Archives par mot-clé : porte cachée

Chasse aux backdoors dans des appareils Cisco contrefaits

Une enquête met en lumière l’impact des composants contrefaits dans une infrastructure informatique. Et si derrière la copie se cachait une backdoor.

Des spécialistes de la sécurité matérielle viennent de publier un rapport détaillant une enquête concernant des commutateurs réseau contrefaits. L’enquête a conclu que les contrefaçons étaient conçues pour contourner les processus qui authentifient les composants du système.

L’équipe de sécurité matérielle de F-Secure Consulting a enquêté sur deux versions contrefaites différentes de commutateurs Cisco Catalyst série 2960-X. Les contrefaçons ont été découvertes par une société informatique après une mise à jour logicielle ratée. Une panne courante du matériel contrefait/modifié aux nouveaux logiciels.

D’abord, les enquêteurs ont découvert que si les contrefaçons ne possédaient pas de fonctionnalités de type « backdoor » (porte cachée), elles employaient néanmoins diverses mesures pour tromper les contrôles de sécurité. Par exemple, l’une des unités a exploité ce que l’équipe de recherche pense être une vulnérabilité logicielle non découverte auparavant pour miner les processus de démarrage sécurisés qui assurent une protection contre la falsification des microprogrammes.

« Nous avons découvert que les contrefaçons étaient construites pour contourner les mesures d’authentification, mais nous n’avons pas trouvé de preuves suggérant que les unités présentaient d’autres risques« , a déclaré Dmitry Janushkevich, consultant senior de l’équipe « Sécurité matérielle » de F-Secure Consulting, et auteur principal du rapport. « Les motifs des faussaires se limitaient probablement à gagner de l’argent en vendant les composants.« . Bref, il est indispensable de vérifier minutieusement tout matériel rentrant dans l’entreprise.

Derrière la contrefaçon

Ensuite, les contrefaçons étaient physiquement et opérationnellement similaires à un authentique commutateur Cisco. L’une des études techniques de l’unité suggère :

  • Les contrefacteurs investissent massivement dans la reproduction du design original de Cisco ;
  • Ils ont eu accès à une documentation technique propriétaire pour les aider à créer une copie convaincante.

« Les services de sécurité ne peuvent pas se permettre d’ignorer le matériel altéré/modifié. Ils doivent enquêter sur toutes les contrefaçons présentes dans la société« . Sans démolir le matériel et l’examiner de fond en comble, les organisations ne peuvent pas savoir si un dispositif modifié a eu un impact plus important sur la sécurité.

Enfin, l’impact peut être suffisamment important pour saper complètement les mesures de sécurité et de protection mises en place dans l’organisation.

Pour conclure, voici quelques conseils pour aider les organisations à se prémunir contre l’utilisation de composants contrefaits :

Procurez-vous tous vos composants auprès de revendeurs autorisés
Disposer de processus et de politiques internes clairs qui régissent les procédures de passation de marchés ;
S’assurer que tous les composants fonctionnent avec les derniers logiciels disponibles fournis par les fournisseurs ;
Notez les différences physiques entre les différentes unités d’un même produit, même si elles sont subtiles.

Un nouveau botnet cible Mac OS X

En Septembre 2014, les spécialistes de Doctor Web ont analysé plusieurs nouvelles menaces ciblant Mac OS X. L’une d’entre elles est un backdoor multifonctions ajouté à la base virale sous le nom Mac.BackDoor.iWorm. A ce jour, les statistiques indiquent qu’un peu plus de 17 000 adresses IP uniques de Mac sont infectées par ce malware.

Les pirates ont utilisé les langues C++ et Lua, ainsi que la cryptographie. Lors de son installation, le trojan se décompresse dans le dossier /Library/Application Support/JavaW, puis le dropper crée à la volée le fichier plist afin d’assurer le démarrage automatique du logiciel malveillant. Au moment du premier démarrage, le Mac.BackDoor.iWorm sauvegarde ses données de configuration dans un fichier séparé et essaie de lire le contenu du dossier /Library pour obtenir la liste des applications installées avec lesquelles le backdoor n’interagira plus. S’il n’a pas réussi à trouver les répertoires « indésirables », le bot reçoit à l’aide de fonctions systèmes le nom du dossier personnel de l’utilisateur Mac OS X sous le nom duquel il a été lancé, y vérifie la présence de son fichier de configuration et y enregistre toutes les données nécessaires à son fonctionnement.

Puis Mac.BackDoor.iWorm ouvre sur l’ordinateur infecté un port et attend une connexion entrante, envoie une requête à une ressource Internet pour une liste d’adresses de serveurs de gestion, puis se connecte à ces serveur afin de recevoir les commandes.

Il est à noter qu’afin de recevoir la liste d’adresses des serveurs de gestion, le bot se réfère au service de recherche reddit.com, en indiquant comme requête les valeurs hexadécimales des 8 premiers octets du hachage MD5 de la date actuelle. Selon les résultats de la recherche, reddit.com donne une page web avec la liste des serveurs de gestion de botnets et les ports que les pirates publient sous la forme de commentaires pour le sujet « minecraftserverlists » au nom d’utilisateur « vtnhiaovyd »: le Trojan essaie d’établir la connexion avec les serveurs de gestion en recherchant d’une manière aléatoire les 29 premières adresses de la liste reçue et envoie des requêtes à chacun d’eux. Il répète toues les 5 minutes les requêtes au site reddit.com afin de recevoir une nouvelle liste.

Lors de l’établissement de la connexion avec un serveur de gestion dont l’adresse est sélectionnée dans la liste à l’aide d’un algorithme spécial, le Trojan tente de déterminer si cette adresse est ajoutée à la liste d’exclusions, et partage avec le serveur un ensemble de données grâce auxquelles l’authenticité de l’hôte distant est vérifiée en utilisant une série de transformations mathématiques. Si la vérification est réussie, le bot envoie au serveur distant le numéro du port ouvert sur l’ordinateur infecté et son identifiant unique et attend les commandes.

Mac.BackDoor.iWorm est capable d’exécuter diverses directives selon les données binaires entrantes ou Lua-scripts. Les commandes de base du backdoor pour les Lua-scripts afin d’obtenir le type de système d’exploitation ; obtenir la version du bot ; obtenir l’UID du bot ; obtenir la valeur du paramètre du fichier de configuration ; indiquer la valeur du paramètre du fichier de configuration ; effacer les données de configuration de tous les paramètres ; obtenir la durée d’activité du bot (uptime) ; envoyer une requête GET ; télécharger un fichier ; ouvrir le socket pour la connexion entrante et exécuter la commande reçue ; exécuter la commande système ; faire une pause (sleep) ; ajouter le nœud selon l’IP dans la liste des nœuds  » interdits  » ; effacer la liste des nœuds  » interdits  » ; obtenir la liste de nœuds ; obtenir l’adresse IP du noeud ; obtenir le type de noeud ; obtenir le port du noeud ; exécuter le script Lua imbriqué.

Sur les 17 658 adresses IP enrôlées dans le botnet, les trois pays les plus touchés à ce jour sont les États-Unis avec 4610 adresses suivis par le Canada avec 1235 adresses puis le Royaume-Uni avec 1227 adresses.