En s'appuyant sur Eternal blue et WMI
Le minage de cryptomonnaies est une activité qui, semble-t-il, paie bien son homme. Des cybercriminels usent donc de tous les moyens à leur disposition pour transformer les ordinateurs de tierces personnes en dispositifs de minage. Coinminer, un nouveau malware présenté par la firme de sécurité Trend Micro, fait désormais partie de leur arsenal pour atteindre cet objectif.
Coinminer s’invite dans un PC au travers d’Eternal Blue, la faille Windows qui est à l’origine de la propagation du ransomware WannaCry et du wiper Petya/NotPetya. La faille Eternal Blue a été corrigée par Windows en mars dernier mais des chercheurs en sécurité continuent à la citer comme étant le moyen par lequel de nombreux malwares sévissent, preuve que le processus de mise à jour continue d’être négligé.
Passée l’étape d’infiltration via Eternal Blue, le malware s’appuie sur WMI, un système de gestion interne de Windows dédié à la surveillance et au contrôle des ressources systèmes. Les attaquants tirent particulièrement profit du support de scripts WSH qu’offre WMI. Dans ce cas particulier, il leur suffit de lier un ensemble de scripts malicieux à des classes du gestionnaire d’événements WMI, ce qui, à la furtivité de l’usage d’Eternal Blue, ajoute en persistance.
Windows est dès lors chargé de contacter les différents centres de contrôle et commande à des intervalles de temps régulier pour télécharger l’application malicieuse de minage sur le système cible.
Il faudrait noter que les malwares usant de WMI ne sont pas nouveau. Le ver Stuxnet utilisé pour s’attaquer à des installations nucléaires en Iran en tirait parti. La firme de sécurité Malwarebytes a, il y a bientôt une année, expliqué comment le service a été utilisé pour rediriger des requêtes vers le site d’un attaquant.
Les recommandations de l’équipe Trend Micro à ce sujet : restreindre l’accès à WMI à un groupe limité de comptes administrateurs si son usage est d’une absolue nécessité, ce qui aidera à réduire les risques d’attaques. Dans le cas où le service n’est pas requis, le désactiver pour annuler les risques d’attaque. Procéder également à la désactivation de SMBv1 ou à une mise à jour de Windows annulant la faille Eternal Blue.
merci à Developpez.com
