EKANS : autopsie du ransomware qui aurait touché Honda
Publié par Clément Bohic le | Mis à jour le
Fortinet a examiné deux échantillons d'EKANS. Comment fonctionne ce ransomware qu'on suspecte d'avoir touché Honda le mois dernier ?
Le langage Go, aubaine pour les pirates informatiques ? Fortinet le suggère dans un rapport relatif à EKANS.
Le groupe américain a examiné deux échantillons de ce ransomware qu'on dit impliqué dans une récente attaque contre Honda.
L'un et l'autre de ces échantillons - respectivement datés de mai et de juin - sont écrits en Go.
Ce langage présente l'avantage de pouvoir facilement compiler du code pour de nombreuses plates-formes. En contrepartie, il peut produire des binaires lourds. Les développeurs ont la possibilité de les « alléger » pendant la compilation, moyennant le retrait d'informations utilisées essentiellement pour le débogage.
Pour les cybercriminels, le bénéfice est potentiellement double. D'un côté, plus gros sont les fichiers, plus leur analyse prend de temps. De l'autre, moins il y a d'informations disponibles, plus la tâche est compliquée.
Confronté à cette situation, Fortinet a dû développer un plug-in « spécial EKANS » pour le désassembleur IDA. Il en est ressorti un ransomware au fonctionnement typique, avec cependant quelques spécificités.
EKANS : recherche contrôleurs de domaines.
EKANS commence par vérifier l'environnement sur lequel il se trouve. Il n'enclenche sa routine qu'à condition d'avoir été capable de résoudre un nom de domaine et une IP bien précis. L'échantillon de mai, par exemple, cible un sous-domaine hébergé chez un fournisseur de soins de santé et visiblement inaccessible depuis l'extérieur.
Le ransomware cherche d'autres informations. Notamment le rôle de la machine infectée (il semble rechercher en particulier les contrôleurs de domaines). Ladite machine est ensuite isolée : deux commandes netsh permettent de bloquer tout trafic entrant ou sortant susceptible d'interférer avec le processus de chiffrement.
Ce dernier ne s'enclenche pas tout de suite. Trois étapes précèdent :
EKANS inclut d'autres listes « en dur ». En l'occurrence, les règles de chiffrement. Il évite ainsi certains chemins absolus, mais aussi relatifs (par exemple, les éléments contenus dans les dossiers AppData, All Users et Program Files). Il existe aussi un filtrage par extension de fichier (exe, sys, dll.), mais l'échantillon de mai n'en tient pas compte.
. pour infection à grande échelle
Le chiffrement s'effectue en enveloppe : une clé RSA maîtresse protège chacune des clés AES qui chiffrent les fichiers. L'ensemble des volumes de stockage connectés à la machine infectée sont susceptibles d'être touchés. Seul l'échantillon de juin recherche toutefois les partages réseau.
Pour accélérer le chiffrement, chaque tâche est divisée en 8 sous-tâches coordonnées. Les fichiers chiffrés avec succès sont renommés par ajout de 5 chiffres aléatoires. La note invitant au paiement d'une rançon est laissée soit sur le Bureau, soit à la racine du disque système.
Spécificité de la variante de juin : elle désactive le firewall en fin de processus. Celle de mai l'active quant à elle avant de chiffrer. Probablement pour détecter d'éventuels outils de sécurité et bloquer toute communication avec eux.
Fortinet a déterminé deux points d'entrée majeurs pour EKANS. D'un côté, des sessions RDP mal protégées (failles ou identifiants insuffisamment sécurisés). De l'autre, le phishing, « qui reste la méthode préférée ».
Pour pénétrer plus loin dans les SI infectés, deux techniques. D'une part, extraire des secrets dans le processus LSASS. De l'autre, se servir de l'utilitaire PsExec (composante de Sysinternals), utilisé en temps normal pour administrer les réseaux.
Si l'attaquant a accès à un contrôleur de domaine, il lui est possible d'exploiter les objets de stratégie de groupe (GPO), destinés à appliquer des politiques de sécurité sur des systèmes Windows en environnement Active Directory. Et ainsi latéraliser EKANS sur les machines du domaine.
Illustration principale © Honda Motors