Le trojan crypto-rançonneur Locky devient de plus en plus vicieux !

Je ne suis pas la seule à avoir constaté qu’il n’est pas mort…

En date du 13 juin 2016, il n’était toujours question que de la disparition de son réseau de distribution, en anglais, of course, puisqu’il n’est toujours pas possible d’obtenir ce genre d’information en français…


http://www.programmez.com/avis-experts/les-propagateurs-de-locky-recourent-du-code-javascript-masque-par-xor-afin-de-contourner-les-24498

Les propagateurs de Locky recourent à du code JavaScript masqué par XOR afin de contourner les protections classiques

 

Par :

Charles Rami

mar, 14/06/2016 – 15:57

Depuis la découverte de Locky[1] par les chercheurs de Proofpoint il y a trois mois, le ransomware a régulièrement figuré parmi les principales menaces propagées par e-mail en termes de volume chaque semaine. Les propagateurs de Locky recourent à diverses techniques pour contourner les systèmes de sécurité et gagner en flexibilité dans leurs campagnes, leurs méthodes allant de l’utilisation de nouveaux chargeurs de malware tels que RockLoader[2] à l’ajout direct en pièces jointes de fichiers JavaScript malveillants[3] ou à des campagnes volumétriques. Jusqu’ici, toutefois, ces acteurs n’avaient pas encore masqué[4] les téléchargements en employant des méthodes observées pour d’autres campagnes de malware. Or, la semaine dernière, nous avons constaté qu’un acteur Locky (Affid=1) s’était mis à appliquer un masquage XOR et à inverser les octets du code malveillant afin d’échapper à la détection par les outils de sécurité réseau.

Le masquage XOR (OU exclusif) est une technique relativement courante consistant à crypter les octets d’un fichier binaire par rapport à un octet arbitraire qui sert de clé. Par exemple, le caractère ASCII « A » s’écrit 01000001 sous forme binaire. Si le caractère ASCII « B » (01000010 en binaire) est utilisé comme clé de chiffrement pour une opération XOR, leurs bits respectifs sont comparés deux à deux, pour donner 1 s’ils sont différents et 0 s’ils sont identiques, ce qui aboutit au résultat 00000011. Cette technique est simple, rapide et généralement efficace, raison pour laquelle elle est très prisée des auteurs de menaces et au cœur de robustes solutions de cryptage. Les exemples ci-dessous font référence aux équivalents hexadécimaux, l’exemple binaire précédent ayant été fourni par souci de simplicité.

En l’occurrence, nous avons observé des codes malveillants qui ont été à la fois soumis à un masque XOR et inversés. Exemple :


Figure 1 – Échantillon de code masqué par XOR et inversé. A noter que les quatre derniers octets correspondent à une somme de contrôle.

Après retrait de la somme de contrôle et masquage XOR par 0×73 (la lettre « s » minuscule en ASCII), nous obtenons :


Figure 2 – Échantillon après masquage XOR par 0×73

Les octets ayant aussi été inversés, voici ce que donne leur remise dans le bon ordre après masquage XOR :


Figure 3 – Échantillon après masquage XOR et inversion

Cette campagne spécifique ainsi que d’autres qui ont suivi ont également fait appel à plusieurs sites de téléchargement comportant chacun une charge distincte.

Si ce type de masquage peut être particulièrement efficace contre les produits de sécurité réseau qui scrutent principalement les exécutables entrant sur le réseau, il peut également servir à échapper aux « sandbox ».

L’utilisation de plusieurs sites de téléchargement comportant des charges distinctes pour Locky Affid=1 (et avant cela pour Dridex ID 12x) était observée depuis des mois. Cependant, nous avons commencé à détecter des charges masquées par XOR le 23 mai. Celles-ci avaient subi un masquage par 0xFF (11111111 en binaire) mais sans être inversées. Une campagne suivante, le même jour, a été masquée par 0×73 et inversée. Cette technique a été réutilisée pour une autre campagne plus tard dans la semaine, avec l’ajout d’une somme de contrôle de 4 octets à la fin, même si la plupart des codes étaient apparemment fragmentés et ne correspondaient donc pas à leur somme de contrôle. Le 25 mai, une campagne a employé une technique et des paramètres XOR identiques mais toutes les charges ont passé la somme de contrôle. Aujourd’hui même, des acteurs se sont mis à utiliser un générateur de nombres pseudoaléatoires pour créer les octets XOR, ce qui s’apparente bien plus à un cryptage à part entière qu’à un simple masquage.

Ces campagnes démontrent encore une fois la tendance de leurs auteurs à varier les mécanismes de diffusion et à ajouter des niveaux supplémentaires de masquage et d’esquive pour contourner les sécurités. Dans l’exemple ci-dessus, le code initial était en fait le chargeur de malware RockLoader, qui a ensuite tenté d’installer Locky à partir d’une architecture complexe de commande et de contrôle (C&C). Comme toujours, une protection et une vigilance des utilisateurs à plusieurs niveaux sont essentielles pour prévenir une infection par des menaces de plus en plus difficiles à détecter.

Références
[1]https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
[2]https://www.proofpoint.com/us/threat-insight/post/Locky-Ransomware-Cybercriminals-Introduce-New-RockLoader-Malware
[3]https://www.proofpoint.com/us/threat-insight/post/beware-javascript-malicious-email-campaigns-with-js-attachments-explode
[4]https://www.proofpoint.com/us/threat-insight/post/Obfuscation-Techniques-In-Phishing-Attacks

A propos de l’auteur

Charles Rami

Responsable Technique chez Proofpoint

Membre de l’équipe d’experts en recherche sur les menaces et Responsable Technique chez Proofpoint, Charles Rami évolue depuis plusieurs années dans le domaine de la sécurité informatique. Il a précédemment fait partie des équipe sécurité de Cisco, après avoir travaillé plusieurs années pour des distributeurs de solution de sécurité où il a collaboré avec des sociétés telles que Fortinet, F5, Nokia ou encore CheckPoint.


https://securityintelligence.com/news/necurs-botnet-stumbles-dridex-and-locky-feel-it/

Necurs Botnet Stumbles, Dridex and Locky Feel It

• By Larry Loeb
• •   June 13, 2016

---

Larry Loeb

Principal, PBC Enterprises

Larry Loeb has written for many of the last century’s major « dead tree » computer magazines, having been, among other things, a consulting editor for BYTE magazine and senior editor…

See All Posts

Proofpoint recently noticed a disturbance in the ransomware force: The Necurs botnet, once one of the largest known botnets, has gone strangely quiet. It used to pump out hundreds of millions of malware-laden emails around the net, among other malicious actions such as distributed denial-of-service (DDoS) attacks.

Necurs is a P2P hybrid botnet that enables communication between infected computers and nodes that function as command-and-control (C&C) servers. The botnet has a domain generation algorithm that allows those infected machines to find a new C&C server should one go down. However, they have not been successful in this endeavor since the shutdown.

The Necurs Botnet Goes Dark

Anubis Networks was the first to observe the botnet’s inactivity on June 1. Millions of bots suddenly went silent, causing major disruptions in Dridex and Locky ransomware campaigns.

Anubis also discovered that an infected Necurs system would connect to a sinkhole only until the bot had found a C&C server to connect with. However, if the bot is somehow disconnected from that server, it might communicate with the sinkhole again.

Interestingly, the last time that Necurs went quiet for this long was in the fall of 2015, when a member of the Dridex gang was arrested in Cyprus, Softpedia reported.

What Does the Future Hold?

Will the Necurs botnet rise from the dead to deal electronic spam upon the unsuspecting masses once more? Proofpoint is doubtful because, although it’s not the first outage of its kind, “available data suggest that it involved a significant and ongoing failure of the C&C infrastructure behind the botnet.” That kind of damage could be hard to remedy.

