Quand les RATs se déguisent…

On ne parle pas du rongeur, mais bien des trojans 😉

Mes collègues Nart Villeneuve et Jessa Dela Torre, du TrendLabs, ont publié une étude sur quelques RATs utilisant des flux de callback originaux. Ces trojans, nommés FAKEM RAT par nos services, font partie de campagnes d’attaques ciblées menées via spear-phishing, utilisant des vulnérabilités Microsoft Word (CVE-2010-3333, CVE-2012-0158) pour “dropper” et exécuter le binaire sur les machines cibles. Classique “dorénavant” mais très efficace.

L’originalité des FAKEM RATs vient des protocoles de “callback”, nécessaires pour le contrôle du RAT, qui vont se faire passer pour des flux MSN, Yahoo ou HTML*. En creusant un peu,  Nart et Jessa ont mis en évidence que ces flux C&C n’utilisent simplement que les entêtes MSN ou Yahoo pour spoofer les protocoles correspondants, suffisant pour bypasser certains proxys et firewalls next-gen. La version FAKEM HTML utilise du code HTML, aussi bien en envoi qu’en réception ; original car le langage HTML est plutôt utilisé comme réponse d’un serveur pour la mise en forme de la page sur le navigateur, très peu en envoi par le client. Mes collègues ont utilisé des “honey pot” pour déterminer les capacités du RAT sur le système infecté. Résultat : Exécution shell, browsing directory, contrôle des process, accès aux RegKey…

D’après les IP et DNS des serveurs C&C, ainsi que d’autres éléments nommés dans les souches, toutes les versions de FAKEM RAT sont issus du même groupe de cybercriminel.

* : Je sais, le flux HTML n’existe pas… Je parle bien sûr de code HTML over HTTP 😉

Source : http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-fakem-rat.pdf

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.