans c:\windows\LastGood
b) En utilisant un liveCD de malekal (celui de Windows 8), j'ai une erreur suivante au démarrage de ce liveCD, "La corbeille est endommagée, voulez-vous vider la corbeille? " , ou un message de ce type, car le message est en anglais. Même en vidant la corbeille, en redémarrant le LiveCD, le message d'erreur réapparaissait.
En redémarrant, J'ai utilisé ZHPFix pour supprimer les points de restauration, et d'autres fichiers, mais ca échoue:
c) le malware à l'air de buguer, car il laisse des "traces" , qui sont corrigées ensuite si une connexion internet est présente.
Par exemple, en regardant l'image suivante, j'avais pensé à une connection à un serveur distant ou à un serveur local (via le disque dur de mon routeur), mais je ne sais pas.
Je rajoute que les fichiers que avast avait trouvé dans c:\users\asus\appdata\roaming\notepad++\Backup, qui sont restés longtemps dans ce dossier ont tout simplement disparu.
d) J'avais un dualboot linux\Windows, je ne pouvais plus accéder au dossier Windows via linux, alors qu'auparavant je pouvais le faire, et ceci même en désactivant fastboot dans l'UEFI, et même en vérifiant les actions dans le panneau de configuration, concernant la gestion de l'alimentation.
Or c'est le comportement typique que Windows n'est pas éteint complètement, comme si il était en veille hybride pour que l'ordinateur démarre plus rapidement.
A un moment, quand j'utilisais ZHPDiag, je ne pouvais plus lancer le raccourci, alors que je pouvais l'utiliser sans problème auparavant. J'ai donc renommé le fichier original lié au raccourci.
Enfin, en faisant une analyse avec MBAM, j'ai eu un message (pendant la phase de l'analyse de rootkit), indiquant qu'il y avait quelque chose n'allait pas, mais il n'arrivait pas à le détecter, mais je ne me rappelle plus du le message exact.
Désinfection ?
1) J'ai sauvegardé mes données et j'ai désinstallé le plus de programmes possibles et j'ai supprimé des fichiers pour avoir assez de place pour sauvegarder les partitions
2) J'ai voulu sauvegarder les partitions en réduisant la partition principale avec un espace disponible minimal, bien que j'ai supprimé aussi la partition Linux
En réduisant l'espace (avec gparted ou diskmgmt, je ne sais plus) , j'ai eu une alerte de Nvidia, et l'îcone de Nvidia est réapparue dans la barre de tâche.
J'avais cru que c'était une fausse mise à jour de Nvidia. Je pense plutôt que Nvidia avait détecté que certains de ses fichiers étaient falsifiés. De plus, Windows update s'est lancé, et a fait des mises à jour (peu de mises à jour, deux optionnelles si je me rappelle bien, dont l'un concernant une mise à jour de skype.
3) dans la barre de tâches, un programme fort utile, appelé fsutils , a fait une analyse du disque pour réparer la partition et a récupéré une partition de 1Mo. Je n'ai pas sauvegardé cette partition, j'ai juste sauvegardé un fichier, et quand j'y pense maintenant, c'était vraiment insensé de ma part, j'aurai du tout sauvegarder.
En revanche, en allant dans le gestionnaire de tâches, onglet "démarrage", je vois un nom spécial, grisé, non désactivable, non supprimable, non supprimable. Quasiment la même chose lorsque j'avais réinstallé Windows en novembre 2014, mais qui concernait "MSASCuiL", je ne pouvais pas le désactiver (il n'était pas cependant pas grisé).
Intrigué, je recherche le terme via un liveCD de Kaspersky, et en recherchant ce terme, je vois le nom en question, qui n'a rien n'a faire ici.
C'est pour cela que je ne pouvais pas supprimer cette tâche, parce qu'à part des lignes de l'attaquant MAJUSCULE, qui écrit qu'en majuscule, j'avais eu l'idée de supprimer les tâches suivantes:
Afficher la pièce jointe 18128
Code:
~ Rapport de ZHPDiag v2015.3.23.32 - Nicolas Coolman (23/03/2015)
~ Lancé par alexandre (26/03/2015 11:24:50)
~ Facebook : https://www.facebook.com/nicolascoolman1
~ Adresse du Forum http://forum.nicolascoolman.fr
~ Traduit par Nicolas Coolman
~ Etat de la version : Version à jour.
