Le malware AcidBox utilise un exploit de VirtualBox

Un logiciel malveillant avancé, baptisé AcidBox, a été identifié par des chercheurs qui disent qu’un mystérieux groupe de cybercriminels l’a utilisé deux fois contre des organisations russes depuis 2017. Dans un rapport, l’unité 42 de Palo Alto Networks fait la lumière sur les attaques contre le populaire logiciel de virtualisation VirtualBox qui ont utilisé le malware AcidBox.

Le rapport de l’unité 42 sur les attaques VirtualBox commence en 2008 lorsque les chercheurs de Core Security ont trouvé une faille dans le mécanisme de sécurité de Windows Vista appelé Driver Signature Enforcement (DSE). Cette faille a permis à un hacker de désactiver DSE et d’installer des logiciels malveillants sur des instances ciblées du logiciel VirtualBox d’Oracle. La faille (CVE-2008-3431) affectant le pilote VirtualBox VBoxDrv.sys a été corrigée dans la version 1.6.4.

acidbox

Avance rapide jusqu’à 2014, et le célèbre groupe Turla a développé le premier malware à avoir abusé d’un pilote de périphérique tiers pour désactiver DSE, utilisant ainsi les recherches de Core Security. Les attaques du groupe Turla se sont également concentrées sur les pilotes de VirtualBox. Et malgré le correctif d’Oracle en 2008, les opérateurs de Turla ont réussi à trouver comment désactiver DSE avec leur malware. En effet, selon l’Unité 42, malgré la correction de la faille (CVE-2008-3431), une seule des deux vulnérabilités a été corrigée en 2008.

“L’exploit utilisé par Turla exploite en fait deux vulnérabilités, seulement l’une d’entre elle a été corrigée [CVE-2008-3431]”, a écrit l’unité 42 dans son rapport. Les chercheurs ont déclaré que le malware du groupe Turla ciblait également une deuxième vulnérabilité DSE liée à un pilote de VirtualBox signé (VBoxDrv.sys v1.6.2) utilisant ce qui serait plus tard identifié comme le malware AcidBox.

Avance rapide jusqu’en 2019, et c’est à ce moment-là que l’unité 42 a déclaré avoir découvert un échantillon d’AcidBox qui avait été téléchargé sur VirusTotal. Les chercheurs ont ensuite fait le lien entre le malware AcidBox et de nouvelles attaques contre le pilote VirtualBox VBoxDrv.sys v1.6.2, ainsi que toutes les autres versions jusqu’à la v3.0.0 (la version actuelle de VirtualBox est la version 6).

«En raison de la complexité, de la rareté du malware et du fait qu’il fait partie d’un ensemble d’outils plus vaste, nous pensons qu’il a été utilisé par un acteur avancé pour des attaques ciblées et il est probable que ce malware soit toujours utilisé aujourd’hui si l’attaquant est toujours actif. », ont écrit Dominik Reichel et Esmid Idrizovic, chercheurs de l’équipe Unit 42 de Palo Alto Networks.

Malgré les similitudes entre le groupe Turla et le cybergang derrière les récentes attaques VirtualBox, les chercheurs ont déclaré que les deux groupes de menaces ne sont pas liés. Turla, également connue sous le nom de Venomous Bear, Waterbug et Uroboros, est un acteur de menace russophone connu depuis 2014.

Exploit VirtualBox

L’exploit utilisé par Turla exploite deux vulnérabilités. La première faille (CVE-2008-3431), corrigée en 2008, existe dans la fonction VBoxDrvNtDeviceControl dans VBoxDrv.sys. La fonction ne valide pas correctement un tampon associé à l’objet Irp, permettant aux utilisateurs locaux d’obtenir des privilèges en ouvrant le périphérique \\.\VBoxDrv et en appelant DeviceIoControl pour envoyer une adresse de noyau spéciale.

Cependant, la deuxième vulnérabilité n’est toujours pas corrigée et a été exploitée dans une version plus récente de l’exploit de Turla, qui, selon les chercheurs, a été introduite en 2014 dans le logiciel malveillant. C’est cet exploit que le pirate informatique encore inconnu derrière AcidBox a exploité lors de l’attaque de 2017 contre les deux sociétés russes.

acidbox

Reichel a déclaré que la faille non corrigée “n’a jamais obtenu de CVE car elle a été naturellement (c’est-à-dire involontairement) corrigée dans la version 3.0.0.”

“[AcidBox] utilise un exploit VirtualBox connu pour désactiver Driver Signature Enforcement dans Windows, mais avec une nouvelle astuce: bien que le pilote VirtualBox VBoxDrv.sys v1.6.2 soit vulnérable et utilisé par Turla, ce nouveau malware utilise le même exploit mais avec une version de VirtualBox légèrement plus récente », ont déclaré les chercheurs.

Le malware

Le malware AcidBox lui-même est une boîte à outils modulaire complexe. Les chercheurs n’ont accès qu’à une petite partie de cette boîte à outils. Ils ont trouvé 4 DLL 64 bits et un pilote non signé. Trois (sur ces quatre échantillons en mode utilisateur (msv1_0.dll, pku2u.dll, wdigest.dll) ont des fonctionnalités identiques et sont des loaders pour le module de travail principal.

Les chercheurs ont également noté que les attaquants utilisent leurs propres fichiers DEF (au lieu de __declspec (dllexport), qui ajoute la directive d’exportation au fichier objet afin que les utilisateurs n’aient pas besoin d’utiliser un fichier DEF) pour donner des instructions sur le moment d’importer ou d’exporter ses DLL. Un fichier DEF (ou fichier de définition de module) est un fichier texte contenant une ou plusieurs instructions de module qui décrivent divers attributs d’une DLL. Lorsqu’un fichier DEF est utilisé, les attaquants peuvent choisir l’ordinal de leur fonction d’exportation.

«Ce n’est pas possible avec __declspec (dllexport) car le compilateur Visual Studio compte toujours vos fonctions à partir de 1», ont déclaré les chercheurs. «L’utilisation d’un fichier DEF au lieu de __declspec (dllexport) présente certains avantages. Vous pouvez exporter des fonctions par des ordinaux et vous pouvez également rediriger des fonctions. L’inconvénient est que vous devez conserver un fichier supplémentaire dans votre projet. »

Reichel a déclaré qu’il y avait encore beaucoup d’inconnues concernant le logiciel malveillant, mais il “encourageait la communauté de la sécurité informatique à collaborer avec nous et à partager toute information supplémentaire sur cette menace”.

AcidBox est un logiciel malveillant «très rare» qui est probablement utilisé dans des attaques très ciblées, selon des chercheurs.

“Bien qu’AcidBox n’utilise aucune méthode fondamentalement nouvelle, cela brise le mythe selon lequel seul VirtualBox VBoxDrv.sys 1.6.2 peut être utilisé pour l’exploit de Turla”, ont-ils déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.