![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig12-1024x310.png\")
<\/p>\n<\/p>\n
Nos \u00e9quipes de s\u00e9curit\u00e9 ont constat\u00e9 courant septembre un pic d\u2019attaques men\u00e9es \u00e0 l\u2019aide du malware Ursnif. Les communications d\u2019autres acteurs de la cybers\u00e9curit\u00e9 font \u00e9tat de plus de 2\u00a0000 soci\u00e9t\u00e9s italiennes, cibl\u00e9es \u00e0 travers une vingtaine de campagnes \u00e0 ce jour. Retrouvez ici une analyse du dropper d\u2019Ursnif et des protections Stormshield.<\/strong><\/p>\n <\/p>\n Aux origines de ce stealer<\/em>, on retrouve le groupe TA544. Cet acteur cyber-criminel distribue des logiciels malveillants bancaires et d'autres malwares dans diverses r\u00e9gions (particuli\u00e8rement en Allemagne, Espagne et Pologne \u2013 en plus de l\u2019Italie). Le malware Ursnif est \u00e9galement connu sous le nom de Gozi et a pour objectif de d\u00e9rober des informations bancaires sur les ordinateurs cibl\u00e9s, comme par exemple des donn\u00e9es de cartes de cr\u00e9dit. Ce malware n\u2019en est pas \u00e0 son coup d\u2019essai, puisqu\u2019il existe depuis 2007 et \u00e9volue depuis lors.<\/p>\n Dans ce document, nous vous proposons une analyse du dropper d\u2019Ursnif et des protections Stormshield contre le dropper et le payload du malware<\/strong>.<\/p>\n <\/p>\n Comme bien trop souvent, \u00e0 l\u2019origine de l\u2019infection nous retrouvons une campagne de phishing cibl\u00e9e, coupl\u00e9e \u00e0 de l\u2019ing\u00e9nierie sociale. Le but recherch\u00e9 est que des victimes t\u00e9l\u00e9chargent un document Excel, qui servira de programme d\u2019installation et d\u00e9tonera le malware \u00e0 proprement parler.<\/p>\n Nous le verrons par la suite : le document n\u00e9cessite express\u00e9ment une version italienne de Microsoft Office ainsi que des param\u00e8tres r\u00e9gionaux italiens<\/strong>.<\/p>\n <\/p>\n Le document initial est un document Excel au format 97\/2003 nomm\u00e9 \u00ab 2021_DDT_0008606.xls<\/em> \u00bb<\/strong> et portant l\u2019empreinte num\u00e9rique SHA-256 suivante \u00ab 14a748a512469ac740b93fda94f95dc9 051b2029621bbd72b431338d13448c4c<\/em> \u00bb<\/strong>.<\/p>\n L\u2019ex\u00e9cution de ce maldoc se fait en plusieurs \u00e9tapes dont la derni\u00e8re correspond au t\u00e9l\u00e9chargement du malware sous forme de fichier \u00ab .dll<\/em> \u00bb, qui se chargera de voler les informations bancaires.<\/p>\n Il est \u00e0 noter que l\u2019attaque est fortement cibl\u00e9e et impossible \u00e0 reproduire pour les postes non-italien, ce qui rend la d\u00e9tection par certaines solutions de sandboxing ou d\u2019antivirus difficile. Par ailleurs, le serveur Web d\u00e9livrant la seconde partie de l\u2019attaque est en capacit\u00e9 de savoir qui se connecte et peut choisir de faire varier le contenu en fonction de l\u2019adresse IP qui se pr\u00e9sente \u00e0 lui.<\/p>\n Le document Excel ne pr\u00e9sente qu\u2019une seule feuille, n\u2019affiche pas le quadrillage et n\u2019ex\u00e9cute pas de macro automatiquement. \u00c0 premi\u00e8re vue, le document pr\u00e9sente une facture dont le niveau de zoom est tr\u00e8s fortement diminu\u00e9 :<\/p>\n Fig. 1 : aper\u00e7u du fichier<\/p><\/div>\n L\u2019utilisateur lambda ne remarquera pas que la cellule G122 contient de longues informations textuelles \u00e9crites en blanc sur fond blanc. Pourtant, c\u2019est l\u00e0 le point de d\u00e9marrage du maldoc :<\/p>\n Fig. 2 : contenu de la cellule G122<\/p><\/div>\n L\u2019utilisateur aura pour r\u00e9flexe de cliquer sur les informations visibles du document. Il s\u2019agit d\u2019une image et le clic est un d\u00e9clencheur qui viendra ex\u00e9cuter une macro :<\/p>\n Fig. 3 : ex\u00e9cution de la macro<\/p><\/div>\n Les cyber-attaquants ont pr\u00e9par\u00e9 le document de telle sorte qu\u2019Excel ne puisse pas afficher les macros :<\/p>\n Fig. 4 : macro illisible<\/p><\/div>\n En effet, un document Excel contient \u00e0 la fois les macros lisibles par un humain et un \u00e9quivalent compil\u00e9 pour ex\u00e9cution rapide. Ici, les attaquants ont volontairement corrompu la zone correspondant \u00e0 ce qui serait lisible par un humain. De fait, Excel ne peut pas afficher le code des macros.