Alerte sécurité HermeticWiper & CaddyWiper : la réponse des produits Stormshield

HermeticWiper & CaddyWiper : quelles protections avec les solutions Stormshield ?

L’Ukraine est actuellement au cœur d’une véritable cyber-guerre. Après plusieurs séries de DDoS visant les sites du gouvernement et les banques, les organes gouvernementaux ukrainiens (dans leur ensemble) sont à leur tour dans la ligne de mire d’attaques malveillantes. Et après les DDoS, ces cyberattaques embarquent un malware dévastateur : HermeticWiper. Le point sur une vulnérabilité critique, à l’intérieur d’une situation géopolitique inédite, avec l’équipe Stormshield Customer Security Lab.

EDIT : article mis à jour le 18 mars 2022 pour décrire les nouvelles souches CaddyWiper récemment découvertes (en fin d'article).

 

Le contexte de l’attaque

Le 23 février, les équipes de recherche de l’entreprise Eset annonçaient avoir découvert un nouveau malware d’effacement de données dans une publication sur Twitter. Surnommé HermeticWiper (un variant de KillDisk.NCV, désoamis nommé Win32/HermeticWiper.a), il serait actuellement utilisé contre les différents organes gouvernementaux ukrainiens, comme le ministère des affaires étrangères, les cabinets des ministres, ou encore le Parlement (le Rada). La question de l’attribution officielle de l’attaque est encore en ce moment en débat, même si la situation géopolitique actuelle et la présence d’un groupe APT lié au pays semblent désigner la Russie.

Ce malware, visiblement diffusé par GPO et visant donc une compromission du système informatique de la victime, détourne un driver légitime de partitionnement de disque pour corrompre les partitions du système, entrainant la perte des données d’une machine (serveur ou poste de travail). L’objectif de l’attaque est clair et unique : la destruction des données. D’où le nom attribué au malware (« wiper » en anglais se traduit par « effacer »).

 

Les détails techniques du malware

À ce jour deux variantes de ce malware sont connues :

  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
  • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da

 

Une analyse approfondie du malware nous montre que ce wiper est signé par l'entreprise "Hermetica Digital Ltd" à travers l’autorité root Digicert. Le certificat a été révoqué dans l’après-midi du 24 février 2022.

Illustration 1 : le certificat signant le malware est valide bien que révoqué

Le malware n’a pas été retouché post compilation pour rendre son analyse difficile. En ce sens, il n’est pas compacté (packé) et les chaînes de caractères apparaissent en clair.

Autre élément intéressant dans cette analyse, une ancienne version aurait été compilée (d’après les métadonnées du programme), le 28 décembre 2021. Un signe que l’action est préméditée de longue date :

Illustration 2 : dates de création du binaire selon les métadonnées qu'il embarque

Au niveau du fonctionnement, lorsque le malware débute son exécution, il vient puiser dans la section de ses ressources embarquées pour extraire l’un des quatre drivers suivants :

Illustration 3 : les quatre drivers embarqués dans le malware

Ces drivers correspondent aux systèmes Windows 7/8/10/11 et XP et sont disponibles à la fois en 32 bits et 64 bits. On peut voir grâce à la signature SZDD qu’ils sont compressés à l’aide de l’algorithme LZSS (ancien format de compression historiquement utilisé par Microsoft depuis Windows 3.x, par des utilitaires tels COMPRESS.EXE). Cela explique d’ailleurs la dépendance du malware à LZ32.DLL.

Illustration 4 : décodage d’un driver

L’extraction des fichiers est donc simple :

Driver SHA-256
XP 32 bits 2C7732DA3DCFC82F60F063F2EC9FA09F9D38D5CFBE80C850DED44DE43BDB666D
XP 64 bits 23EF301DDBA39BB00F0819D2061C9C14D17DC30F780A945920A51BC3BA0198A4
Vista+ 32 bits 8C614CF476F871274AA06153224E8F7354BF5E23E6853358591BF35A381FB75B
Vista+ 64 bits 96B77284744F8761C4F2558388E0AEE2140618B484FF53FA8B222B340D2A9C84

Illustration 5 : empreinte SHA-256 des drivers extraits

 

Ces drivers sont ceux qu’on retrouve dans le logiciel de gestion de partitions « EaseUS Partitionning » a minima en version 9.2.1. Ils sont signés et légitimes, mais le certificat est expiré et le timestamp n’est pas conforme.