~ Liste blanche : Désactivée par l'utilisateur
~ Elévation des Privilèges : OK
~ User Account Control (UAC): Activate by user
---\\ Navigateurs Internet
MSIE: Internet Explorer v11.0.9600.17690
MFIE: Mozilla Firefox 35.0 (Defaut)
---\\ Informations sur les produits Windows
~ Langage: Français
Windows Server License Manager Script : OK
~ Windows(R) Operating System, RETAIL channel
Windows ID Activation : OK
~ Windows Partial Key : Y97Q7
Windows License : OK
~ Windows Remaining Initializations Number : 5
Software Protection Service (Protection logicielle) : OK
Windows Automatic Updates : OK
Windows Activation Technologies : OK
Windows Embedded 8.1 Industry Pro, 64-bit (Build 9600)
---\\ Logiciels de protection du système
Avast Free Antivirus v10.2.2215
COMODO Firewall v8.1.0.4426
Malwarebytes Anti-Malware version 2.1.4.1018
ESET Online Scanner v3
[...]
MD5.60B504489A8CFCDCDF75F9A626E78599] [APT] [avast! Emergency Update] (.Avast Software s.r.o..) -- C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [1131280]
[MD5.A75228DE9117A017BC7A3B44953B2648] [APT] [CCleanerSkipUAC] (.Piriform Ltd.) -- C:\Program Files\CCleaner\CCleaner.exe [5529880]
[MD5.5DADB84EBBF4EEA44777BE8F9D274B9C] [APT] [{31DDBD37-5DB7-4030-8064-10B0CAA806C3}] (.COMODO.) -- C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [1297624]
[MD5.5DADB84EBBF4EEA44777BE8F9D274B9C] [APT] [COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10}] (.COMODO.) -- C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [1297624]
[MD5.164A0ECFBAD153FA541B24310743A5A6] [APT] [COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59}] (.COMODO.) -- C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [5404888]
[MD5.164A0ECFBAD153FA541B24310743A5A6] [APT] [COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}] (.COMODO.) -- C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [5404888]
~ Scheduled Task: 10 Scanned in 00mn 11sLa ligne infectieuse où un élément est lié à Regin\Grayfish, c'est la ligne ci-dessous.
Code:
MD5.164A0ECFBAD153FA541B24310743A5A6] [APT] [COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59}] (.COMODO.) -- C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [5404888]Ayant peur que ce soit une faille de Comodo, je n'ai pas montré plus, Je vais avertir comodo afin de donner la chance à comodo de corriger sa faille, et effectivement, c'est une faille de comodo. Je remercie Comodo de leur IDS basé sur l'hôte et le réseau de m'avoir signalé les anomalies.
4) J'ai encore plus réduit Windows avec un liveCD Gparted, mais j'avais un BSOD. Comme j'en avais assez avec cette infection, j'ai supprimé toutes les partitions.
5) J'ai remis le routeur aux paramètres usine, et j'ai enlevé le disque dur du routeur.
6) J'ai réinstallé Windows via les dvd de restauration d'asus.
Une fois Windows installé, j'ai voulu mettre à jour les pilotes de nvidia, une fois le programme de nvidia lancé, j'ai trois processus "svchost fantômes" qui sont apparus. Je ne sais pas si c'était toujours dû à l'infection, peut-être est ce dû aussi à l'installation des pilotes.
7) Pris de panique, j'ai supprimé les données du disque dur et du SSD en remplissant ces derniers par des 0.
J'ai remplacé le MBR du disque dur par un MBR standard de Windows et flashé le firmware du "bios uefi". je n'ai pas réinstallé de système de fichier pour le SSD.
8) J'ai réinstallé windows dans une petite partition , et installé le reste avec une distribution Linux. Aujourd'hui, je n'utilise que Windows pour une machine virtuelle.
A l'heure d'aujourd'hui, je pense que je ne suis plus infecté, mais je n'en suis pas certain, par exemple, il existe un module appelé GrayFish qui flashe les disques dur, et impossible pour ma part de vérifier si c'est le cas.
Conclusion
1) Mais comment se malware se cachait aussi bien ?
Pour mon cas, ll se cache très bien parce que GRAYFISH, qui est aussi une version 32 bits d’après la description des papiers blancs de Regin de la part de Symantec, cache Regin 64 bits
De plus, pour mon cas, GRAYFISH, qui est aussi une version 32 bits d’après la description des papiers blancs de Regin de la part de Symantec, ressemble aussi à WHITE LAMBERT de Kaspersky.
De plus BlackLambert est aussi détecté, via une capture réseau se lançant dans une VM, qui ressemble à une machine se lancant dans une VM de qemu, où un trojan banker, d'origine brésilienne est détecté, se cachant derrière un trafic réseau de type Zeus, mais qui ne correspond à aucun CLSID des cartes réseaux présentes dans les rapports de diagnostics, mais néanmoins semble utiliser une VM de virtualbox.
