Mi-juin 2007, les équipes du cert-lexsi ont mis à jour l’intégralité d’une fraude de vol d’informations bancaires, qui a débuté fin 2005 et qui est emblématique de la menace que réprésentent aujourd’hui les malware bancaires.

Surveillant l’activité des milliers de serveurs frauduleux sur lesquels se connectent les programmes malicieux les plus virulents, il est opportuniste que des erreurs d’administration par les fraudeurs révèlent l’accès libre au contenu de ces serveurs, le temps de quelques heures. Cette infrastructure de veille nous a permis, dans le cas présent, de visualiser la quasi-intégralité d’un serveur-mère (appelé « mothership server ») synchronisant et regroupant l’activité malicieuse de dizaines de versions de malware, et centralisant le stockage des données volées massivement.

Le cert-lexsi a ainsi pu récupérer les données volées, appartenant à 300.000 victimes à travers le monde, et a pris contact avec les établissements bancaires les plus touchés pour bloquer la majorité des millions d’identifiants transactionnels et numéros de cartes bancaires, représentatifs d’un potentiel de fraude de plusieurs centaines de millions d’euros.

Notre seconde démarche a été d’étudier l’organisation frauduleuse en place. Les 300.000 infections actives ont été réalisées par plusieurs dizaines d’individus, « clients » d’un groupuscule plus structuré gérant de manière centralisée l’ensemble de l’infrastructure, le développement des malware, l’hébergement et le traitement des données. Ce groupe russophone offre des prestations professionnelles via un service central de gestion de tickets d’incidents ; chaque client dispose d’une variante unique du malware, à son nom, et chiffré avec une clé unique. Les mises à jour de code sont intensives afin de rester furtifs vis-à-vis des programmes antivirus : plusieurs nouveaux exécutables uniques sont produits chaque jour pour alimenter et maintenir cette organisation.

Pour autant, et malgré les fantastiques revenus potentiels de cette fraude par malware, plusieurs clients continuent de maintenir des activités moins rentables comme les sites de phishing traditionnels. RBN, Lug Link et Neva Con sont les trois réseaux intimement liés pour l’hébergement de cette fraude.

Mid-June 2007, cert-lexsi teams updated on a fraud implicating a massive theft of banking credentials. This fraud, which began at the end of 2005, is quite representative of what today's banking malware may present in terms of potential risks.

Having been monitoring the activity of thousands of fraudulent servers to which some of the toughest malicious programs are connecting, it so happened that an error committed by the fraudsters’ administration team revealed –for a few hours only- free access to the contents of these servers. Our monitoring infrastructure immediately took a detailed snapshot of what was revealed as the fraudsters’ mothership server – the machine they use to keep track of the malicious activity of several dozen of malware versions, and centralize and deposit all the stolen data.

cert-lexsi was thus able to recover the stolen data files, pertaining to 300.000 malware victims throughout the world. We immediately took necessary action and contacted the most targeted financial institutions in order to block access to 90%+ of compromised accounts and stolen means of electronic payment, contributing to prevent potential fraud of hundreds of millions €.

Our second step was to study the network behind these fraudulent activities. 300.000 active infections were carried out by several dozen individuals, “customers� of a structured criminal group managing the whole malware value chain, including the development of the malware, its hosting and data-processing. This Russian-speaking group offers professional support services via a centralized ticket-feedback management platform. Each of the group’s customers has a unique version of malware, issued to his name, and encrypted with his unique key. The malware updates are regular and frequent, which allows each given malware version to remain undetectable by major antivirus programs. Several new executables are produced on a daily basis in order to feed the needs of the criminal ring.

Despite the fantastic potential income driven in by this malware fraud, several customers of this criminal network continue to maintain adjacent much less profitable criminal activities, such as, for instance, traditional phishing.

Infrastructure-wise, RBN, Lug Link and Neva Con are the three main networks directly involved in malware proliferation and adjacent hosting services linked to this fraud.

La virtualisation de serveurs informatiques est assurément une notion clef depuis quelques années, pour de nombreuses entreprises.

De plus en plus de malware, quand ils se retrouvent dans ce type de système d'exploitation virtuel, altèrent leur comportement afin de compliquer la tâche des personnes qui souhaitent étudier leur comportement.

