30 janvier 2014
Update : On me dit dans mon oreillette que FireEye et Trend ne sont pas les seuls à faire de l’anti-APT. On trouve aussi d’autres éditeurs comme Infoblox, Palo Alto, SourceFire ou encore StoneSoft.
Il y a peu de temps, un nouveau ransomware, Cryptolocker, a défrayé la chronique : le malware à 300 millions de dollars, le ransomware destructeur, 300 000 postes infectés, et j’en passe.
Bon, alors, Cryptolocker, c’est quoi ? C’est un virus de type ransomware, c’est à dire qu’il va bloquer l’ordinateur tant que la victime n’a pas payé. Ce genre de virus, c’est connu depuis pas mal de temps et ça fonctionne plus ou moins bien.
A titre d’exemple, j’ai récemment du supprimer un ransomware qui bloquait l’accès à tous le bureau (raccourcis claviers, menu démarrer, etc). Ma solution, pour le moins originale, a été de… faire un alt+tab pour retourner sur le bureau avant que le processus ne soit totalement lancé, afin de pouvoir le supprimer convenablement.
Mon histoire ne doit pas forcément intéresser grand monde, mais elle a l’avanteage de mettre assez bien en avant la facilité avec laquelle il est possible de parer à ce genre de ransomware.
C’est ici que Cryptolocker rentre en jeu : contrairement aux autres, ce virus va réellement chiffrer tous les fichiers qu’il trouve aussi bien sur le disque dur, que sur les clés USB et les partages réseaux.
Techniquement, c’est super intéressant parce qu’on est sur un archi logicielle bien ficelée, mais j’y reviendrais plus tard.
Pour le reste, c’est moins drôle. Passons outre le coté extorsion et perte d’argent directe, Cryptolocker est très dangereux. Imaginons un VIP ou un admin qui se fait pirater. Il perd bien évidemment les fichiers de son disque, mais aussi, et surtout, il contamine tous les fichiers présents sur les partages réseaux (et je mets ma main au feu que la plupart des admins ont créés des partages réseaux sur leurs postes) !
Pour donner un aperçu : perte des documents métier, d’éventuels fichiers de mots de passe, schémas réseaux, images (coup dur pour les sociétés de graphisme :)), fichiers excel contenant bon nombre d’infos vitales (paiements clients, récapitulatif de commandes, etc), je vous laisse imaginer l’ampleur des dégâts possibles.
Bon, maintenant que j’ai expliqué un peu les dangers, rentrons un peu dans les détails. Je vais essayer de ne pas être trop technique, mais c’est un passage obligatoire pour comprendre pourquoi Cryptolocker est vicieux. L’infection se fait classiquement, par mail (pour la version originale en tout cas), avec une pièce jointe malveillante. Une fois ouvert, le dropper va (encore une fois classiquement) télécharger le virus en lui même, et c’est ici que les choses deviennent intéressantes se compliquent. L’exécutable va se connecter au Command & Control, en passant par des noms de domaines générés dynamiquement (mais Fortinet l’explique mieux que moi) pour y faire deux actions :
- Générer aléatoirement une paire de clés RSA publique/privée
- Télécharger la clé publique sur le poste
j’ai donné un indice un peu plus haut : aléatoirement. Pour chaque infection, une paire unique est créée. Il n’y a donc pas une paire, mais plusieurs milliers (millions ?). Le virus va ensuite scanner le disque pour trouver certains fichiers (doc, xls, ppt, images, etc) pour les chiffrer avec la clé publique. La suite, on la suppose facilement, l’utilisateur est prévenu que son poste est infecté, et que pour récupérer les fichiers, il faut payer la rançon. Les auteurs ont poussés le vice jusqu’à mettre un minuteur de 72 heures (ou 100 selon les versions). Si le délai est dépassé, la clé privée est supprimée du serveur. Plus de clé privée : plus de déchiffrement, plus de déchiffrement : plus de fichier, plus de fichier… plus de fichier !
J’arrête ici la technique, Trend Micro l’a déjà fai, je leur fait confiance là dessus. La seule différence avec les ransomwares « classiques », c’est le chiffrement des données.
Chiffrement RSA, donc un peu long à craquer (comprendre des centaines/milliers d’années. Jusqu’ici le record est de 104 heures si on à accès physique à la machine générant la clé et sous certaines conditions, mais ça n’est pas le cas pour Cryptolocker !). Même en imaginant avoir plusieurs Cray faisant du calcul distribué, il serait potentiellement possible de cracker une clé, mais jamais des millions, rendant toute récupération de fichier impossible (ou presque, mais ce n’est pas la panacée)
Voilà, pour les faits. Maintenant, en posant calmement les choses : on a déjà vu des infections importantes, au hasard, I love you. Pour rappel quelques chiffres & infos sur le célèbre virus (chiffres tirés de Wikipédia) : 3,1 millions de machines infectées, perte estimée à 7 milliards de dollars, 1 poste connecté à internet sur 10 touchés, plus de 14 ans d’existence, pour un virus en vbs qui tient… sur deux pages A4 !
OK, les temps ne sont plus les mêmes, OK, 1 poste sur 10 à l’époque, ça n’est pas forcément énorme, mais le principe est le même, à la différence que Cryptolocker laisse une chance aux victimes de récupérer leurs fichiers 🙂
Plus sérieusement, on voit des similitudes fortes entre les deux, mais on parle beaucoup de Cryptolocker pour plusieurs points :
- nous sommes dans un monde hyperconnecté : aujourd’hui, tout le monde a internet, l’exposition est beaucoup plus grande d’une part, et la médiatisation d’autre part. Les réseaux sociaux relaient les informations instantanément, le buzz est vite fait
- l’enjeu du coté entreprise est très important : je l’ai déjà expliqué plus haut, il suffit d’une infection pour perdre énormément.
- le chiffrement : il y est pour beaucoup dans le buzz que peut faire le ransomware
Les personnes qui me connaissent savent très bien ce que je pense des antivirus : ils sont grandement inutiles. En effet, un AV peut détecter un virus grâce à sa signature. Mais si on ajoute une couche de poly ou métamorphisme, c’est plus ou moins perdu d’avance.
Bien évidemment, un AV à jour est une protection essentielle, surtout dans ce cas, mais je pense qu’il faut bien plus qu’une liste de signatures et une touche d’heuristique pour sauver vos fichiers.
Au risque de faire un peu de propagande, la meilleure solution pour éradiquer Cryptolocker est la mise en place de solutions anti-APT (FireEye et Trend Micro par exemple), tout simplement parce que le virus va réellement être exécuté, et vu ce qu’il fait, il ne faudra pas longtemps avant qu’il soit détecté par les anti-APT. Pas besoin de signature pour ces appliances, les fonctions appelées par le virus suffisent à mettre toutes les alarmes au rouge.
Une autre solution serait d’éduquer les utilisateurs, mais j’ai l’impression que ce n’est pas gagné d’avance.
Pour résumer en quelques lignes, Cryptolocker est très dangereux, c’est indéniable. Mais d’autres virus aussi dangereux ont déjà été vus par le passé, et, à mon humble avis, c’est n’est qu’un avant gout de ce qu’on trouvera bientôt (qui a dit objets connectés ?). Il est impératif de se protéger contre cette menace par tous les moyens.
Cependant, les hackers ont toujours un coup d’avance (voir plus) sur les AV, et l’illusion de la sécurité que ces derniers procurent montre que les dangers sont de plus en plus importants, et qu’il est, selon moi, temps de réfléchir (et de trouver) une véritable protection.
Et vous, que pensez vous de Cryptolocker ?
Have fun
Corto