Ainsi, si Regin et GRAYFISH n'étaient pas détectées, un analyste aurait pensé que ZeusVM ou une de ses variantes serait présente.
Ils utilisent la virtualisation et la containérisation pour se cacher.
Le point faible de GRAYFISH\REGIN 32 bits est qu'il est doit être actif pour cacher Regin 64 bits, à ce seul moment, il est détectable.
L'infection est persistance. Bien qu'il existe du code non standard à la fin d'un disque dur externe, deux messages d'erreurs étaient toujours présent, même sans brancher de clés USB ni de disque dur externes.
Néanmoins, vu les revers qu'ils ont pris par la suite lors de leurs provocations, ils ont dû supprimer l'infection, sûrement suite à ces deux événements, que j'appelle BADNEIGHBOR (méchant voisin):
lire ce post: HELP ! - Partition en raw après clonage
==> En regardant cet article, je vais répondre à la question de l'auteur de ce blog:
GrayFish rootkit analysis
Earlier in this year, I published research of the rootkit that belong to famous state-sponsored cybergroup called "Equation Group" . Analyz...
artemonsecurity.blogspot.com
En guise de conclusion, il mentionne:
Code:
GrayFish rootkit looks really strange...beginning from its initialization and finishing its objectives. If we run rootkit driver on machine and next scan it with various anti-rootkits, we will see no suspicious activity. This means that by default rootkit sets no hooks on Windows kernel functions like other rootkits. The rootkit also not registers any callback functions, for example, on process creation or modules loading.
Unlike other civilian and state-sponsored rootkits, GrayFish doesn't explore Windows kernel mode to monitor system's activity or hiding files on disk. At the same time it contains the code for patching Windows kernel functions. This code can be activated later.Il patche probablement la carte réseau.
Ils utilisent la virtualisation et la containérisation pour se cacher.
Le point faible de GRAYFISH\REGIN 32 bits\WHITELAMBERT est qu'il est doit être actif pour cacher Regin 64 bits, à ce seul moment, il est détectable.
Le second point faible de GRAYFISH\REGIN est la ressemblance est troublante avec ZeroAccess, mais en fonction plus évoluée. Je pense que Regin est le papa de ZeroAccess, et non le contraire. Les versions diffusées de ZeroAccess coincident avec celle de Regin.
a_1) Comme le nom du malware l'indique, ce dernier se cache dans la base de registre, c'est sûrement à cause de cela que je ne pouvais pas voir l'origine de processus "svchost fantômes", dans le registre. Ce malware stocke aussi ses outils dans un conteneurs, via son propre système de fichiers, appelé EVFS (encrypted Virtual File Sytem), et qui est visible aux yeux de Windows d'un simple fichier, ce processus pouvait se cacher dans ce système de fichier.
a_2) En étudiant gpg pour apprendre à chiffrer les mails, je me suis rendu compte que l'on peut créer un certificat pour signer des fichiers.
Or Windows veut que les pilotes\drivers soient signés (sinon il faut désactiver la signature des pilotes pour installer un driver\pilote non signé).
Je pense fortement que les assaillants ont volé des certificats pour signer et installer des drivers\pilotes signés. C'est l'hypothèque la plus probable concernant le problème des fichiers ayant un problème de certificats
Il faut maintenant trouver les pilotes\drivers frauduleux, via les logiciels de diagnostics, et autres éléments sauvegardés, si c'est possible et si c'est le cas.
Cette hypothèse est fort probable,car en me renseignant sur stuxnet, un malware pour saboter des centrifugences en Iran , des certificats ont été volé dans deux sociétés, JMicron et Realtek,bien que ces certificats ont été révoqué par Verisign.
b) J'avais pensé à une machine virtuelle chiffrée à un moment pour que le malware se cache, puisqu'il est bizarre qu'il y ait peu de trace. Néanmoins, J'ai des machines virtuelles sous virtualbox, car en capturant des trames réseaux, je voyais des adresses IP locales d'une machine virtuelle, ainsi que les adresses MAC. Je me dit maintenant que c'était peut-être dû au fait que j'ai testé les trames réseaux avec un VPN. J'ai pris d'autres trames réseaux, où je n'ai pas observé ce phénomène. Néanmoins, je voyais que les paquets d'avast étaient bloqués. De plus, la date de certains paquets était de 2014. Comme j'ai appris plus tard que Regin sous propre système de fichier (EVSF), il était bien caché.
2) Deux fois, à des moments différents, mon téléphone portable se déchargeait très rapidement. De plus, bien que le réseau était fonctionnel, mes correspondants n'arrivaient pas à me joindre. En redémarrant le téléphone, je recevais une notification des appels manqués, et les SMS qui avaient été envoyés pendant la période où mon portable se déchargeait très rapidement.
3) J'ai récemment branché le disque dur à la box, et j'avais une vidéo enregistrée stockée sur ce disque dur. Une fois la vidéo supprimée, la moitié de l'espace de ce disque dur était encore rempli, bien qu'aucune donnée ne semblait présente. En formatant le disque dur, le disque est maintenant"vide".
Je vais acheter un adaptateur USB\SATA pour voir ce que cela donne.
4) Le seul souci est que je formate mon disque dur souvent. Or en fiant à la date du dossier compressé, si elle est exacte, ce dernier serait apparu environ un mois après le formatage de ce disque dur, (le formatage s'est effectué fin octobre 2014) . Ainsi, via un réalisme naïf, je pourrai croire que ca ne soit pas lié à une période antérieure .
En effet, j'aurai pu être infecté avant le formatage, et le programme aurait bien pu être stocké dans le disque dur du routeur. Bien que je vaccine les clés USB pour éviter les infections via les médias amovibles, j'ai pu attrapé cela par une clé USB, ce n'est pas exclu.
A part cela, aujourd'hui, je me demande comment j'ai attrapé ce malware.
- Soit le disque dur était biaisé un firmare infectieux (voir grayfish ), ce qui est une possibilité, car en effectuant un scan avec aswMBR, ce programme plantait, peu de temps que j'avais acheté l'ordinateur (3 mois après l'achat).
A l'époque, je m'étais dit que la cause est que j'avais un UEFI avec secureboot activé, et que cela faisait planter le programme, bien qu'aujourd'hui le programme ne plante pas et soit bien fonctionnel, il faut plus d'investigations. - Soit par un mail piégé et personnalisé, et spécialement conçu pour que je sois infecté.C'est très probable
- Soit par une page web infectieuse, ce qui est très probable aussi
- Soit par une personne extérieure, qui est venu chez moi.
En effet, c'était à la période où j'étudiais dans un master pro dans un des fleurons francais:
- Enérgie
- Nanotechnologies
- Aéronotique
- Recherche
- ...
6) Une de mes plus grandes erreurs est d'avoir laissé activé l'architecture les services liés aux partage de fichier. Un moment, j'avais utilisé un programme pour remettre les services Windows par défaut. Bien qu'il me semble que j'ai désactivé certains services, lors de la découverte de cette porte dérobée, il y avait des services désactivés qui ont été réactivés. Mais comme je ne suis pas sûr, je prends pour argent comptant le fait que je n'ai pas désactivé ces services.
7) Une énigme est encore présente, quand je lis l'un des fichiers: le contenu de GetThis.csv
Code:
"FullName","SampleName","SizeInBytes","MD5","SHA-1",
"c:\Windows\System32\svcsstat.exe","0001000000000C1C_svcsstat.exe_sample",12160,66AFAA303E13FAA4913EAAD50F7237EA,5164EDC1D54F10B7CB00A266A1B52C623AB005E2
"d:\Ex2k10Toolbox\Track7045\osi7045.txt","01E70000000001E6_osi7045.txt_sample",19,0B26E313ED4A7CA6904B0E9369E5B957,91B7B0B1E27BFBF7BC646946F35FA972C47C2D32Enfin, il ne faut pas prendre pour argent comptant dans l'analyse que je fais, je ne suis pas un spécialiste dans le domaine de la sécurité informatique. De plus, j'ai encore beaucoup de choses à analyser, comme les trames réseaux que j'ai capturées, et les logs de diagnostics. Du peu que je connais, il y a des choses qui ont l'air intéressants, comme des paquets qui font référence à Chuck Norris (Chuck Norris can drown a fich, Chuck Norris can divise by zero), et renseignement pris, ca rappelle à un bot IRC qui se propagait via des failles de certains routeurs)
Mais il ne faut pas publier que Regin touche aussi les particuliers, et je suis certain qu'il y a plus de personnes qui sont touchées que l'on croit, mais qui ne savent pas qu'elles sont espionnées. Ce genre d'A.T.P est concu pour la majorité sous Windows, et au fil des ans, de plus en plus d'A.T.P sont découvertes. Cela risquera de se developper encore plus dans l'avenir, surtout que c'est le début de l'ère des objets connectés.
Pièces jointes
Dernière édition par un modérateur:
