Crédit : Dreamstime
Une nouvelle structure de post-exploitation qui permet l’activité de ses étoiles à persister sur leurs cibles a été révélée par les chasseurs de dangers Falcon OverWatch de Crowdsrike.
Appelé IceApple, le framework basé sur .NET a été observé depuis fin 2021 dans de nombreux environnements de victimes dans des endroits géographiquement divers avec des cibles couvrant les secteurs de la technologie, de l’école et du gouvernement fédéral, selon le rapport de CrowdStrike.
Déjà, les chasseurs de risques de Falcon OverWatch ont découvert la structure uniquement dans les circonstances de Microsoft Exchange, mais ils ont déclaré qu’elle est capable de fonctionner sous n’importe quelle application Web Internet Info Services (IIS) et conseillent aux organisations de s’assurer que leurs applications Web sont totalement couvertes pour prévenir l’infection.
» Bien que l’utilisation de .NET et de code réfléchissant dans les attaques soit courante, ce qui est inhabituel, c’est la façon dont ces acteurs de la menace essaient d’éviter la détection », a déclaré le vice-président de Falcon OverWatch, Param Singh, au CSO. » Ils n’utilisent pas une stratégie d’évasion. Ils utilisent six ou 7 techniques d’évasion. «
IceApple cible les API Microsoft codées en dur
CrowdStrike décrit les moyens par lesquels IceApple est conçu pour éviter la détection. Par exemple, il utilise une structure en mémoire uniquement, ce qui permet à l’application logicielle de préserver une faible empreinte médico-légale dans un environnement ciblé.
Les chasseurs de dangers ont également découvert l’un des modules de la structure exploitant des API non documentées non destiné à être utilisé par des développeurs tiers. Singh décrit que Microsoft a en fait créé deux ensembles d’API : un ensemble convivial généralement utilisé par les développeurs tiers et un ensemble non documenté pour les concepteurs de Microsoft.
» Les auteurs de logiciels malveillants et les concepteurs normaux utilisent les API conviviales », a-t-il déclaré. » Ce que font les acteurs du danger IceApple, c’est contourner les API conviviales et accéder directement aux API Microsoft codées en dur. Ce contournement est évasif puisque la majorité des fournisseurs de sécurité n’utilisent que les API faciles à utiliser. «
Une autre technique d’évasion peut être découverte dans la façon dont les fichiers utilisés pour assembler la structure sont nommés. À première vue, ils semblent être des fichiers courants de courte durée créés dans le cadre de la procédure de conversion des soumissions source ASPX en assemblages .NET pour le chargement d’IIS.
Une évaluation plus approfondie révèle que les noms de fichiers ne sont pas générés de manière aléatoire comme on pourrait s’y attendre, et la méthode de chargement des assemblages ne correspond pas à ce qui est typique pour Microsoft Exchange et IIS.
Le faible encombrement rend IceApple difficile à repérer
IceApple utilise également des méthodes de « grossage » pour réduire son empreinte afin de minimiser le risque de détection.
» Étant donné que le cadre utilise une méthode modulaire, les agresseurs peuvent décomposer leur code en morceaux et simplement déposer les morceaux pertinents pour un environnement cible spécifique « , a décrit Singh. » Nous avons découvert 18 modules différents, mais certaines cibles pourraient n’en voir que 7, car l’agresseur peut être intéressé par la persévérance et non l’exfiltration. «
» En décomposant la grande structure en portions de plus petite taille, ils peuvent gardez les tailles de fichier beaucoup plus petites », a déclaré Singh. » Souvent, lorsqu’un fichier est étiqueté comme un fichier à court terme et qu’il ne contient que des kilo-octets, vous pourriez penser qu’il ne s’agit en réalité que d’un fichier temporaire. C’est seulement lorsque les fichiers momentanés atteignent des mégaoctets qu’ils deviennent suspects. «
Les objectifs d’IceApple s’alignent sur les objectifs des États-nations
Le rapport CrowdStrike garde également à l’esprit que les objectifs à long terme d’IceApple axés sur la collecte de renseignements s’alignent sur un objectif ciblé parrainé par l’État.
« Nous avons vu des combinaisons comparables de techniques d’évasion de la part d’acteurs menaçants d’États-nations », a déclaré Singh. » De nombreux niveaux d’évasion sont utilisés par les acteurs du risque qui souhaitent s’assurer qu’ils ne sont pas en train de démarrer une machine. Ils sont persistants et mènent un projet à long terme. «
Toute l’actualité en temps réel, est sur L’Entrepreneur
