trickbot

TrickBot s’attaque aux clés SSH

Le malware TrickBot a mis à jour son récolteur de mot de passe pour cibler les données des applications OpenSSH et OpenVPN.

OpenSSH est un outil de connectivité pour la connexion à distance qui utilise le protocole SSH, il chiffre tout le traffic. OpenVPN est utilisé pour les réseaux privés virtuels.

TrickBot cible les hôtes Windows et télécharge ensuite différents modules pour effectuer différentes fonctions. L’une de ces fonctions, nommée pwgrab64, récupère les informations de connexion stockées dans le cache du navigateur de la victime et des applications installées.

“Le récolteur de mot de passe et quelques modules TrickBot envoient les données vers une adresse IP de TrickBot en utilisant le port 8082 (HTTP over TCP),” ont expliqué les chercheurs du groupe Unit 42 de Palo Alto dans un communiqué. “L’URL dans la requête HTTP POST se termine avec le nombre 81. Ce nombre est utilisé dans les URL générées par le module de capture de mot de passe de TrickBot.”

Cela a permis aux chercheurs de pister les habitudes de trafic du module sur les récentes infections de TrickBot. Un peu plus tôt ce mois-ci, Unit 42 a commencé à voir deux nouvelles requêtes HTTP POST causées par la capture de mot de passe ainsi que des clés privées OpenSSH, des mots de passe OpenVPN et des fichiers de configuration. Le module capture aussi des données sensibles comme les clés privées des applications liées à SSH, tel que le client SSH/Telnet nommé PuTTY.

Kevin Bocek, vice-président de la stratégie de sécurité chez Venafi, a fait remarqué que les clés SSH ont énormément de valeurs. SSH utilise des clés cryptographiques publiques pour authentifier les ordinateurs distants et permet aussi d’authentifier l’utilisateur, si cela est nécessaire. Il y’a plusieurs façon d’utiliser SSH, l’une d’entre elles est d’utiliser les paires de clés publics-privés générées automatiquement pour chiffrer une connexion réseau et ensuite utiliser le mot de passe pour se connecter.

“Les cybercriminels savent que les clés SSH permettent d’avoir le contrôle total des appareils et le dernier malware TrickBot est très efficace pour subtiliser ces données sensibles,” a déclaré Kevin Bocek. “Les clés SSH doivent être changé fréquemment, et la seule façon de faire cela est d’utiliser l’automation, mais beaucoup d’organisations, y compris les banques, ne les changent jamais.”

“Certaines clés SSH n’expirent jamais et peuvent donc être utilisé pour créer des portes dérobées qui permettent aux pirates d’avoir accès aux réseaux pendant plusieurs mois ou même plusieurs années.”

Il a ajouté, “Bien que les clés SSH sont utilisés pour plusieurs types d’accès privilégiés, la plupart des organisations n’ont pas de contrôles de sécurité en place pour minimiser les risques qui y sont liés. Sans une plus large reconnaissance du rôle important que joue les clés SSH dans les attaques et l’implémentation des contrôles de sécurités pour les protéger, les organisations seront toujours ciblées par des attaques comme TrickBot.”

TrickBot

Ce qui est intéressant c’est que les requêtes HTTP POST pour OpenSSH et OpenVPN se produisent même si la victime n’a installé aucun de ces services, ce qui pousse les chercheurs à penser que ces deux fonctions ne sont pas encore abouties.

“Nous avons provoqué des infections TrickBot dans un environnement contrôlé pour Windows 7 et Windows 10 avec des applications OpenSSH et OpenVPN configurées. Cependant, nous n’avons pas vu de résultats satisfaisants,” ont noté les chercheurs. “Les requêtes HTTP POST générées par la capture de mot de passe pour OpenSSH et OpenVPN ne contenaient aucune donnée.”

Cependant, la capture de mots de passe de TrickBot récupère bien les mots de passe SSH et les clés privées de PuTTY, si le client est configuré pour utiliser une clé privée lors d’une connexion SSH vers un serveur du cloud.

Trickbot s’améliore

“Ces nouvelles habitudes de trafic montrent que TrickBot continue d’évoluer,” ont déclaré les chercheurs d’Unit 42. “Cependant, avec une version de Microsoft Windows à jour et patchée, il est possible d’empêcher les infections TrickBot ou même de les stopper.”

Depuis sa première apparition en 2016 TrickBot ne cesse d’évoluer et d’intégrer de nouvelles fonction.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de