Illustration 6 : signature des drivers

Le bon driver à charger est sélectionné afin de correspondre au système d’exploitation de la machine hôte. Par la suite, le malware ouvre un canal de communication vers le driver \\.\EPMNTDRV\ et les écriture disque se font au travers de ce moyen. Ce driver est idéal, à la fois pour contourner les solutions de sécurité user-land et aussi pour écraser des zones du disque correspondant à des volumes montés et utilisés par Windows.

Lors de l’analyse du malware, il a été constaté que le malware n’altère pas le MBR (donc conserve la table des partitions). En revanche, il altère les premiers secteurs des partitions FAT/FAT32/NTFS de chaque disque. La conséquence est que le système ne démarre plus pour cause de corruption des partitions.

Illustration 7 :  système corrompu ne redémarrant plus

Ici, le message affiché provient de la gestion d’erreur du MBR qui est resté intact :

Illustration 8 : MBR resté intact sachant afficher un message en cas d’erreur de localisation des partitions d’amorce

Un examen des premiers secteurs des partitions permet de constater la corruption :

Illustration 9 : à gauche, la partition FAT32 saine, et à droite, la partition FAT32 corrompue

Illustration 10 : à gauche, la partition NTFS saine et, à droite la partition NTFS corrompue

Lors de l’analyse, nous avons constaté que les deux premiers secteurs étaient écrasés pour les partitions FAT32 alors que bien plus de secteurs le sont pour les partitions NTFS. Spécificité NTFS : le malware cible des fichiers particuliers pour que la récupération de données devienne alors très difficile.

Illustration 11 : fichier spéciaux NTFS recherchés par le malware

Systèmes ciblés

Ce malware s’attaque aux systèmes Windows XP, Vista, Seven, 10 et 11, à la fois 32 bits et 64 bits, quel que soit le langage du système.

Autres informations

Signatures numériques

A la fois pour le malware et pour les drivers, l’algorithme d’empreinte numérique utilisé est SHA-1. Pour rappel, cet algorithme d’une puissance de 160 bits est déprécié depuis plusieurs années déjà. Ceci étant, en raison de compatibilité avec les anciens logiciels, il reste toléré dans certains cas.

Droits administrateurs

Ce malware nécessite absolument des droits administrateurs afin de pouvoir déposer le driver et le charger. Cela n’est pas un problème puisque dans le vecteur d’attaque constaté, le déploiement du malware était fait au travers de GPO (donc avec des droits suffisamment élevés).

Délai d’exécution

Le malware effectue ses actions malveillantes très peu de temps après avoir démarré. Ainsi, dès que son activité CPU tombe à 0%, le système est déjà corrompu. La vie normale de Windows entrainera fatalement un problème dans les secondes ou minutes à venir.

À noter que le malware ne se termine pas après avoir corrompu un système, son processus reste actif mais ne fait rien. Peut-être est-il en attente de disques amovibles branchés pour les corrompre à leur tour.

Redémarrage

Le malware ne demande pas un redémarrage immédiat de la machine après corruption des partitions. En revanche, le système d’exploitation peut paniquer suite à la corruption en direct du système de fichiers le faisant vivre. Les raisons immédiates de la panique sont multiples mais ce qui est sûr est que lorsque le kernel de Windows panique, la suite est un BSOD avec potentiellement redémarrage forcé selon le paramétrage.

Illustration 12 : un noyau Windows corrompu par le wiping de disque

Désactivation des crash dumps

Le malware reconfigure le système pour ne pas générer de crashdump suite à BSOD. Il fait cela en écrivant la valeur 0 dans cet emplacement registre :

Illustration 13 : référence au paramètre registre de désactivation des crash-dumps de noyau

Divers

  • Le service VSS est recherché et stoppé par le malware.
  • Certains paramètres d’affichage des fichiers dans l’explorateur de fichiers sont altérés : ShowCompColor (utilisé pour repérer les fichiers compressés via la couleur bleue) et ShowInfoTip (utilisé pour l’affichage d’info bulles)

Illustration 14 : référence aux paramètres registre de l’explorateur de fichiers

 

Les moyens de protection fournis par Stormshield

Stormshield Network Security

La solution Breach Fighter, sandboxing SaaS complémentaire de la solution Stormshield Network Security (SNS), détecte tous les malwares de type HermeticWiper.

Lors du passage d’un fichier sur le flux concerné, SNS va réaliser un hash de celui-ci et contrôler son innocuité auprès de Breach Fighter (en cas de fichier inconnu, il sera envoyé sur notre environnement de détonation Cloud). Il sera par conséquent immédiatement bloqué.

