{"id":243648,"date":"2022-07-07T05:44:29","date_gmt":"2022-07-07T07:44:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-le-nouveau-logiciel-malveillant-orbit-linux-qui-detourne-le-flux-dexecution\/"},"modified":"2022-07-07T05:44:30","modified_gmt":"2022-07-07T07:44:30","slug":"des-chercheurs-mettent-en-garde-contre-le-nouveau-logiciel-malveillant-orbit-linux-qui-detourne-le-flux-dexecution","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-mettent-en-garde-contre-le-nouveau-logiciel-malveillant-orbit-linux-qui-detourne-le-flux-dexecution\/","title":{"rendered":"Des chercheurs mettent en garde contre le nouveau logiciel malveillant OrBit Linux qui d\u00e9tourne le flux d&#8217;ex\u00e9cution"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 une nouvelle menace Linux enti\u00e8rement non d\u00e9tect\u00e9e appel\u00e9e <strong>Orbite<\/strong>signale une tendance croissante des attaques de logiciels malveillants orient\u00e9es vers le syst\u00e8me d&#8217;exploitation populaire.<\/p>\n<p>Le malware tire son nom de l&#8217;un des noms de fichiers utilis\u00e9s pour stocker temporairement la sortie des commandes ex\u00e9cut\u00e9es (&#8220;\/tmp\/.orbit&#8221;), selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Intezer.<\/p>\n<p>&#8220;Il peut \u00eatre install\u00e9 soit avec des capacit\u00e9s de persistance, soit comme un implant volatil&#8221;, a d\u00e9clar\u00e9 la chercheuse en s\u00e9curit\u00e9 Nicole Fishbein. <a rel=\"nofollow noopener\" href=\"https:\/\/www.intezer.com\/blog\/incident-response\/orbit-new-undetected-linux-threat\/\" target=\"_blank\">a dit<\/a>.  &#8220;Le logiciel malveillant met en \u0153uvre des techniques d&#8217;\u00e9vasion avanc\u00e9es et gagne en persistance sur la machine en accrochant des fonctions cl\u00e9s, fournit aux acteurs de la menace des capacit\u00e9s d&#8217;acc\u00e8s \u00e0 distance via SSH, collecte les informations d&#8217;identification et enregistre les commandes TTY.&#8221;<\/p>\n<p>OrBit est le quatri\u00e8me malware Linux \u00e0 avoir \u00e9t\u00e9 d\u00e9couvert en trois mois apr\u00e8s BPFDoor, Symbiote et Syslogk.<\/p>\n<p>Le logiciel malveillant fonctionne \u00e9galement beaucoup comme Symbiote en ce sens qu&#8217;il est con\u00e7u pour infecter tous les processus en cours d&#8217;ex\u00e9cution sur les machines compromises.  Mais contrairement \u00e0 ce dernier qui s&#8217;appuie sur <a rel=\"nofollow noopener\" href=\"https:\/\/help.ubuntu.com\/community\/EnvironmentVariables\" target=\"_blank\">Variable d&#8217;environnement LD_PRELOAD<\/a> pour charger l&#8217;objet partag\u00e9, OrBit utilise deux m\u00e9thodes diff\u00e9rentes.<\/p>\n<p>&#8220;La premi\u00e8re consiste \u00e0 ajouter l&#8217;objet partag\u00e9 au fichier de configuration utilis\u00e9 par le chargeur&#8221;, a expliqu\u00e9 Fishbein.  &#8220;La deuxi\u00e8me fa\u00e7on consiste \u00e0 patcher le binaire du chargeur lui-m\u00eame afin qu&#8217;il charge l&#8217;objet partag\u00e9 malveillant.&#8221;<\/p>\n<p>La cha\u00eene d&#8217;attaque commence par un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/f1612924814ac73339f777b48b0de28b716d606e142d4d3f4308ec648e3f56c8\" target=\"_blank\">Compte-gouttes ELF<\/a> fichier responsable de l&#8217;extraction du <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020\" target=\"_blank\">charge utile<\/a> (&#8220;libdl.so&#8221;) et en l&#8217;ajoutant aux biblioth\u00e8ques partag\u00e9es charg\u00e9es par le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dynamic_linker\" target=\"_blank\">lieur dynamique<\/a>.