{"id":706893,"date":"2023-04-27T14:52:24","date_gmt":"2023-04-27T16:52:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/analyse-des-logiciels-malveillants-limerat-extraction-de-la-configuration\/"},"modified":"2023-04-27T14:52:27","modified_gmt":"2023-04-27T16:52:27","slug":"analyse-des-logiciels-malveillants-limerat-extraction-de-la-configuration","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/analyse-des-logiciels-malveillants-limerat-extraction-de-la-configuration\/","title":{"rendered":"Analyse des logiciels malveillants LimeRAT\u00a0: extraction de la configuration"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 avril 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Les nouvelles des pirates<\/span><\/span><span class=\"p-tags\">Analyse des logiciels malveillants \/ cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) ont pris la troisi\u00e8me place dans ANY.  RUN <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/cybersecurity-blog\/malware-trends-q1-2023\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=limerat0423&amp;utm_content=blogq1report\" target=\"_blank\">Rapport T1 2023<\/a> sur les types de logiciels malveillants les plus r\u00e9pandus, ce qui rend tr\u00e8s probable que votre organisation soit confront\u00e9e \u00e0 cette menace.<\/p>\n<p>Bien que LimeRAT ne soit peut-\u00eatre pas la famille RAT la plus connue, sa polyvalence est ce qui la distingue.  Capable d&#8217;effectuer un large \u00e9ventail d&#8217;activit\u00e9s malveillantes, il excelle non seulement dans l&#8217;exfiltration de donn\u00e9es, mais aussi dans la cr\u00e9ation de botnets DDoS et dans la facilitation de l&#8217;extraction de crypto.  Son empreinte compacte lui permet d&#8217;\u00e9chapper aux syst\u00e8mes de d\u00e9tection des terminaux, ce qui en fait un adversaire furtif.  Fait int\u00e9ressant, LimeRAT partage des similitudes avec njRAT, que ANY.RUN classe comme la troisi\u00e8me famille de logiciels malveillants la plus populaire en termes de t\u00e9l\u00e9chargements au cours du premier trimestre 2023.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=limerat0423&amp;utm_content=landing\" target=\"_blank\">ANY.RUN<\/a> des chercheurs ont r\u00e9cemment effectu\u00e9 une analyse approfondie d&#8217;un \u00e9chantillon de LimeRAT et extrait avec succ\u00e8s sa configuration.  Dans cet article, nous allons donner un bref aper\u00e7u de cette analyse.<\/p>\n<h2 style=\"text-align: left;\">Artefacts collect\u00e9s<\/h2>\n<table>\n<tbody>\n<tr>\n<td>\n<p>SHA1\n<\/td>\n<td>\n<p>14836dd608efb4a0c552a4f370e5aafb340e2a5d\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>SHA256\n<\/td>\n<td>\n<p>6d08ed6acac230f41d9d6fe2a26245eeaf08c84bc7a66fddc764d82d6786d334\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>MD5\n<\/td>\n<td>\n<p>d36f15bef276fd447e91af6ee9e38b28\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>SSDEEP\n<\/td>\n<td>\n<p>3072:DDiv2GSyn88sH888wQ2wmVgMk\/211h36vEcIyNTY4WZd\/w1UwIwEoTqPMinXHx+i:XOayy\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>IPv4\u00a0:<\/strong><\/p>\n<table>\n<tbody>\n<tr>\n<td>\n<strong>CIO<\/strong>\n<\/td>\n<td>\n<strong>Description<\/strong>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>20[.]199.13.167:8080\n<\/td>\n<td>\n<p>Serveur de commande et de contr\u00f4le de LimeRAT\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Domaines:<\/strong><\/p>\n<table>\n<tbody>\n<tr>\n<td>\n<strong>CIO<\/strong>\n<\/td>\n<td>\n<strong>Description<\/strong>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>https:\/\/pastebin[.]com\/raw\/sxNJt2ek\n<\/td>\n<td>\n<p>PasteBin utilis\u00e9 par LimeRAT pour masquer son serveur de commande et de contr\u00f4le d&#8217;origine\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>MITRE ATT&#038;CK\u00ae<\/strong><\/p>\n<table>\n<tbody>\n<tr>\n<td>\n<strong>Tactique<\/strong>\n<\/td>\n<td>\n<strong>Technique<\/strong>\n<\/td>\n<td>\n<strong>Description<\/strong>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>TA0005\u00a0: \u00e9vasion de la d\u00e9fense\n<\/td>\n<td>\n<p>T1027\u00a0: Fichiers ou informations obscurcis\n<\/td>\n<td>\n<p>Les logiciels malveillants utilisent l&#8217;obfuscator pour supprimer ses noms de m\u00e9thode, ses noms de classe, etc.