Nous souhaitons partager avec vous une Étude de cas concernant une société financière qui nous a contactés suite à une infection causée par un malware. Nous remercions cette société qui nous a autorisés à partager cette histoire avec vous.
Tout à commencer le jour où l’assistante du directeur d’une société financière remarque un dysfonctionnement anormal concernant son ordinateur. Elle explique que son ordinateur est soudainement devenu inhabituellement lent et que des messages d’erreurs sont apparus spontanément sans explications. Elle a donc profité de l’intervention mensuelle de ses informaticiens pour leur expliquer la problématique, pensant qu’ils pourraient l’aider à comprendre ce qu’il se passait. L’entreprise informatique a rapidement compris qu’il y avait quelque chose d’inhabituel et a donc inspecté l’ordinateur et l’a scanné par un antivirus, mais sans trouver de malware sur la machine. C’est à ce moment-là que l’entreprise informatique a décidé de contacter ZENData, car nous avions déjà collaboré sur un projet précédemment.
L’équipe de ZENData est donc intervenue sur place et a procédé à une analyse approfondie de l’ordinateur infecté afin de détecter la source de l’infection informatique. Nous avons commencé par isoler l’appareil du réseau et déployé un PCAP (outil permettant de capturer et analyser des communications externes) ; nous avons aussi mis des outils d’analyse d’activité sur la station de travail afin d’avoir une vue complète sur le comportement de la machine.
Après quelques heures d’analyses, nous sommes arrivés à la conclusion qu’il y avait un RAT installé ayant pour but d’exfiltrer des données très spécifiques, mais nous n’avions pas encore réussi à isoler tout le code malveillant ni trouver le vecteur d’infection ni la source de l’attaque.
Grâce à un outil d’analyse de la mémoire vive, nous avons réussi à découvrir un processus qui lisait et exécutait du code directement enregistré dans le registre en un temps défini par le Scheduler. Grâce à cela, nous pouvions finalement extraire du code obscurci dans plusieurs registres du système. Avec un peu de reverse-engineering, nous avons reconverti le code en texte clair et pouvions distinctement lire le script.
Ce dernier a utilisé le commentaire d’une page YouTube comme serveur de « Commande & Contrôle ». Nous pouvions à ce moment-là savoir quelle information avait déjà été exfiltrée et en blacklistant YouTube, nous pouvions stopper l’attaque.
Mais il nous restait encore à découvrir comment l’attaque est arrivée et qui se cachait derrière. Nous avons donc décidé d’indiquer au RAT d’uploader un fichier piégé vers son serveur d’exfiltration (une page de Google Drive). Dès que ce document a été ouvert, nous avons reçu une description complète de l’attaquant avec son OS et adresse IP (exit node d’un VPN).
Finalement, nous avons retrouvé dans la boîte email de la victime un email de phishing contenant un lien éphémère qui pointait très probablement vers le malware d’origine. Le serveur email utilisé dans cette attaque était un serveur piraté couramment utilisé par des hackeurs pour ce genre d’attaque.
Lorsqu’un ordinateur est infecté, les hackers ont accès aux méthodes de travail des employés, aux codes de sécurité et aux données confidentielles de la société. « Une employée aurait dû détruire cet email, éteindre son ordinateur et tout de suite vous contacter, mais elle a laissé le malware opérer », s’emporte le directeur. Le directeur prend conscience du réel danger de perdre toutes les données sensibles et confidentielles de la société.
En effet, le but principal de cet outil a été de voler des données, mais ZENData a réussi à limiter les informations exfiltrées et à avoir la liste des informations volées, ce qui a permis de correctement comprendre les dégâts et prendre les devants pour les réparer.
Suite à tout cet incident et les rapports d’expert fournis par ZENData, le directeur explique avoir sous-estimé les cyber menaces, et ne pensait jamais être une cible directe. « Ce n’est pas un problème uniquement pour le milieu bancaire, mais également pour toutes sortes de PME qui pourrait être prise pour cible », réalise le directeur.
En collaboration avec les informaticiens de la société, ZENData a alors mis en place la solution ZEN360 dans le but de bloquer les futures intrusions pendant que le hacker essaye de rentrer dans l’ordinateur.
« ZENData est intervenu très rapidement, et nous a permis d’éviter une catastrophe au sein de notre société. Nous pensions être protégés avec notre simple antivirus et firewall, mais apparemment c’est plus compliqué que ça. ».
Steven Meyer, directeur de ZENData, explique qu’ « Un hackeur ne va pas simplement lancer un script et attendre que l’attaque succède. Nous ne pouvons donc pas nous attendre à ce que de notre côté un système automatisé puisse nous protéger. Contre un attaquant actif, il faut une défense active. » C’est pour cela que nos protections sont non seulement proactives, mais que des humains analysent également les événements et incidents afin de pouvoir adapter la protection et réagir rapidement.