<\/p>\n<p>La biblioth\u00e8que partag\u00e9e malveillante est con\u00e7ue pour <a rel=\"nofollow noopener\" href=\"https:\/\/www.netspi.com\/blog\/technical\/network-penetration-testing\/function-hooking-part-i-hooking-shared-library-function-calls-in-linux\/\" target=\"_blank\">fonctions de crochet<\/a> \u00e0 partir de trois biblioth\u00e8ques &#8211; libc, libcap et Pluggable Authentication Module (PAM) &#8211; obligeant les processus existants et nouveaux \u00e0 utiliser les fonctions modifi\u00e9es, lui permettant essentiellement de collecter les informations d&#8217;identification, de masquer l&#8217;activit\u00e9 r\u00e9seau et de configurer l&#8217;acc\u00e8s \u00e0 distance \u00e0 l&#8217;h\u00f4te via SSH, tous tout en restant sous le radar.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>De plus, OrBit s&#8217;appuie sur un barrage de m\u00e9thodes qui lui permettent de fonctionner sans alerter sa pr\u00e9sence et d&#8217;\u00e9tablir une persistance d&#8217;une mani\u00e8re qui rend difficile son retrait des machines infect\u00e9es.<\/p>\n<p>Une fois engag\u00e9e, l&#8217;objectif ultime de la porte d\u00e9rob\u00e9e est de voler des informations en accrochant les fonctions de lecture et d&#8217;\u00e9criture pour capturer les donn\u00e9es qui sont \u00e9crites par les processus ex\u00e9cut\u00e9s sur la machine, y compris les commandes bash et sh, dont les r\u00e9sultats sont stock\u00e9s dans des fichiers sp\u00e9cifiques.<\/p>\n<p>&#8220;Ce qui rend ce malware particuli\u00e8rement int\u00e9ressant, c&#8217;est l&#8217;accrochage presque herm\u00e9tique des biblioth\u00e8ques sur la machine victime, qui permet au malware de gagner en persistance et d&#8217;\u00e9chapper \u00e0 la d\u00e9tection tout en volant des informations et en d\u00e9finissant une porte d\u00e9rob\u00e9e SSH&#8221;, a d\u00e9clar\u00e9 Fishbein.<\/p>\n<p>&#8220;Les menaces qui ciblent Linux continuent d&#8217;\u00e9voluer tout en restant sous le radar des outils de s\u00e9curit\u00e9, OrBit est maintenant un exemple de plus de la fa\u00e7on dont les nouveaux logiciels malveillants peuvent \u00eatre \u00e9vasifs et persistants.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/researchers-warn-of-new-orbit-linux.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 une nouvelle menace Linux enti\u00e8rement non d\u00e9tect\u00e9e appel\u00e9e Orbitesignale une tendance croissante des attaques de logiciels malveillants orient\u00e9es vers le syst\u00e8me d&#8217;exploitation populaire. Le malware tire son nom de l&#8217;un des noms de fichiers utilis\u00e9s pour stocker temporairement la sortie des commandes ex\u00e9cut\u00e9es (&#8220;\/tmp\/.orbit&#8221;), selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":243649,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,841,4158,4165,4161,133,14825,28640,12753,525,4157,4159,4171,4170,18088,6816,4167,7733,3915,4160,680,4163,4162,86973,364,4172,4169,4166,4164],"class_list":["post-243648","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-detourne","tag-dexecution","tag-flux","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-linux","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mettent","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-orbit","tag-qui","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/243648","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=243648"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/243648\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/243649"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=243648"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=243648"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=243648"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}