ZeroAccess social engeenering contre l’UAC via Adobe Flash

Dans le billet initial de ZeroAccess de Juillet 2011, il était dit que le dropper de ZeroAccess demandait indéfiniment une élévation de privilèges avec des popups UAC incessantes jusqu’à ce que l’utilisateur accepte.

Depuis fin Novembre, le schéma pour acquérir l’élévation de privilège a changé.
Un petit crack chez crackguru pour détailler tout cela.

Comme vous pouvez le voir, ci-dessous le dropper lance l’installation de Flash Player… : puis l’installation demande une élévation de privilèges :

Vous allez me dire, haha c’est bon, c’est un fake, bon il est bien fait, il est en français et tout et tout mais je vais pas me faire avoir.
Perdu, c’est le vrai installer d’Adobe : https://www.virustotal.com/file/393a8f0443ac29219ee6950867228fc0d1faa47afd5b37d7b3bb729bef3aa3fd/analysis/

Le fichier est bien signé :

publisher................: Adobe Systems, Inc.
product..................: Flash_ Player Installer/Uninstaller
internal name............: Adobe_ Flash_ Player Installer/Uninstaller 11.1
copyright................: Copyright (c) 1996-2011 Adobe, Inc.
original name............: FlashUtil.exe
signing date.............: 6:57 AM 11/1/2011
signers..................: Adobe Systems Incorporated
VeriSign Class 3 Code Signing 2010 CA
VeriSign Class 3 Public Primary Certification Authority - G5
file version.............: 11,1,102,55
description..............: Adobe_ Flash_ Player Installer/Uninstaller 11.1 r102

so WTF ?

Si on jète un coup d’oeil au dossier %TEMP% – on peux voir que l’on a l’installeur et une DLL (les fichiers sont masqués depuis l’explorateur de fichers).

et quand on regarde de plus près… L’installateur charge cette DLL… Vous l’avez deviné, la DLL est pourrie : https://www.virustotal.com/file/2392462583dd8ed477be319aefd9b5c75e1fb990e62c02a04b35d933cb589e3f/analysis/1328119105/

SHA256: 2392462583dd8ed477be319aefd9b5c75e1fb990e62c02a04b35d933cb589e3f
File name: msimg32.dll
Detection ratio: 9 / 43
Analysis date: 2012-02-01 17:58:25 UTC ( 0 minute ago )

BitDefender Gen:Variant.Graftor.13015 20120201
DrWeb BackDoor.Maxplus.2058 20120201
Emsisoft Trojan-Dropper.Win32.Sirefef!IK 20120201
F-Secure Gen:Variant.Graftor.13015 20120201
GData Gen:Variant.Graftor.13015 20120201
Ikarus Trojan-Dropper.Win32.Sirefef 20120201
Kaspersky HEUR:Trojan.Win32.Generic 20120201
NOD32 a variant of Win32/Kryptik.ZUA 20120201
nProtect Gen:Variant.Graftor.13015

En d’autre terme, l’installeur charge la DLL msimg32.dll en reprenant en priorité une DLL dans le répertoire courant.
Le dropper initial telecharge le vrai installeur Flash (en prenant la version avec la bonne langue) dans %TEMP% puis colle la DLL malicieuse toujours dans %TEMP%.

L’installeur Adobe Flash se lance et charge la DLL malicieuse.. et.. et… l’élévation de privilège se fait… avec la DLL dans le processus.

La porte ouverte au système est faite. On voit que l’installeur se connecte en HTTP vers une IP pourrie (un coup de Google pour confirmer) 178.32.190.142 chez OVH. puis lance un shell et le fameux fichier X

Si on est en 32 bits, le patch du driver a lieu, si on est en 64 bits, conserv.dll sera droppé : http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/

Comme vous pouvez le voir ici, une belle attaque par social engeenering qui va être particulièrement difficile à détecter et tant donné que l’installeur est le vrai.
Difficile de faire le lien entre une proposition de mise à jour Flash et le lancement d’un crack (et encore moins dans le cas d’un Exploit sur site WEB).
Reste que le crack va se connecter pour télécharger l’installeur d’adobe (vers une IP légitime), à voir si le pare-feu émet une alerte.

On peux saluer l’utilisation judicieux de l’installeur Flash comme passerelle pour l’élévation de privilège et on voit les limites de l’UAC.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 26 times, 1 visits today)

One thought on “ZeroAccess social engeenering contre l’UAC via Adobe Flash

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *