H1N1 Loader

Le logiciel malveillant H1N1 a été détecté pour la première fois dans la nature comme un simple chargeur - il était chargé de fournir d'autres menaces de logiciels malveillants plus complexes à l'ordinateur déjà compromis. Cependant, il a subi une évolution rapide, les pirates informatiques derrière lui équipant la menace de diverses fonctions menaçantes telles que des techniques d'obfuscation pour entraver toute tentative d'analyse, la fonction de contournement du contrôle de compte d'utilisateur, la collecte de données et l'auto-propagation dans le réseau infiltré. Bien sûr, les fonctions du chargeur étaient toujours intactes.

H1N1 a été livré au système ciblé via des documents MS Word contenant des macros VBA corrompues. Pour masquer le véritable objectif de la macro, une obfuscation lourde, l'utilisation des fonctions de chaîne StrReverse, Ucase, Lcase, Right, Mid et Left est mise en place. Les documents empoisonnés utilisent des tactiques d'ingénierie sociale pour convaincre l'utilisateur d'exécuter la macro corrompue en affichant un bloc brouillé accompagné du message «Activez le contenu pour ajuster ce document à votre version de Microsoft Word. L'objectif final de la macro est de déposer un fichier exécutable H1N1 dans% temp%, puis de l'exécuter.

H1N1 utilise lui-même deux techniques anti-détection et d'analyse: l'obscurcissement de chaîne et l'obscurcissement d'importation via le hachage d'importation. L'obscurcissement des chaînes est obtenu grâce à l'utilisation de SUB, XOR et ADD avec des valeurs DWORD fixes. Lorsque chaque opération est résolue, elle est utilisée comme entrée pour la suivante.

Pour contourner le contrôle de compte d'utilisateur (UAC) des systèmes Windows, H1N1 a exploité une vulnérabilité de détournement de DLL. Il a forcé le programme d'installation autonome de Windows Update (wusa.exe) à exécuter un fichier DLL corrompu en tant que processus de haute intégrité sans susciter une réponse UAC. Un autre outil qui était attaché au H1N1 était une fonction de destruction de processus. La menace a une liste interne de processus, et si une correspondance est détectée sur le système compromis, elle est tuée via la commande ' cmd.exe / c net stop [Service Name] '. Le processus ne peut pas non plus être démarré lors de tout démarrage ultérieur du système via « cmd.exe / c sc config [Service Name] start = disabled ». La liste de H1N1 se composait de 5 processus, dont quatre étaient:

• MpsSvc - Service de pare-feu Windows
• wscsvc - Service du Centre de sécurité Windows
• WinDefend - Service Windows Defender
• wuauserv - Service de mise à jour Windows.

Un aspect assez particulier du H1N1 était sa capacité à supprimer les sauvegardes du système. Cette fonctionnalité est couramment utilisée par les menaces de ransomware, mais est rarement évoquée dans d'autres types de logiciels malveillants. Dans ce cas, les copies Shadow Volume des fichiers sont supprimées via le ' vssadmin.exe delete shadows / quiet / all ', tandis que les options de récupération par défaut de Windows ont été désactivées en exécutant les commandes bcdedit.

Le changement de comportement le plus radical, cependant, a été la transition du H1N1 du statut de programme malveillant de chargement à celui d'une puissante menace d'exfiltration de données. Le chargeur H1N1 pourrait extraire les données des informations de connexion de Firefox. Il a recherché le fichier de données de connexion «logins.json» dans tous les profils système et a exfiltré les valeurs correspondant aux clés «encryptedUsername», «encryptedPassword» et «hostname». Pour accéder aux informations de connexion d'Internet Explorer, la menace a d'abord énuméré le cache d'URL, haché les URL qui s'y trouvaient et essayé de les faire correspondre avec les valeurs stockées dans - HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ Outlook et HKLM \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profiles \ Outlook.

H1N1 Loader est un exemple parfait de la façon dont, grâce à l'itération et au développement constant, des menaces même pas si sophistiquées peuvent devenir des éléments puissants des boîtes à outils des cybercriminels.