22 Mai 2014

On est tous des mouchards et des futurs pc zombie du net.

Tout le monde a entendu parler de Hearthbleed d’un point de vue problème de sécurité, et de BlackShade d’un point de vue outillage des « script kiddies » d’aujourd’hui, cela n’est rien par rapport à cette nouvelle révélation. Suite à une communication officielle de Kaspersky qui a découvert par hasard ce mouchard dans la plupart des ordinateurs on se rend compte aujourd’hui que personne n’est à l’abri d’un piratage purement logiciel et massif. Un mouchard oui mais par n’importe lequel, un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et surtout dont vous n’avez jamais entendu parler.

A l’origine c’est un simple logiciel installé sur plus de 2 millions d’ordinateurs de par le monde qui est commercialisé par la société Absolute et qui permet selon leur documentation (lien pdf):

  • De sécuriser les données d’un parc de postes à distance
  • De géolocaliser des ordinateurs volés
  • De récupérer des fichiers
  • D’effacer à distance des documents ou tout le disque dur

Ce qui est un grave problème dans la sécurité de votre ordinateur, car il peut être utilisé par un attaquant pour faire ce qu’il veut sur votre PC.

Rapidement ce qu’on sait suite à l’activation du mouchard :
–          Le module (computrace) scanne les partitions (détecte si FAT/FAT32/NTFS)
–          Reconnait l’OS installé (pour la suite on prend dans le cas d’un Windows)
–          Dans le répertoire Windows, il fait une copie de autochk.exe (autochk.exe.bak) et le remplace par une version modifiée de celui-ci (à savoir que cet autochk.exe et un process ayant accès complet aux fichiers de à la base de registre Windows)
–          Cette modification lui permet de créer son agent rpcnetp.exe (dans le system 32) et l’ajoute en service en démarrage automatique
–          Afin de nettoyer derrière lui et une fois l’étape précédente finalisée, il restaure l’autochk.exe
–          Après le service se comporte comme un botnet classique en se servant de iexplorer.exe (afin d’utiliser en toute impunité vos configurations proxy et autres) et effectue des POST et des GET pour se mettre à jour, proposer l’accès complet à distance … De plus, petite précision comme tout bon botnet, il utilise différents hook pour se cacher, en gros ce n’est pas parce que vous ne le voyez pas dans votre explorer windows, gestionnaire de tâches, gestionnaire de services qu’il n’est pas là.

Computrace

Chaque machine est identifiée par un ID unique, histoire de pas se tromper et bien ranger tout ça. Les appels/réponses de celui-ci ne sont pas cryptés, ni authentifiés et donc facilement détournables pour injecter du code malveillant et plus si affinité ;). Enfin on suspecte déjà que des personnes extérieures à Computrace ont déjà des logiciels malveillants pour l’activer sur un ordinateur et se servir de celui-ci à des fins moins nobles.

D’après un premier scan de Kapersky (donc des ordinateurs possédant Kaspersky), plus de 2 millions de postes seraient infectés par Computrace (soit Computrace est activé). Une liste non exhaustive de devices le possédant se trouve sur l’article de Korben. Sinon le meilleur test à faire et d’aller faire un tour dans votre bios et découvrir ou non ceci :

computrace1

La seule vraie parade aujourd’hui est de modifier son host au niveau des x urls qui l’appellent et les pointer sur 127.0.0.1 ou autres pour s’amuser. (Mais bon rien n’empêche que les personnes ayant déjà développé le moyen de se servir de ce mouchard, ne prévoient pas cette parade, moi je pense qu’un bon firewall maison, un IE n’ayant pas des droits de sorties,

Un logiciel basé sur ces analyses permet de vérifier rapidement si le mouchard est activé ou non sur votre poste (lien) et si comme moi vous avez rarement confiance au petit log qui est sensé vous aider, vous trouverez le code source de celui-ci ici : code

Source de cet article et pour aller plus loin : lien

Share