Évasion par utilisation d’une instance virtuelle : c’est l’une des techniques cybercriminelles « défensives » répertoriée dans le framework ATT@CK de MITRE. On a vu des ransomwares en faire usage. En particulier Ragnar Locker.
L’alerte à ce sujet avait été donnée au printemps dernier. Levier d’attaque : les GPO (objets de stratégie de groupe), destinés à appliquer des politiques de sécurité sur des systèmes Windows en environnement Active Directory.
Détournés, ils ont servi à exécuter le moteur d’installation MSI pour télécharger un paquet malveillant. Celui-ci comportait deux éléments majeurs. D’une part, un installeur de Sun xVM VirtualBox (version 3.0.4, datée d’août 2009). De l’autre, une image disque (.vdi) basée sur MicroXP 0.82, version « légère » de Windows XP SP3.
Ragnar Locker se cachait dans cette VM. Son exécution se faisait par l’intermédiaire d’un script lancé automatiquement au démarrage. Ledit script avait monté, au préalable, les volumes détectés sur le système hôte. Ne restait plus qu’à les chiffrer, à l’abri des logiciels de sécurité. Lesquels ne voyaient que le processus VirtualBox, exécuté en mode headless.
Au cours de l’été, on a vu Maze adopter la même technique. Mais avec une VM plus volumineuse, fondée sur Windows 7 SP1.
La semaine passée a émergé un autre type de ransomware, qui fait également usage de la virtualisation, mais à des fins purement offensives. On lui a donné le nom de RegretLocker. Simple en apparence, il a une particularité : la capacité à chiffrer des fichiers sur des disques virtuels ; plus précisément ceux au format Hyper-V (VHD/VHDX).
Pour y parvenir, il exploite trois fonctionnalités de l’API Windows Virtual Storage : OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPath. Une clé de chiffrement est codée en dur au cas où RegretLocker ne parviendrait pas à joindre son serveur de contrôle (en .ru).
Le ransomware semble s’inspirer d’une publication récente de la communauté vx-underground. Intitulée « Weaponizing Windows Virtualization », elle traite de l’exploitation d’ISO (images de disques optiques) à des fins malveillantes. Et laisse entendre que la même technique peut s’appliquer aux fichiers VHD.
Photo d’illustration © newfilm.dkviaVisualhunt / CC BY-NC-SA
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…