\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>TA0005\u00a0: \u00e9vasion de la d\u00e9fense <\/td>\n<td>\n<p>T1027\u00a0: Fichiers ou informations obscurcis\n<\/td>\n<td>\n<p>Les logiciels malveillants utilisent l&#8217;algorithme Base64 pour encoder et d\u00e9coder les donn\u00e9es\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p>TA0005\u00a0: \u00e9vasion de la d\u00e9fense\n<\/td>\n<td>\n<p>T1027\u00a0: Fichiers ou informations obscurcis\n<\/td>\n<td>\n<p>Les logiciels malveillants utilisent l&#8217;algorithme AES pour chiffrer et d\u00e9chiffrer les donn\u00e9es\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>ANY.RUN propose une offre \u00e0 dur\u00e9e limit\u00e9e, c\u00e9l\u00e9brant le 7e Cyberbirthdsay<\/h2>\n<p>ANY.RUN est un bac \u00e0 sable de logiciels malveillants interactif dans le cloud qui peut extraire automatiquement les configurations de logiciels malveillants pour de nombreuses familles, ce qui permet aux chercheurs d&#8217;\u00e9conomiser des heures d&#8217;efforts. <\/p>\n<p>Le service f\u00eate ses 7 ans et <strong>invitant tous les chercheurs \u00e0 essayer des fonctionnalit\u00e9s d&#8217;analyse avanc\u00e9es g\u00e9n\u00e9ralement r\u00e9serv\u00e9es aux plans pro, enti\u00e8rement gratuites jusqu&#8217;au 5 mai<\/strong>.  Cela inclut la configuration de l&#8217;environnement d&#8217;ex\u00e9cution avec Windows 8, 10 ou 11.<\/p>\n<p>Si vous d\u00e9couvrez que ANY.RUN am\u00e9liore votre flux de travail d&#8217;analyse des logiciels malveillants, ils offrent \u00e9galement un <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/plans\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=limerat0423&amp;utm_content=pricing\" target=\"_blank\"><strong>promotion limit\u00e9e<\/strong><\/a><strong>disponible jusqu&#8217;au 5 mai : b\u00e9n\u00e9ficiez de 6 ou 12 mois d&#8217;utilisation gratuite lorsque vous souscrivez \u00e0 un abonnement annuel ou de deux ans<\/strong>respectivement. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/anyrun-article\" style=\"cursor: pointer; display: block; margin-left: 1em; margin-right: 1em; text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/04\/1682614343_44_Analyse-des-logiciels-malveillants-LimeRAT-extraction-de-la-configuration.png\" alt=\"Logiciel malveillant LimeRAT\" border=\"0\" data-original-height=\"548\" data-original-width=\"402\" title=\"Logiciel malveillant LimeRAT\"\/><\/a><\/div>\n<h2>D\u00e9composer l&#8217;algorithme de d\u00e9cryptage de LimeRAT<\/h2>\n<p>Nous partagerons une version condens\u00e9e de l&#8217;article ici.  Pour une pr\u00e9sentation compl\u00e8te et une analyse approfondie, rendez-vous sur ANY.  Le blog de RUN si vous souhaitez en savoir plus sur le flux de travail qu&#8217;ils ont utilis\u00e9.<\/p>\n<p>\u00c9tant donn\u00e9 que l&#8217;\u00e9chantillon \u00e0 l&#8217;\u00e9tude a \u00e9t\u00e9 \u00e9crit en .NET, les chercheurs ont utilis\u00e9 DnSpy pour examiner le code.  