SecurityInsider
Le blog des experts sécurité Wavestone

CERT-Solucom - retour sur l'actualité de la semaine du 23 mars 2015



[Focus] – PoSeidon, ce nouveau malware à destination des PoS

Quelques rappels

Qu’est-ce qu’un PoS ? Un Point of Sale (PoS) est un point de vente, ici, il fait référence à des systèmes permettant de réaliser des transactions commerciales (par exemple : des caisses enregistreuses, des guichets de vente automatisés, etc.).
Techniquement, ces systèmes sont souvent équipés d’un écran tactile, d’un système d’exploitation Windows (souvent XP, encore aujourd’hui) et d’un terminal de paiement.

Les PoS sont coutumiers des revues d’actualité sécurité, des attaques ayant lieu régulièrement sur ces équipements. Les plus récentes utilisaient un malware nommé BlackPOS et avaient permis les attaques sur HomeDepot et Target. Pour rappel, ces deux attaques avaient, en 2013 et 2014, abouti au vol de plusieurs millions de numéros de carte bancaire.

Récemment, Cisco, a publié les résultats de ces recherches sur un nouveau malware appelé PoSeidon et que nous pourrions retrouver prochainement dans des cas de vol massif de cartes bancaires.

Fonctionnement de PoSeidon

Source : Talos Security Intelligence and Research Group

1. Tout d’abord PoSeidon va chercher à persister sur le système. Son objectif est de rester actif même si l’utilisateur du système vient à se déconnecter ou si le système redémarre. Pour cela, il va s’installer en tant que service (sous le nom de WinHost et localisé à %SystemRoot%\System32\WinHost.exe). En cas d’échec de création du service, il est également capable de créer des clés de registre afin de solliciter son démarrage lors de l’ouverture de session (clé de registre et exécutable associés : HKCU\Microsoft\Windows\CurrentVersion\Run\WinHost32 et %UserProfile%\WinHost32.exe) de l’utilisateur.
2. 3. 4. Une fois sa persistance assurée, il va contacter ses serveurs de command & control (C&C) afin de télécharger l’exécutable FindStr. Pour cela, il va s’adresser à des serveurs dont le nom est codé en dur dans le code du malware et dont la plupart possède des noms de domaine avec un TLD russe (.ru). 
Liste des serveurs C&C retrouvés dans le code de PoSeidon
Source : Talos Security Intelligence and Research Group

5. FindStr installe ensuite un keylogger (similaire à ce que l’on peut trouver ici : http://www.codeproject.com/Articles/297312/Minimal-Key-Logger-using-RAWINPUT) afin de capturer les frappes clavier.
6. FindStr analyse les frappes clavier obtenues à la recherche de numéros de carte bancaire et en recherche d’autres dans la mémoire des processus en cours d’exécution. Pour cela, il va mettre en œuvre plusieurs algorithmes afin de cibler ses recherches uniquement sur les modèles suivants :
  • séquence de 16 chiffres commençant par un 4, un 5 ou un 6 (cartes : Discover, Visa et Mastercard) ;
  • séquence de 15 chiffres commençant par un 3 (carte : American Express).
Suite à l’identification d’une séquence correspondant à un numéro de carte, FindStr va procéder à une vérification de la validité de ce numéro en utilisant l’algorithme de Luhn (http://fr.wikipedia.org/wiki/Formule_de_Luhn).
7. Enfin, les numéros de cartes bancaires obtenus sont extraits vers d’autres serveurs. Ceux-ci possèdent également pour la plupart un TLD russe.


Liste des serveurs auxquels PoSeidon envoie ses numéros de carte bancaire
Source : Talos Security Intelligence and Research Group

Par la suite, PoSeidon reste en contact avec ses serveurs de command & control. Il sera en mesure de recevoir d’autres instructions, des mises à jour, etc. et continuera à alimenter les serveurs avec les informations qu’il obtient.

Conclusion

Bien que les malwares ciblant des PoS ne soient pas nouveaux, ils ne semblent pas près de s’arrêter. Le développement de nouveaux malwares tels que PoSeidon montre que les listes de numéros de carte bancaire sont toujours une cible privilégiée et que leur revente sur le marché noir est toujours aussi lucrative.
Prenons en compte le problème dans son ensemble, celui-ci s’avère complexe puisque un au niveau système les PoS reposent bien souvent sur des composants obsolètes et/ou non patchés qui restent difficiles à mettre à jour. Par ailleurs, ceux-ci doivent être interconnectés avec d’autres briques du SI notamment pour procéder aux transactions bancaires, alimenter/mettre à jour les systèmes de réservation, etc.
Il est donc particulièrement important d’adresser le volet de la surveillance (système et réseau) afin de détecter au plus tôt la compromission d’un système de ce type.


[Brève] – Le marché noir « Evolution », plaque tournante du web disparaît subitement, les administrateurs soupçonnés d’être partis avec la caisse

Ce WebMarket accessible uniquement depuis Tor proposait de la drogue, des armes et autres produits illégaux. Les administrateurs sont soupçonnés d’être partis avec une valeur de 12 millions de dollars en bitcoin.
Sources :

[Brève] – Pirater un bios, un « jeu d’enfant »

"Because almost no one patches their BIOSes, almost every BIOS in the wild is affected by at least one vulnerability, and can be infected".
Sources :  

[Brève] – Un certificat frauduleux de Windows Live expose les utilisateurs à une attaque Man In The Middle

Une fois encore, la chaine de confiance SSL est mise à défaut et l’on retrouve un acteur qui avait déjà fait les gros titres dans ce domaine : Comodo (https://threatpost.com/phony-ssl-certificates-issued-google-yahoo-skype-others-032311).
Sources :

[Brève] – Patch de niveau critique pour OpenSSL cette semaine

L’équipe du projet OpenSSL a annoncé cette semaine la publication d’une nouvelle version de son code pour régler un certain nombre de faiblesses concernant la sécurité, dont certaines jugées « critiques ».
Sources :

[Brève] – Le plugin WordPress WPML expose 400 000 sites à de nouvelles menaces

Wordpress fait parler à nouveau de ses soucis de sécurité. Ce plugin, populaire pour les blogs multilingues, présente quatre failles critiques dont une injection SQL et un XSS permanent.
Sources :

[Brève] – Mise à jour de Drupal : l’attaquant pouvait réinitialiser les mots de passe

Drupal, l’un des CMS open-source les plus utilisés, propose cette semaine un patch pour une faille permettant de bypasser la réinitialisation du mot de passe. Des failles Open Redirect ont également été découvertes sur le CMS.
Sources :

[Brève] – Les entreprises prennent-elles enfin conscience du risque de cyber-attaque ?

Suite à la publication du rapport annuel du groupe CyberEdge, les chiffres montrent que la plupart des entreprises s’attendent à subir une cyber-attaque dans les 12 prochains mois. 
Sources :

Alexis BONSERGENT et Romain MEILLERAIS

Aucun commentaire:

Enregistrer un commentaire