Pour que cette détection soit efficace, il faut :

  • avoir la license Premium Security Pack et l’option Breach Fighter
  • activer le sandboxing sur l’ensemble des flux transportant des fichiers (SMTP, HTTP, FTP)

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Stormshield Endpoint Security

SES v7.2

Le malware effaceur demande le privilège de chargement de pilote « SeLoadDriverPrivilege » pour démarrer le pilote EaseUS utilisé de manière malveillante. Ce comportement est détecté et bloqué par la solution SES (v7.2) grâce à la protection contre l’élévation de privilèges configurée sur « Haut » ou « Supérieur ». Sans ce pilote, le malware n’est plus en mesure de réaliser d’effacement de données sur le poste.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

SES Evolution

Un jeu de règle spécifique a été mis gratuitement à disposition des utilisateurs afin de contrer ce malware.

Concrètement, les processus dont la signature référence le certificat volé à « Hermetica Digital LTD » sont bloqués. Et quand bien même un variant utiliserait un autre certificat (ou pas de certificat du tout), les créations des fichiers de type « drivers » sont contrôlées et autorisées uniquement aux programmes Microsoft.

Veuillez bien noter que cette configuration restreint strictement le dépôt de drivers pour des programmes non Microsoft, pouvant donc entrainer de nombreux faux positif si l’administrateur ne prend pas garde. Cette règle est désactivée dans le jeu de règles fourni. Voici le log de la règle bloquante :

Illustration 15 : illustration de la règle de blocage

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

 


Addendum : nouvelle souche CaddyWiper découverte

Le 14 mars, les équipes de recherche de l’entreprise Eset annonçaient dans un tweet avoir observé un nouveau malware d’effacement de données ciblant les infrastructures ukrainiennes. Cette nouvelle souche, baptisé CaddyWiper, est identifié pour l’instant sur quatre fichiers et reprend le même objectif que son prédécesseur : rendre totalement inopérable les postes démarrant la souche.

Même si le but in fine est le même, la technique pour y arriver diffère entièrement : la souche CaddyWiper n’utilise plus le driver signé de l’outil EaseUS ni le certificat Hermetika ltd. Pour purger le poste, le malware commence par écraser les données de tous les répertoires utilisateurs sur tous les disques. Dans le cas où ces fichiers sont la propriété d’un autre utilisateur, il tente de se les approprier via le privilège SeTakeOwnershipPrivilege. Ensuite, il accède aux disques physiques via “\\.\PHYSICALDRIVEX”, efface les informations types MBR/GPT et altère les tables des partitions de chaque disque pour les rendre inopérants. Au prochain redémarrage du poste ou suite à un BSOD, le poste ne démarrera plus.

Fait remarquable sur ces quatre fichiers, un seul est signé par un certificat chinois, invalide car expiré :

Illustration 16 : le certificat signant le malware est expiré

Au niveau des produits Stormshield, la réponse des protections est immédiate :

Stormshield Network Security

Breach Fighter, solution de sandboxing SaaS complémentaire des firewalls SNS, détecte tous les malwares de type CaddyWiper.

Illustration 17 : illustration d’une analyse de Breach Fighter

Stormshield Endpoint Security

Que ce soit la version 7.2 ou la version Evolution, les deux produits bloquent dès la première action des malwares. En effet le malware déclenche directement la protection « HPP » ou « Execution Flow Hijack » des produits.

Illustration 18 : blocage d’une des souches par SES Evolution

IOC / Infos utiles

Sha256 :

  • a294620543334a721a2ae8eaaf9680a0786f4b9a216d75b55cfd28f39e9430ea
  • b66b179eac03afafdc69f62c207819eceecfbf994c9efa464fda0d2ba44fe2d7
  • ea6a416b320f32261da8dafcf2faf088924f99a3a84f7b43b964637ea87aef72
  • 1e87e9b5ee7597bdce796490f3ee09211df48ba1d11f6e2f5b255f05cc0ba176

Portail Breach Fighter :

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».

À propos de l'auteur

Cyril Cléaud
Ingénieur Cybersécurité, Stormshield

Enfant curieux, Cyril cherchait à comprendre comment utiliser le microprocesseur Motorola 68000 directement en code machine. Plus tard, passionné en sécurité informatique et en développements "proches de la machine", il raffole toujours autant des défis techniques. Surtout quand il s'agit de manipuler un désassembleur ou de se frotter aux dernières cyber-menaces. Après 12 ans de carrière dans une grande ESN française, il s'adonne désormais à ses activités favorites chez Stormshield pour proposer des réponses à ces menaces.