Actualités

OrBit : mise en lumière d’un malware sous Linux aux méthodes ou finalités avancées et persistantes !

L’équipe Intezer, dans un billet sécuritaire du 6 Juillet 2022, alerte grandement sur un tout nouveau malware : œuvrant essentiellement sous Linux, il utilise des méthodes audacieuses qui diffèrent d’un malware traditionnel, en multipliant les méthodologies d’instillation pour mieux s’instiller dans le système de la victime…

 

 

“Le malware utilise deux méthodes pour atteindre la persistance. La raison pour laquelle le logiciel malveillant utilise les deux méthodes est de rendre difficile la suppression du logiciel malveillant d’une machine infectée pendant son exécution. La première méthode ajoute le chemin vers le logiciel malveillant dans le fichier de configuration /etc/ld.so.preload. Cela indique au chargeur que le logiciel malveillant doit être chargé en premier et pour tous les nouveaux processus. Dans le cas où cette méthode est empêchée, par exemple en supprimant le fichier de configuration sur la machine infectée, le logiciel malveillant a sa deuxième méthode qui est réalisée en corrigeant le fichier binaire du chargeur […] Le logiciel malveillant met en œuvre des techniques d’évasion avancées et gagne en persistance sur la machine en accrochant des fonctions clés, fournit aux acteurs de la menace des capacités d’accès à distance via SSH, collecte les informations d’identification et enregistre les commandes TTY. Une fois le logiciel malveillant installé, il infectera tous les processus en cours d’exécution, y compris les nouveaux processus, qui s’exécutent sur la machine […] OrBit est maintenant un exemple de plus de la façon dont les nouveaux logiciels malveillants peuvent être évasifs et persistants“, est-il ainsi expliqué, en teneur condensée.

 

Côté PoC, les chercheurs ont exposés les éléments ou processus d’instillation suivants (résumé) :

 

  • Dropper : avant appel fct, copie-duplication des liens dynamiques (restauration, au besoin),
  • Dropper : préparation de la charge utile (avant installation) via fct patch_ID,
  • Dropper : création d’un ID de groupe unique (GID) exploité par la charge utile,
  • Dropper : copie de Python,
  • Installation de la charge utile par le dropper,
  • Installation d’OrBit en tant que module ou “avec des capacités de persistance”,
  • OrBit : 4 fichiers créées (logpam, sshpass, sshpass2, ports),
  • OrBit : fct (fopen, open, open64, openat) pour surveiller le réseau (dont ports),
  • Dropper : 2 fichiers créées (setreuid, execv),
  • Dropper : fct pour masquage-activité (execv),
  • Extraction de la charge utile (commandes) dans le dossier ciblé (mise à jour au besoin),
  • Enregistrement de la charge utile dans OrBit (fichier – .SO – partagé en stockage ou mémoire shim,
  • Fichier .SO : 3 bibliothèques modifiées (libc, libcap, pluggable authentication module ou PAM)
  • Bibliothèques modifiées permettant un masquage-activité, une collecte-données et un accès distant,
  • Installation d’une porte dérobée via Secure SHell (SSH) : ex-filtration de données-système + lecture-écriture dans le système.

 

Concernant le dernier point, l’une des finalités d’OrBit est l’installation d’une porte dérobée : “la porte dérobée accroche les fonctions de lecture et d’écriture pour enregistrer les données en cours d’écriture par les processus exécutés sur la machine. La porte dérobée vérifie le drapeau : sniff_ssh_session qui définit si tout appel à écrire sera enregistré ou uniquement les processus exécutés avec des sessions sudo ou ssh. Il semble que la fonctionnalité de l’indicateur ne reflète pas le flux réel de la fonction d’écriture – lorsque l’indicateur est défini sur false, la fonction accrochée vérifie si le processus a été exécuté avec sudo ou si le processus appelant est ssh et enregistre le tampon qui était transmis à la fonction d’écriture d’origine, les données sont stockées dans : MALWARE_FOLDER/sshpass2.txt. Sinon, lorsque l’indicateur est défini sur true, le tampon est enregistré dans MALWARE_FOLDER/sniff.txt sans vérification du nom du processus appelant. Une fois la fonction accrochée terminée, elle renverra la valeur de retour de l’appel de fonction d’origine“, est-il détaillé tout en soulignant que MALWARE_FOLDER fait référence au dossier d’installation d’OrBit, une fois, donc, que le malware est effectivement installé. Cette ex-filtration de données (chiffrement XOR) comprend les mots de passe sur le système avec, en variation dans le modus operandi général, un stockage de ces données dans un chemin spécifique avec différentes sources d’ex-filtration (“commandes et utilitaires“)… A veiller !

 

 

 

Source : Blog Intezer – 6 Juillet 2022 – OrBit : nouveau malware persistant et évasif sous Linux.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0