<\/p>\n Fait int\u00e9ressant : si le fichier venait \u00e0 \u00eatre enregistr\u00e9 sous un autre nom, dans la mesure o\u00f9 le code des macros n\u2019a pas \u00e9t\u00e9 modifi\u00e9, Excel va simplement copier les blocs de donn\u00e9es \u00ab en l\u2019\u00e9tat \u00bb dans le nouveau document, c\u2019est-\u00e0-dire en conservant la corruption.<\/p>\n L\u2019extraction du code des macros compil\u00e9 laisse apparaitre plusieurs fonctions de brouillage du code VBA, mais surtout deux fonctions utilis\u00e9es pour d\u00e9chiffrer le texte de la cellule G122 :<\/p>\n Fig. 5 : portions de code des macros<\/p><\/div>\n Le code utilise d\u2019autres fonctions qui travaillent dans une feuille sp\u00e9ciale de type macro pour Excel 4.0. Celle-ci se charge d\u2019\u00e9crire des fonctions de macro Excel 4.0 dans une cellule :<\/p>\n Fig. 6 : \u00e9criture d\u2019une formule dans le fichier Excel<\/p><\/div>\n Tandis que celle-ci vient lancer l\u2019ex\u00e9cution de la formule :<\/p>\n Fig. 7 : lancement d\u2019une formule<\/p><\/div>\n Ensuite, le maldoc lit la cellule G122, la d\u00e9chiffre et g\u00e9n\u00e8re une liste de formule :<\/p>\n Fig. 8 : formules g\u00e9n\u00e9r\u00e9es<\/p><\/div>\n C\u2019est ici que les choses deviennent int\u00e9ressantes : Excel a la particularit\u00e9 de faire varier le nom des formules avec la langue utilis\u00e9e sur l\u2019ordinateur. Ainsi, \u00e0 moins de disposer d\u2019une installation MS Office italienne, l\u2019ex\u00e9cution du maldoc s\u2019arr\u00eatera ici pour raison d\u2019appel \u00e0 fonction non existante dans une autre langue<\/strong> :<\/p>\n Fig. 9 : non-ex\u00e9cution d\u2019une formule en italien<\/p><\/div>\n La suite est plut\u00f4t simple : ex\u00e9cuter les formules de macro Excel 4.0 une \u00e0 une. Les donn\u00e9es sont encore brouill\u00e9es mais il ressort des \u00e9l\u00e9ments :<\/p>\n Fig. 10 : contenu brut des formules<\/p><\/div>\n Ci-dessous l\u2019\u00e9quivalent des formules en anglais et reconstruites pour \u00eatre lisibles :<\/p>\n Fig. 11 : contenu des formules rendues plus lisibles<\/p><\/div>\n La suite de l\u2019infection devient \u00e9vidente :<\/p>\n \u00c0 ce moment-l\u00e0, le payload de type ransomware ou stealer (dans le cas d\u2019Ursnif) est charg\u00e9 et ex\u00e9cut\u00e9 avec les droits de Microsoft Excel. Le poste de la victime est alors corrompu.<\/p>\n <\/p>\n Cette attaque \u00e9tant bas\u00e9e sur des fichiers .excel et des .dll, SNS peut prot\u00e9ger gr\u00e2ce \u00e0 la solution de sandboxing disponible dans la licence Premium Security Pack, Breach Fighter<\/strong>. Le premier fichier est ainsi transmis \u00e0 nos serveurs d\u2019analyse et classifi\u00e9 comme dangereux :<\/p>\n Fig. 12 : d\u00e9tection par Breach Fighter<\/p><\/div>\n La premi\u00e8re d\u00e9tection de cette version du dropper sur nos serveurs a eu lieu fin septembre. Le firewall SNS bloque alors les fichiers suivants chez tous nos clients, tandis que le \u00ab patient z\u00e9ro \u00bb devra \u00eatre trait\u00e9 suite au log d\u2019alerte transmis par le firewall. La configuration de Breach Fighter doit \u00eatre en \u00ab suspect \u00bb :<\/p>\n Fig. 13 : configuration Breach Fighter sur SNS<\/p><\/div>\n Afin que l\u2019analyse soit r\u00e9alis\u00e9e sur les flux mail et les flux web, le mode proxy doit \u00eatre activ\u00e9 avec le d\u00e9chiffrement SSL pour les flux chiffr\u00e9s.<\/p>\n Indice de confiance de la protection propos\u00e9e par Stormshield<\/p>\n Indice de confiance de l\u2019absence de faux positif<\/p>\n Dans cette attaque, il existe deux fichiers : le maldoc \u00ab 14a748a512469ac740b93fda94f95dc9051b2029621bbd72b431338d13448c4c<\/em><\/strong> \u00bb et le malware Ursnif \u00ab 0c1d347f614bcd43d9628debcc924b3c3276e5fb2ff9307aeeeef2a7920ace25<\/em><\/strong> \u00bb.<\/p>\n Ce paragraphe montre comment la solution SES r\u00e9agit en pr\u00e9sence de ces deux fichiers, avec la protection par d\u00e9faut pr\u00e9sente dans la version 2.1.x.