En poussant la réflexion plus loin, on peut se demander si en plus de détecter leur environnement virtuel et de se comporter différemment, ils ne seraient pas capables...d'en sortir, et de contaminer le système "hôte".

Prenons par exemple VMWare.
Ce produit propriétaire dispose d'un canal de communication entre le système "hôte" et le système "guest", qui permet d'obtenir quelques informations sur l'hôte à partir du système virtuel.
(Ken Kato nous en fournit ici les détails en anglais dans un très bon document)
Un attaquant pourrait ainsi obtenir des renseignements sur le système hôte, et même récupérer le contenu textuel de son presse-papier par exemple.
D'autres vulnérabilités permettraient d'exécuter du code arbitraire au redémarrage d'un système d'exploitation sous VMWare...

Les autres logiciels de virtualisation ne sont pas exempts de reproches. La plupart contiennent des vulnérabilités, et le fait qu'ils soient généralement opensource augmente les risques de découverte de failles.

Il semble donc qu'il soit à l'heure actuelle possible de faire planter n'importe quel système virtuel.

Mais faire crasher un système est une chose relativement aisée.
Selon les bruits actuels dans la communauté de la sécurité informatique, il serait envisageable d'exploiter certaines vulnérabilités afin de prendre le contrôle du processus du système hôte, et donc éventuellement de contaminer ce système avec du code non sollicité/malveillant. Personne n'en a toutefois apporté la démonstration au moment de la rédaction de ces lignes.

On imagine aisément les implications de tout un réseau de serveurs virtuels qui serait victime d'une attaque capable de "sortir" de cet ensemble virtuel... Compromission totale de tout un parc informatique, espionnage industriel, injection de malware, etc...

Tout ceci est au stade expérimental pour le moment, mais laisse augurer de grands remoux dans le milieu de la sécurité virtuelle les prochains mois.

Le meilleur moyen de se protéger est de considérer que le système virtuel pourrait être contourné.
Ainsi, il convient de ne jamais lancer de système virtuel avec les droits d'administrateur (ou tout utilisateur disposant de droits particuliers).
Il est également souhaitable de "chrooter" le serveur virtuel (c'est à dire le contenir dans un répertoire particulier du système hôte dont il ne sera pas possible de sortir).
Il est aussi conseillé de réduire les risques de vulnérabilité en déconnectant tout périphérique virtuel non nécessaire. (avez-vous vraiment besoin de son sous votre environnement virtuel?)
Enfin, conserver ses systèmes (hôte et guest) à jour est une pratique nécessaire.

Pour finir, voici l'excellent papier de Tavis Ormandy (Google), qui a effectué énormément de recherches sur le sujet, et qui vous expliquera beaucoup plus en détail les tests qu'il a effectué lui-même sur plusieurs environnements virtuels.

BeyondSecurity, société israélienne de sécurité informatique, a plus d'un tour dans son sac.
Un "vendeur" de matériel électronique sur eBay Italie a en effet utilisé de façon peu scrupuleuse un logo MSN provenant de leur site Web, comme on peut encore le voir dans le cache de Google.

Mais la société a contre-attaqué en modifiant l'image hébergée sur son site à l'adresse http://www.beyondsecurity.com/press/press_logos/msn.gif pour faire apparaître celle-ci en lieu et place :

Cette technique est parfois utilisée par les services de lutte (y compris lors d'attaques de phishing visant des banques françaises) contre les sites frauduleux, lorsque ceux-ci n'hébergent pas directement les images mais les appellent sur des sites distants.

Avec un effet souvent "saisissant".

Microsoft vient de publier ses traditionnels correctifs mensuels. Les principaux produits impactés ce mois-ci sont IIS, Excel, Active Directory et .NET Framework.

Trois bulletins sont qualifiés de critiques et permettent d'exécuter du code arbitraire sur les systèmes vulnérables :
MS07-036 : trois vulnérabilités dans Excel pouvant être exploitées via un fichier malicieusement formé (Ref. Lexsi 8752).
MS07-039 : deux vulnérabilités dans Active Directory pouvant être exploitées par un attaquant distant via une requête LDAP malicieusement formée (Ref. Lexsi 8753).
MS07-040 : trois vulnérabilités dans le Framework .NET pouvant être exploitées via une page web ou un courriel malicieux (Ref. Lexsi 8754).