Necurs needs these C&C servers to organize itself. Luckily, it seems that security researchers will be able to find indications if it does manage to acquire that necessary infrastructure, giving organizations warning as to the possible ransomware resurgence.

Though the email campaigns of Dridex and Locky are still out there, one can only hope the current trickle of Necurs-generated malware doesn’t turn into a flood in the future.


http://www.bbc.com/news/technology-36519044

Huge spam and malware network goes offline

 

•  13 June 2016
• From the section Technology

Image copyright Thinkstock

Image caption Junk mail messages bearing the Locky ransomware were spammed out in their millions via the Necurs botnet

One of the biggest networks of spam-sending computers in the world has gone quiet, puzzling experts, internet security firms have said.

For years the Necurs botnet has distributed junk mail and malware for many different groups of cyber-thieves.

But the amount of malicious traffic emerging from Necurs has now dwindled to almost nothing.

It is not clear what has caused the slowdown and whether traffic will return to previously high levels.

One of the first signs of the disruption was seen earlier this month when email messages spreading the Dridex banking trojan and Locky ransomware caught by security firms dried up.

Typically, millions of messages bearing these malicious programs are sent out every week, Proofpoint said in a blogpost.

However, the flood of messages « essentially stopped » last week, it said. Investigations revealed that these messages typically travelled via the Necurs botnet which was found to have gone largely offline.

Rootkit

The Necurs botnet is believed to be made up of about six million compromised Windows machines, many of which were enrolled when their owners inadvertently fell victim to a form of malware known as a rootkit.

Analysis of some of the machines known to be part of Necurs shows that its core administration systems have disappeared, said Proofpoint.

« Data from a variety of sources show that Necurs bots are actively looking for a new command and control (C&C) system, but we have no evidence that the Necurs botmaster has been able to retake control of the botnet. »

A botnet’s C&C system helps the network keep running and co-ordinates the distribution of any spam or malware being sent out via the global collection of computers.

Security researchers who monitor botnets and the groups that operate them said the cause of the shutdown remained a mystery.

« We cannot confirm how the botnet was brought down yet, » Joonho Sa, a researcher for FireEye, told tech news site Motherboard.


http://www.captees.com/21968-malware-and-spam-network-goes-offline/

Malware and Spam Network Goes Offline

By Alex Bezeau -

June 13, 2016

Internet security firms are claiming that the largest spam-sending computers has gone offline

Internet security firms are claiming that the largest spam-sending computers has gone offline. This has puzzled experts and left everyone wondering what might have happened. The Necurs botnet has for many years distributed junk mail and malware for different groups of cyber-thieves.

Spam network suddenly goes offline and leaves security experts wondering

However, the amount of malware traffic coming from Necurs has reduced to almost zero. The cause of the malware network going dry has not yet been established. It’s also not yet clear if the traffic levels will return to their normal high.

When did the Malware network go slow

 

Internet security firms are claiming that the largest spam-sending computers has gone offline

The first sign of the slowdown was witnessed earlier this month when email messages spreading the Drindex banking Trojan and Locky ransomware caught by security firms suddenly dried up. According to Proofpoint’s blogpost, there are generally millions of messages bearing these malicious programs that are sent out every week. However, it was rather storming that these flood of messages essentially stopped. Further investigations revealed that these messages typically travel via Necurs notnet which was found to have largely gone offline.

It’s believed that Nevurs botnet is made up of about 6 million compromised Windows machines. May of these computers might have been enrolled when their owners unwittingly fell victim to a form of malware known as rootkit.

Proofpoint noted that after analysis of the machines that are part of Necurs, its core administration systems were found to have disappeared.

“Data from a variety of sources show that Necurs bots are actively looking for a new command and control (C&C) system, but we have no evidence that the Necurs botmaster has been able to retake control of the botnet.”

According to BBC a botnet’s C&C aids the network in running and coordinating the distribution of any spam or malevolent program being sent out via the global collection of computers. Security researchers who are in charge of monitoring botnets have said they have no idea what caused the shutdown. For now it looks like spam and malware spread by the network has slowed down considerably.