DoubleAgent: Que peut-il vraiment faire?

DoubleAgent est capable d’injecter du code et de maintenir une persistance sur une machine.

Il peut exploiter:

• Toutes les versions de Windows (Windows XP vers Windows 10)
• Toutes les architectures (x86 and x64)
• Chaque utilisateur Windows (SYSTEM/Admin/etc.)
• Chaque processus cible, y compris les processus privilégiés (OS/Antivirus/etc.)

Injection de code

DoubleAgent donne à l’attaquant la possibilité d’injecter une DLL dans n’importe quel processus. L’injection de code se produit très tôt au cours du démarrage du processus de la victime, ce qui donne à l’attaquant un contrôle total sur le processus et aucun moyen pour le processus de se protéger. La technique d’injection de code est tellement unique qu’il n’est pas détecté ou bloqué par un antivirus.

Persistance

DoubleAgent peut continuer l’injection de code même après le redémarrage. C’est une technique de persistance parfaite pour « survivre » aux redémarrages/mises à jour/réinstallation/patches/etc. Même si la victime désinstalle et réinstalle complètement  son programme, le DLL serait injecté encore à chaque fois qu’il exécute le processus.

Les antivirus vulnérables

La liste des antivirus qui ont été testés et jugés vulnérables à DoubleAgent. Les tests ont été effectués sur la dernière version de chaque antivirus sur Windows 10 (x64) en utilisant le code du POC (proof of concept).

• Avast (CVE-2017-5567)
• AVG (CVE-2017-5566)
• Avira (CVE-2017-6417)
• Bitdefender (CVE-2017-6186)
• Trend Micro (CVE-2017-5565)
• Comodo
• ESET
• F-Secure
• Kaspersky
• Malwarebytes
• McAfee
• Panda
• Quick Heal
• Norton

Vecteurs d’attaques

Au cours d’ une cyber-attaque normale,le pirate investi beaucoup d’effort à se cacher et à fuir l’antivirus. En utilisant DoubleAgent, l’attaquant peut prendre le contrôle total de l’antivirus et exécuter tout action qu’il veut sans craindre d’être bloqué. Il pourrait:

• Transformer l’Antivirus en un malware: Parce que l’antivirus est considéré comme une entité de confiance, toute opération malveillante fait par elle serait considérée comme légitime, donnant à l’attaquant la possibilité de contourner tous les systèmes de sécurité dans le système d’exploitation.
• Modifier le comportement interne de l’antivirus: La modification de la liste blanche ou de la liste noires, la logique interne de l’antivirus, et même l’installation de backdoor. L’antivirus semble encore fonctionner normalement, mais il serait tout à fait inutile, donnant à l’attaquant la possibilité d’exécuter des logiciels malveillants qui seraient normalement bloqué sans aucune interférence.
• Abuser la nature confiante de l’antivirus: L’attaquant peut utiliser l’antivirus pour effectuer des opérations qui devraient normalement bloquer par celui-ci comme l’exfiltration des données, la communication C&C, le vol et le décryptage des données sensibles, etc. Toutes ces opérations sembleraient légitimes parce qu’elles sont effectuées par l’antivirus.
• Détruire la machine: L’antivirus a tout pouvoir sur la machine, ce qui peut lui permet de crypter facilement tous vos fichiers ou même formater vos disques durs.
• Déni de service: Un antivirus est responsable de la signature des logiciels qui agit malicieusement sur la base d’un ensemble de règles heuristiques. Cela signifie que l’attaquant peut signer un logiciel tout à fait légitime tel que les navigateurs, l’explorateur de fichier, ou même certains éléments clés au sein du système d’exploitation. Une fois que la signature est répandue, il causerait alors un déni total de services. Une fois qu’un antivirus décide qu’un fichier est malveillant, il créerait une signature et le partagerait dans le monde à travers les bases virales. Une fois que la nouvelle signature est répandue, toutes les autres instances de l’antivirus supprimeraient l’application critique entraînant ainsi un déni total des services.
• Persistance: Une technique de persistance est une action qui donne à un attaquant une présence persistante sur une système. Les pirates ont souvent besoin de maintenir un accès aux systèmes par interruptions quand celui-ci redémarre. Aujourd’hui, il y a seulement quelques mécanismes de persistance connus.
• Technique d’injection de code générique Cette technique peut également être utilisée comme une nouvelle façon d’injecter du code dans une application. En conséquence, elle permet de contourner les solutions de sécurité actuelles qui tentent d’éviter de telles injections et ajouter du code malveillant dans des processus légitimes. Un attaquant est alors en mesure de voler vos données  ou même prendre part à d’ autres activités sans interruption, car aucune solution de sécurité est capable de détecter ce type d’attaque. Étant donné que la technique de DoubleAgent utilise le mécanisme du système d’exploitation afin d’injecter son code, il ne peut pas être patché et cette technique d’injection restera exploitable pour toujours. Il n’y a donc aucune notion de patch.

Les pirates sont en constante évolution et trouver de nouvelles attaques de type Zero Day. Nous devons faire plus d’ efforts pour détecter et prévenir ces attaques, et cesser de faire confiance aveuglément aux solutions de sécurité traditionnelles, qui, comme indiqué ici, ne sont pas seulement inefficaces contre DoubleAgent, mais aussi ouvre de nouvelles opportunités pour le pirate de créer des attaques complexes, meurtrières et dévastatrices.