Imm\u00e9diatement, il \u00e9tait \u00e9vident que des techniques d&#8217;obscurcissement \u00e9taient employ\u00e9es\u00a0:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEg9kZhqAsSuxRud5eWnZ8eNov6NhGIz1Gs7iJeslmSG_u4aD8fuqu9hajd-PCP6VcrLmLdSzp7AVO-zdMQq2laCdOPIpfouI3yCSpUGx_urIAdUmmAKP-sIHcs0aVctN1cx2oYxUmJBHxwPelpxL2djkH7_-GU215uigwbeEPdIUpb0-wQ5T0r9IVwl\/s728-e3650\/code-1.png\" alt=\"Logiciel malveillant LimeRAT\" border=\"0\" data-original-height=\"316\" data-original-width=\"728\" title=\"Logiciel malveillant LimeRAT\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Aper\u00e7u de l&#8217;\u00e9chantillon dans DnSpy\u00a0;  noter que l&#8217;utilisation de techniques d&#8217;obscurcissement<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Un examen plus approfondi du code a r\u00e9v\u00e9l\u00e9 une classe ressemblant \u00e0 la configuration du logiciel malveillant.  Dans cette classe, se trouvait un champ contenant une cha\u00eene qui \u00e9tait \u00e0 la fois encod\u00e9e en base64 et chiffr\u00e9e.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/04\/1682614343_341_Analyse-des-logiciels-malveillants-LimeRAT-extraction-de-la-configuration.png\" alt=\"Logiciel malveillant LimeRAT\" border=\"0\" data-original-height=\"523\" data-original-width=\"728\" title=\"Logiciel malveillant LimeRAT\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">\u00c9ventuellement, classe de configuration de logiciels malveillants<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Poursuivant l&#8217;inspection du code, les chercheurs d&#8217;ANY.RUN ont identifi\u00e9 une fonction responsable du d\u00e9cryptage de la cha\u00eene.  En utilisant le filtre &#8220;Lire par&#8221; dans DnSpy, ils ont retrouv\u00e9 les m\u00e9thodes o\u00f9 la cha\u00eene \u00e9tait lue, ce qui a conduit \u00e0 un total de deux m\u00e9thodes.  La premi\u00e8re m\u00e9thode s&#8217;est av\u00e9r\u00e9e infructueuse, mais la seconde a sembl\u00e9 int\u00e9ressante :<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/04\/1682614344_265_Analyse-des-logiciels-malveillants-LimeRAT-extraction-de-la-configuration.png\" alt=\"Logiciel malveillant LimeRAT\" border=\"0\" data-original-height=\"345\" data-original-width=\"728\" title=\"Logiciel malveillant LimeRAT\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">La deuxi\u00e8me x-ref est plus int\u00e9ressante.  Il semble qu&#8217;il utilise notre cha\u00eene dans la m\u00e9thode WebClient.DownloadString<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Cette m\u00e9thode s&#8217;est av\u00e9r\u00e9e responsable du d\u00e9cryptage.  En l&#8217;examinant de pr\u00e8s, il a \u00e9t\u00e9 possible de reconstituer le processus par lequel LimeRAT d\u00e9crypte sa configuration :<\/p>\n<ol>\n<li>Exemples de <strong>RijndaelG\u00e9r\u00e9 <\/strong>et <strong>MD5CryptoServiceProvider <\/strong>les classes sont instanci\u00e9es.  Selon MSDN, <strong>RijndaelG\u00e9r\u00e9 <\/strong>est une impl\u00e9mentation obsol\u00e8te de l&#8217;algorithme de chiffrement AES (<strong>MITRE T1027<\/strong>), alors que <strong>MD5CryptoServiceProvider <\/strong>calcule les hachages MD5.<\/li>\n<li>Un tableau de 32 octets, initialis\u00e9 avec des z\u00e9ros, est g\u00e9n\u00e9r\u00e9 pour stocker la cl\u00e9 AES.<\/li>\n<li>La cl\u00e9 est cr\u00e9\u00e9e en calculant d&#8217;abord le hachage MD5 d&#8217;une cha\u00eene distincte dans la classe de configuration (dans notre analyse, la cha\u00eene est &#8220;20[.]199.13.167&#8221;).<\/li>\n<li>Les 15 octets initiaux, suivis des 16 premiers octets du hachage calcul\u00e9, sont copi\u00e9s dans le tableau pr\u00e9c\u00e9demment \u00e9tabli.  Le dernier \u00e9l\u00e9ment du tableau reste z\u00e9ro.<\/li>\n<li>La cl\u00e9 d\u00e9riv\u00e9e est affect\u00e9e \u00e0 la propri\u00e9t\u00e9 key du <strong>RijndaelG\u00e9r\u00e9 <\/strong>instance, alors que la propri\u00e9t\u00e9 Mode est configur\u00e9e comme <strong>CipherMode.ECB<\/strong>.<\/li>\n<li>En fin de compte, la cha\u00eene primaire subit un d\u00e9codage via le <strong>Base64 <\/strong>algorithme et d\u00e9chiffrement \u00e0 l&#8217;aide de <strong>AES256-ECB <\/strong>algorithme.