Deux bulletins sont qualifiés d'importants et permettent d'exécuter du code arbitraire sur les systèmes vulnérables :
MS07-037 : une vulnérabilité dans Publisher pouvant être exploitée via un fichier malicieusement formé (Ref. Lexsi 8757).
MS07-041 : une vulnérabilité dans Internet Information Server pouvant être exploitée via une URL malicieusement formée (Ref. Lexsi 8755).

Un dernier bulletin est qualifié de modéré :
MS07-038 : contournement de certaines règles de pare-feu de Windows Vista pouvant être exploitées par un attaquant distant (Ref. Lexsi 8756).

Une campagne d'envoi de courriels incitant à l'installation de virus est en cours. Cette campagne, qui fait suite à celle lancée pour la fête nationale américaine du 04 juillet, se présente sous la forme de courriels avec notamment cette possible apparence :

Le lien proposé mène sur une page Web d'un site compromis (beaucoup de sites Web compromis semblent être utilisés dans le cadre de cette attaque), cherchant dans un premier temps à exécuter le programme malveillant par le biais de plusieurs vulnérabilités potentielles liées au navigateur (Windows Media Player, etc.) et proposant au cas où le téléchargement direct d'un "patch.exe" plus que douteux :

Notez que le malware à télécharger est aujourd'hui détecté par la pluspart des solutions antivirales sous des noms variés (Trojan.Small-2911 [ClamAV]), Packed.Win32.Tibs.ab [F-Secure], Packed.Win32.Tibs.ab [Kaspersky], W32/Nuwar@MM [McAfee], Trojan.Packed.13 [Symantec]).

Le jeu du chat et de la souris n'en finit pas entre les spams et les solutions anti-spams ! Après les "spams image" de cet hiver, ce sont les spams PDF qui envahissent nos boîtes de réception depuis plusieurs semaines. Ils ne contiennent souvent aucun corps de message, mais seulement un fichier PDF en pièce jointe. Le sujet du courriel tente d'inciter le destinataire à ouvrir le PDF avec des mots comme "complaint" (plainte) ou "invoice" (facture).

La plupart de ces PDF contiennent une simple image donnant des informations sur la supposée future envolée du cours d'une action (les fameux "pump-and-dump") :

Certains vont même jusqu'à contenir des graphiques complets et détaillées sur l'action, ou de vraies-fausses "Press Releases" :

Au début, les seules actions concernées étaient celles de la bourse allemande de Francfort ; depuis peu, on en voit aussi circuler à propos d'actions cotées au NASDAQ américain.

Il est délicat pour le moment de détecter ces spams PDF. Leur taille change à chaque envoi et l'image est difficilement convertible en texte (et donc assez peu lisible d'ailleurs...) avec les outils de reconnaissance "optique". Elément intéressant toutefois : la plupart de ces spams ont une table XREF invalide, ce qui provoque le message d'erreur suivant avec Xpdf lors de l'ouverture :

Error (0): PDF file is damaged - attempting to reconstruct xref table...

Mais une détection basée sur ce seul fait lèverait à coup sûr de nombreux faux positifs étant données les libertés parfois prises par certaines implémentations avec les spécifications d'Adobe.

Selon ce journal sud-africain, près d'un DAB par jour (!) est attaqué en Afrique du Sud avec la manière forte : arraché ou forcé.

L'article fait suite à une nouvelle affaire de DAB volé avec un charriot élévateur dans une station essence. La scène a été filmé par les caméras de surveillance :

De l'autre côté de l'océan Atlantique, un autre style d'attaque -lui aussi de plus en plus fréquent- avait lieu contre un "ATM" dans un supermarché près de Pittsburgh. La méthode est dans ce cas plus douce, puisqu'il s'agit d'un individu qui a simplement reprogrammé le DAB pour que celui-ci sorte des billets de 20$ en lieu et place des célèbres George Washington (1$).
Gain de l'opération: 1500$ environ.

Mais là aussi les caméras de surveillance ont pris en flagrant délit les deux individus, qui ont effectué cette attaque en toute décontraction comme le montre cette photo de l'individu à visage découvert et "en tong" (re-!) :