<\/p>\n S\u2019agissant d\u2019une ex\u00e9cution normale d\u2019un fichier Excel, la solution SES laisse bien le document s\u2019ouvrir et d\u00e9chiffrer ses informations. Par contre, au moment de la tentative de chargement du fichier \u00ab .dll \u00bb t\u00e9l\u00e9charg\u00e9, un blocage apparait :<\/p>\n Fig. 14 : log de blocage du fichier .excel par SES<\/p><\/div>\n SES r\u00e9ussit bien \u00e0 isoler et bloquer le comportement malveillant du maldoc et prot\u00e9ger le poste de l\u2019utilisateur et sa soci\u00e9t\u00e9.<\/p>\n Techniquement, la cha\u00eene de l\u2019attaque est termin\u00e9e plus haut. Mais pour \u00eatre exhaustif, SES prot\u00e8ge \u00e9galement l\u2019utilisateur lors du d\u00e9marrage du fichier \u00ab .dll \u00bb malveillant :<\/p>\n Fig. 15 : log de blocage du .dll par SES<\/p><\/div>\n L\u2019action est bloqu\u00e9e par SES qui attribue alors un haut niveau de risque de s\u00e9curit\u00e9 au processus h\u00f4te.<\/p>\n Fig. 16 : score attribu\u00e9 au fichier<\/p><\/div>\n La solution SES a r\u00e9ussi \u00e0 bloquer les actions malveillantes sans n\u00e9cessiter de protection compl\u00e9mentaire, la politique par d\u00e9faut apportant d\u00e9j\u00e0 la protection souhait\u00e9e contre l\u2019acteur TA544 et son malware.<\/p>\n Indice de confiance de la protection propos\u00e9e par Stormshield<\/p>\n Indice de confiance de l\u2019absence de faux positif<\/p>\n","protected":false},"excerpt":{"rendered":" Nos \u00e9quipes de s\u00e9curit\u00e9 ont constat\u00e9 courant septembre un pic d\u2019attaques men\u00e9es \u00e0 l\u2019aide du malware Ursnif. Les communications d\u2019autres acteurs de la cybers\u00e9curit\u00e9 font \u00e9tat de plus de 2\u00a0000 soci\u00e9t\u00e9s italiennes, cibl\u00e9es \u00e0 travers une vingtaine de campagnes \u00e0 ce jour. Retrouvez ici une…<\/p>\n","protected":false},"author":61,"featured_media":190179,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1503],"tags":[4368],"business_size":[],"industry":[],"help_mefind":[],"features":[],"type_security":[],"maintenance":[],"offer":[],"administration_tools":[],"cloud_offers":[],"listing_product":[1595,1565,1530],"class_list":["post-235932","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-alertes","tag-la-cybersecurite-par-stormshield","listing_product-breach-fighter-fr","listing_product-ses-fr","listing_product-sns-fr"],"acf":[],"yoast_head":"\nLe contexte de l'attaque<\/h2>\n
Le vecteur initial de l'attaque<\/h2>\n
Les d\u00e9tails techniques de l'attaque<\/h2>\n
A. Introduction<\/h3>\n
B. Ouverture du document (\u00e9tape 1)<\/h3>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig1-150x150.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig2.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig3.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig4.png\")
C. Extraction du code malveillant (\u00e9tape 2)<\/h3>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig5.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig6.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig7.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig8.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig9.png\")
D. Ex\u00e9cution des formules (\u00e9tape 3)<\/h3>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig10.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig11.png\")
\n
E. IoC<\/h3>\n
\n
Les moyens de protection Stormshield<\/h2>\n
A. Stormshield Network Security<\/h3>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig13.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/indice-3.png\")
<\/p>\n![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/indice.png\")
<\/p>\nB. Stormshield Endpoint Security<\/h3>\n
1. R\u00e9action de SES lors de l\u2019ex\u00e9cution du maldoc<\/h4>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig14.png\")
2. R\u00e9action de SES lors du chargement du malware<\/h4>\n
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig15-1024x76.png\")
![\"\"](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/fig16.png\")
3. Conclusion<\/h4>\n
<\/p>\n<\/p>\n