Comment ce hacker a injecté une backdoor directement dans un antivirus

[Tlemceni13]

Retourner un antivirus contre lui-même, c'est une nouvelle technique découverte par le chercheur en cyber-sécurité Two Seven One Three, lequel transforme les solutions de sécurité en nouveaux vecteurs d'attaques.

De par leur nature et leur architecture, tous les antivirus présentent une vulnérabilité qui n'attend que d'être exploitée. Et lorsqu'un expert en cyber sécurité s'attelle à la tâche, il leur injecte une porte dérobée.

Tirer parti des privilèges système des antivirus

Pour surveiller chacun des dossiers de l'utilisateur et des répertoires du système à la recherche de menaces, les logiciels antivirus bénéficient de privilèges étendus et sont exécutés avec les droits SYSTEM. Ils sont donc en mesure de tout passer au crible. Mais paradoxalement, cet accès sans limite peut vite devenir leur talon d'Achille.

Le chercheur, connu sous le nom de Two Seven One Three explique que "le processus d'introspection", qui permet à l'antivirus de scanner ses propres threads pour détecter les anomalies, peut être contourné. Les hackers sont ainsi en mesure d'injecter du code malveillant dans ces processus "immortels". Ils exploitent alors le statut protégé d'antivirus pour effectuer des actions normalement interdites. Il devient alors possible d'écrire des fichiers dans des répertoires restreints tout en échappant à la détection.

Retourner l'antivirus contre lui-même

Pour préserver l'intégrité de leur code, les antivirus déploient plusieurs couches de protection. Les vérifications d'intégrité du code s'assurent que seuls les modules numériquement signés avec des certificats spécifiques peuvent s'exécuter dans le processus antivirus. Cette vérification utilise des signatures cryptographiques EKU (Enhanced Key Usage). Celles-ci définissent précisément les usages autorisés d'un certificat numérique.

De son côté, la fonctionnalité Windows Protected Process Light (PPL) met en place une autre barrière de défense. Introduite avec Windows 8.1, elle crée une hiérarchie de niveaux de confiance où seuls les processus dotés d'un niveau PPL suffisant peuvent interagir avec d'autres processus protégés. Les antivirus bénéficient du niveau PROTECTION_LEVEL_ANTIMALWARE_LIGHT. Si un intrus tente d'arrêter ou de modifier un processus, les solutions de sécurité seront épargnées. Notons enfin que dans le noyau système, les pilotes antivirus installent des capteurs via le mécanisme Early Launch Antimalware (ELAM). Ces derniers garantissent leur chargement avant tout autre pilote tiers potentiellement malveillant.

Cette nouvelle approche d'injection exploite une contradiction fondamentale dans l'architecture des antivirus. Plutôt que d'attaquer frontalement le logiciel de sécurité, les pirates retournent ses propres mécanismes de défense contre lui. La technique repose sur le clonage de services protégés et la manipulation des fournisseurs cryptographiquespour générer des processus "immortels".

Ces processus exploitent une règle immuable : l'antivirus ne peut jamais s'interrompre sans exposer l'ordinateur aux menaces. Or, en infiltrant du code malveillant dans ces composants critiques que l'antivirus ne peut arrêter sans compromettre sa propre mission, les attaquants s'approprient donc les privilèges SYSTEM. Ils sont, en plus, invisibles, et l'antivirus se trouve piégé dans son propre système : il ne peut analyser ces éléments vitaux sans risquer un plantage général du système de protection.

 

Source