<\/li>\n<\/ol>\n<p>Le d\u00e9cryptage de la cha\u00eene a r\u00e9v\u00e9l\u00e9 un lien vers une note PasteBin\u00a0: <strong>https:\/\/pastebin[.]com\/raw\/sxNJt2ek<\/strong>.  Dans cette note, se trouvait le serveur de commande et de contr\u00f4le (C2) de LimeRAT\u00a0:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/04\/1682614344_812_Analyse-des-logiciels-malveillants-LimeRAT-extraction-de-la-configuration.png\" alt=\"Logiciel malveillant LimeRAT\" border=\"0\" data-original-height=\"95\" data-original-width=\"728\" title=\"Logiciel malveillant LimeRAT\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">LimeRATs C2 d\u00e9couvert avec des donn\u00e9es d\u00e9crypt\u00e9es<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Envelopper<\/h2>\n<p>Nous esp\u00e9rons que vous avez trouv\u00e9 ce bref aper\u00e7u de notre processus de d\u00e9chiffrement de configuration LimeRAT perspicace.  Pour un examen plus complet, rendez-vous sur <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/cybersecurity-blog\/limerat-malware-analysis\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=limerat0423&amp;utm_content=blog\" target=\"_blank\">article complet sur le blog de ANY.RUN,<\/a> pour obtenir un contexte suppl\u00e9mentaire sur les \u00e9tapes et v\u00e9rifier le processus de d\u00e9cryptage \u00e0 l&#8217;aide de CyberChef.<\/p>\n<p>Aussi, rappelez-vous que N&#8217;IMPORTE QUEL.  RUN propose actuellement des offres \u00e0 dur\u00e9e limit\u00e9e, avec des remises sur les abonnements et un ensemble de fonctionnalit\u00e9s \u00e9tendu pour les plans gratuits, y compris la possibilit\u00e9 de configurer des environnements d&#8217;ex\u00e9cution avec les syst\u00e8mes d&#8217;exploitation Windows 8, 10 et 11.  Cette offre expire le 5 mai.<\/p>\n<p>C&#8217;est l&#8217;occasion id\u00e9ale de tester ANY.RUN et de d\u00e9terminer s&#8217;il rationalise votre flux de travail, ou de s\u00e9curiser un abonnement \u00e0 un prix imbattable et de b\u00e9n\u00e9ficier d&#8217;un gain de temps significatif gr\u00e2ce \u00e0 l&#8217;analyse statique et comportementale.<\/p>\n<p>Pour en savoir plus sur cette offre, visitez <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/plans\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=limerat0423&amp;utm_content=pricing\" target=\"_blank\">Plans ANY.RUN.<\/a><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/limerat-malware-analysis-extracting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 avril 2023\ue804Les nouvelles des piratesAnalyse des logiciels malveillants \/ cybermenace Les chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance (RAT) ont pris la troisi\u00e8me place dans ANY. RUN Rapport T1 2023 sur les types de logiciels malveillants les plus r\u00e9pandus, ce qui rend tr\u00e8s probable que votre organisation soit confront\u00e9e \u00e0 cette menace. Bien que LimeRAT [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":706895,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1342,4168,58813,4158,4165,4161,133,30035,4157,4159,4171,4170,158963,4167,4589,4590,4160,4163,4162,4172,4169,4166,4164],"class_list":["post-706893","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-analyse","tag-comment-pirater","tag-configuration","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-extraction","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-limerat","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/706893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=706893"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/706893\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/706895"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=706893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=706893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=706893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}