Malware Backoff : « Peu sophistiqué » mais efficace

Regardez, je n'essaie pas de vous effrayer, bien que je ne pense pas que ce soit une mauvaise idée d'être un peu effrayé par le niveau de menace actuel des data breaches. Le logiciel malveillant Backoff, qui est soupçonné d'être derrière la plupart des grandes violations médiatisées au cours de l'année passée, est généralement décrit comme pas très sophistiqué—pourtant, les criminels ont réussi à utiliser des versions de ce code pour voler des centaines de millions de numéros de carte de crédit et des informations personnelles associées.

Le mois dernier, des experts en sécurité chez Damballa ont publié un rapport qui a montré une augmentation des infections du malware Backoff point-of-sale au cours du troisième trimestre de 2014. La semaine dernière, ils ont ajouté un autre article de blog indiquant que les infections continuent d'augmenter à l'approche de la très importante saison des achats de fin d'année. Pour aggraver les choses, les chercheurs chez Fortinet ont annoncé la découverte de deux nouvelles versions de Backoff actives dans la nature qui ont été modifiées spécifiquement pour rendre la détection plus difficile.

Bien que Backoff soit décrit comme peu sophistiqué, il n'en reste pas moins assez insidieux. En bref, voici comment il fonctionne :

• Lorsque l'exécutable est lancé, il se copie sur le disque dur de la machine pour ressembler à une application Java (javaw.exe). (Les versions nouvellement découvertes, ROM et 211G1, ressemblent plutôt à un lecteur multimédia.)
• Le nouveau fichier est configuré avec les attributs READONLY, SYSTEM et HIDDEN.
• Le logiciel malveillant crée plusieurs clés de registre pour assurer la persistance après redémarrage.
• Il utilise une fonction personnalisée pour l'extraction de données de cartes de crédit et de données associées en mémoire.
• Le logiciel malveillant utilise l'enregistrement de frappe et stocke les saisies clavier dans un fichier journal. (Les versions ROM et 211G1 ne semblent apparemment pas inclure l'enregistrement de frappe.)
• Le logiciel malveillant tente d'injecter du code dans le processus explorer.exe qui lui permet de se réinstaller s'il est supprimé.
• Il communique régulièrement avec l'attaquant pour envoyer des données, et l'attaquant a la capacité d'envoyer des commandes, y compris de nouvelles versions de logiciels malveillants.

Vous pouvez lire une explication plus détaillée de ce processus dans le “Backoff – Technical Analysis” de SpiderLabs.

Un autre élément d'actualité intéressant qui a été révélé cette semaine concerne la fuite de données de Home Depot, qui serait due à une version de Backoff et a entraîné la perte de 56 millions de numéros de cartes de paiement. Home Depot a annoncé que le logiciel malveillant avait pénétré leurs systèmes grâce aux identifiants légitimes d'un fournisseur tiers. En d'autres termes, le piratage initial a eu lieu sur le réseau de quelqu'un d'autre, permettant aux criminels d'entrer chez Home Depot avec ce qui semblait être une autorisation légitime.

La leçon importante à tirer de cette nouvelle est que parfois, peu importe la qualité de votre sécurité périmétrique. À moins que vous ne viviez dans un bunker souterrain sans aucune connexion à quoi que ce soit ou qui que ce soit, il y a toujours un moyen d'entrer. Et il n'y a pas beaucoup d'entreprises pratiques que vous pouvez gérer depuis un bunker déconnecté.

Bien que Backoff soit principalement conçu comme un logiciel malveillant pour les points de vente ciblant les détaillants, les autres entreprises doivent également être vigilantes. American Banker a publié « Comment fonctionne le logiciel malveillant ‘Backoff’ et pourquoi les banques devraient s'en préoccuper, » visant principalement les institutions financières mais avec des informations précieuses pour toute entreprise. L'article souligne comment la capacité de keylogging du logiciel malveillant peut être utilisée pour voler des mots de passe, ce qui pourrait poser problème pour les banques, les institutions médicales ou toute entreprise traitant des données sécurisées.

Comme presque tous les logiciels malveillants, Backoff essaie toujours de cacher ses activités - en supprimant ses copies, en se renommant, etc. En même temps, il effectue de nombreux changements sur le réseau pendant qu'il mène ses opérations. Et il crée un canal de communication avec l'attaquant afin d'exfiltrer les données volées. En conséquence, l'activité de Backoff devrait apparaître dans un change auditing log. Oui, il est important d'avoir un anti-virus à jour et une protection contre les logiciels malveillants, mais il est également important de surveiller de près votre réseau pour détecter les changements ou communications non autorisés ou inhabituels.

Dans le cas de la violation de Home Depot, un logiciel malveillant était actif sur leurs systèmes pendant au moins quatre mois et envoyait régulièrement des informations de cartes de crédit et d'autres informations personnelles à l'extérieur du réseau. C'est une très longue période pour que tant d'activités se déroulent au sein du réseau sans que des signaux d'alarme soient déclenchés. J'espère que d'autres professionnels de l'informatique sont plus vigilants concernant l'network audit et sont à l'affût de problèmes tels que Backoff. Vous ne voulez pas que votre saison des fêtes soit gâchée par une violation—ou gâcher celle de quelqu'un d'autre.