Évasion par utilisation d’une instance virtuelle : c’est l’une des techniques cybercriminelles « défensives » répertoriée dans le framework ATT@CK de MITRE. On a vu des ransomwares en faire usage. En particulier Ragnar Locker.
L’alerte à ce sujet avait été donnée au printemps dernier. Levier d’attaque : les GPO (objets de stratégie de groupe), destinés à appliquer des politiques de sécurité sur des systèmes Windows en environnement Active Directory.
Détournés, ils ont servi à exécuter le moteur d’installation MSI pour télécharger un paquet malveillant. Celui-ci comportait deux éléments majeurs. D’une part, un installeur de Sun xVM VirtualBox (version 3.0.4, datée d’août 2009). De l’autre, une image disque (.vdi) basée sur MicroXP 0.82, version « légère » de Windows XP SP3.
Ragnar Locker se cachait dans cette VM. Son exécution se faisait par l’intermédiaire d’un script lancé automatiquement au démarrage. Ledit script avait monté, au préalable, les volumes détectés sur le système hôte. Ne restait plus qu’à les chiffrer, à l’abri des logiciels de sécurité. Lesquels ne voyaient que le processus VirtualBox, exécuté en mode headless.
Au cours de l’été, on a vu Maze adopter la même technique. Mais avec une VM plus volumineuse, fondée sur Windows 7 SP1.
La semaine passée a émergé un autre type de ransomware, qui fait également usage de la virtualisation, mais à des fins purement offensives. On lui a donné le nom de RegretLocker. Simple en apparence, il a une particularité : la capacité à chiffrer des fichiers sur des disques virtuels ; plus précisément ceux au format Hyper-V (VHD/VHDX).
Pour y parvenir, il exploite trois fonctionnalités de l’API Windows Virtual Storage : OpenVirtualDisk, AttachVirtualDisk et GetVirtualDiskPhysicalPath. Une clé de chiffrement est codée en dur au cas où RegretLocker ne parviendrait pas à joindre son serveur de contrôle (en .ru).
Le ransomware semble s’inspirer d’une publication récente de la communauté vx-underground. Intitulée « Weaponizing Windows Virtualization », elle traite de l’exploitation d’ISO (images de disques optiques) à des fins malveillantes. Et laisse entendre que la même technique peut s’appliquer aux fichiers VHD.
Photo d’illustration © newfilm.dkviaVisualhunt / CC BY-NC-SA
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…