10 juillet 2015

Dridex est un trojan connu depuis juin 2014, mais qui a fait plus récemment parlé de lui à cause de ses dernières campagnes de spam massives à destination des entreprises françaises (une sur deux est touchée par ce malware).  Pourquoi un malware aussi connu arrive encore à passer outre les moyens de sécurité mis en place ?

Dridex, ce trojan diffusé par e-mail a connu plusieurs versions :

  • contenu hébergé sur des serveurs web compromis ou des partages de fichiers légitimes
  • macro VisualBasicScript offusquée dans des documents Microsoft Office (ces derniers étant parfois eux-mêmes embarqués dans des PDF). La macro va aller récupérer puis exécuter le code malicieux.
  • liens vers un serveur web qui fera exécuter un code JavaScript pour récupérer les binaires.

En France, il a fait parlé de lui notamment par sa version utilisant les macros VBS. L’e-mail envoyé contient des références à une facture, un bon de livraison. Une entreprise est susceptible de recevoir une version différente du mail, ou du document en fonction du destinataire. De même, l’adresse de l’expéditeur n’est utilisée qu’une seule fois, et depuis un nom de domaine éphémère.

mail

Exemple de mail reçu

Dans un premier temps, l’exécution des macros dans le document Word permet d’aller récupérer le trojan en combinant la récupération de plusieurs fichiers (exécutables, photos, fichiers texte, xml, …).

payload-dridex

Pris indépendamment, ces fichiers ne sont pas toujours perçus comme malicieux par les analyses antivirales.

Nexthink

Diagramme des connexions effectués par le malware sur Nexthink

Sur le poste, un trojan est alors installé. Il va récupérer des informations de connexion sur les sites bancaires, comptes google et microsoft à l’aide de keylogger, captures d’écran (screen-keylogger), récupération de cookie pour les transmettre sur un serveur de command-n-control.

Comment supprimer Dridex ?

Pour que le malware soit rendu indétectable au moment de l’attaque une méthode d’offuscation est utilisée (réalisable avec Kali ou Backtrack). De plus, la macro du document est verrouillée et chiffrée afin de ne pas dévoiler les destinations des connexions.

Sur une attaques multi-vectorielles (flux mail, trafic internet) et polymorphique, les protections basées sur des signatures ne permettent pas de garantir la sécurité d’un poste utilisateur.

Pour adresser une réponse à ce type de menace, la plus efficace reste la communication avec les utilisateurs. Une sensibilisation sur l’usage et les risques liés au courrier entrant.

Concernant Dridex, les macros sont désactivées par défaut dans la suite Office. Généralement, une facture ou un suivi de livraison au format doc ne comportent pas de macro.

Autrement, l’utilisation d’outils (comme Splunk) permettant de faire de la corrélation de log peuvent permettre de connaître les postes infectés.

Splunk-ESA-Dridex

FireEye apporte une réponse globale sur ce type de menace. Leur moteur de sandbox peut être utilisé aussi bien pour analyser le trafic mail (analyse de pièce jointe, contenu et lien d’un message) que sur les flux web (analyse des binaires et détections des callbacks).

Pour fournir une solution complète, FireEye possède un agent de poste qui peut permettre de verrouiller un poste à distance, mais également d’avoir une analyse détaillé de l’attaque (fichiers modifiés, connexion établies)

Packet-triage

Triage sur FireEye HX

Ces nouvelles attaques sont symptomatiques d’une menace qui ne va faire que croître à l’avenir. Ces techniques sont d’ailleurs utilisées depuis longtemps pour exfiltrer de l’information. La différence entre Dridex et un APT va se situer dans la visibilité de l’attaque (compte bancaire contre information à valeur).

Une attaque qui reste silencieuse et dont le but et de perdurer sans se faire détecter est plus dangereuse qu’un malware dont les conséquences directes sont visibles.

N’hésitez pas à faire appel à nos experts pour obtenir un audit.

Partager :

Auteurs