Présentation de ‘Poweliks’, le malware indétectable

Publié le

Poweliks n’est pas un malware comme les autres. En effet, il s’agit d’un programme malveillant qui s’amuse à contourner, sans difficulté, tous les antivirus. Pour cela, il s’installe directement sur le disque dur de Windows sans passer par une installation préalable et sans laisser aucune trace de fichier installé.
Comment se protéger face à Poweliks alors qu’un puissant antivirus capitule dès le départ ? Les experts de G Data se sont penchés sur la question et dévoilent leur analyse sur cette menace.

Une stratégie d’attaque unique en son genre

Lorsque l’on évoque le terme ‘programme malveillant’, on pense généralement à des fichiers inconnus, stockés sur le système informatique, tentant de l’endommager ou de voler des informations personnelles. Détectables, ils peuvent être facilement traités par un antivirus classique. Cependant, le malware Poweliks n’est pas comme les autres… Ses inventeurs ont mis au point un code rare et extrêmement crypté qui est capable de nicher sur le disque dur sans jamais être détecté.

Pour cela, ils ont élaboré un système d’attaque par étapes :

1. L’introduction de Poweliks dans l’ordinateur se fait grâce à une vulnérabilité de Microsoft Word.
2. Pour passer inaperçu, il crée une clé de registre de démarrage codée ce qui lui permet de résister à tous les redémarrages.
3. Cette clé présente deux codes : celui qui installe automatiquement Windows PowerShell et le script PowerShellx64, qui exécute le shellcode.
4. Ce shellcode exécute un programme binaire Windows qui se connecte à des adresses IP codées pour communiquer avec un serveur et recevoir des commandes.

Stocké sur le disque dur et totalement crypté, Poweliks est capable de contourner toutes les analyses des antivirus et donc d’arriver à ses fins sans que l’utilisateur s’en aperçoive. Pour éviter ce genre de situation, il est possible de neutraliser le document Word avant que le processus ne soit enclenché ou de détecter tout comportement inhabituel pour bloquer le malware. L’analyse de G Data, ci-dessous, aidera tous les utilisateurs à flairer sa piste.

Poweliks mis à nu par G Data

Les experts de G Data SecurityLabs ont analysé Poweliks afin de découvrir le mécanisme utilisé par les cyber-attaquants. Ils ont ainsi détaillé ce qui se passe durant les quatre étapes du processus :

Etape 1 : Le point d’entrée

Poweliks exploite Microsoft Word via la vulnérabilité décrite dans le CVE-2012-0158. Les premiers comportements inhabituels ont été détectés dans de fausses pièces jointes envoyées par la poste canadienne ou par UPS – celles-ci prétendaient contenir des bons de commande.

Etape 2 : La clé pour passer inaperçu

Pour résister à chaque redémarrage du système, une clé de registre de démarrage automatique est créée :

Aperçu de la clé de registre de démarrage automatique

Cette dernière peut être ouverte et exécutée grâce au script suivant :

Aperçu du script de la clé de registre de démarrage

Voici une capture d’écran du code de la clé de registre, bien évidemment elle est cryptée…

Code de la clé de registre de démarrage

Etape 3 : Un processus en poupées russes

Un chercheur en sécurité a su trouver un moyen pour décoder ce genre de clé. Son laboratoire a ainsi identifié deux codes bien distincts : le script qui installe automatiquement Windows PowerShell et un autre, le PowerShellx64, qui exécute le shellcode. En temps normal, Windows empêche l’exécution de scripts PowerShell et affiche un message d’erreur, mais les créateurs de Poweliks ont réussi à contourner cette limitation en programmant une exécution du fichier en mode interactif.

Une fois Windows PowerShell installé, PowerShellx64 lance automatiquement l’exécution du shellcode. En effet, grâce à la variable $p, il peut utiliser VirtualProtect( ) pour rendre le fichier exécutable et CallWindowProcA( ) pour l’exécuter.

Etape 4 : L’attaque via un programme binaire Windows

Une fois exécuté, le shellcode peut allouer la mémoire de l’ordinateur en utilisant VirtualAlloc( ), copier des données ainsi que les siennes vers l’offset 0x1104 et exécuter le code copié.

Capture d’écran du programme binaire Windows dans le shellcodeCapture d’écran du programme binaire Windows dans le shellcode

Le programme binaire Windows est identifiable grâce aux caractères ‘MZ’ et aux chaînes MPRESS1 et MPRESS2. Représentant le malware, ils peuvent se connecter à deux adresses IP localisées au Kazakhstan afin de recevoir des commandes.

A l’heure actuelle, ces adresses sont hors ligne ce qui empêche de connaître la réelle motivation des cyber-attaquants. Par conséquent, il n’est à omettre aucune hypothèse d’attaque telle que l’installation de logiciels espions pour voler des informations, l’installation de chevaux de Troie bancaires pour voler de l’argent ou la mise en place de fraudes au clic.


Pour suivre les dernières découvertes sur Poweliks ainsi que d’autres actualités, rendez-vous sur le site et sur le blog de G Data.

Envoi
User Review
0 (0 votes)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet