Get best of the week

Cylance vs Sality

Bonjour à tous. En prévision du début du cours «Reverse Engineering 2.0» , une autre traduction intéressante a été préparée.



Sality terrorise les utilisateurs d'ordinateurs depuis 2003, lorsque les assistants numériques personnels (PDA ou PDA) ont fait la une des publications techniques et que les PC de bureau fonctionnaient sous Windows XP. Au fil des ans, les utilisateurs ont réussi à échanger leurs PDA contre des smartphones et des ordinateurs de bureau sont passés à de nouveaux systèmes d'exploitation et à des solutions numériques pour postes de travail. Sality, cependant, a survécu au rythme effréné de l'innovation technologique et continue de menacer les organisations à ce jour.

Le virus Sality infecte les exécutables locaux, les supports amovibles et les lecteurs utilisés à distance. Il crée un botnet peer-to-peer (P2P) qui facilite le téléchargement et l'exécution d'autres logiciels malveillants. Sality peut effectuer une injection de code malveillante et modifier son point d'entrée pour forcer l'exécution de code. Ce malware reste viable, adoptant des stratégies efficaces contre d'autres menaces, y compris des méthodes telles que rootkit / backdoor, keylogging et distribution de type ver.

Analyse de la chaîne d'attaque




Analyse de salité


Notre analyse commence par une capture d'écran d'un fichier de service Windows Defender infecté par un code malveillant. Notez le code malveillant incorporé dans la dernière section de ce fichier (Figure 1) :


Figure 1: La dernière ligne montre le fichier exécutable en lecture / écriture

Sality crée trois copies de lui-même. La première copie est enregistrée dans le dossier %AppData%\local\temp\ (Figure 2) et intégrée dans le processus d'exploration (Figure 3) :


Figure 2: La première copie de Sality est enregistrée dans le dossier %temp%avec le nom xelag.exe


Figure 3: Le processus malveillant est intégré dans le processus d'exploration ( xelag.exe)

La deuxième copie de ce malware est enregistrée dans le dossier %AppData%\local\temp\%random_folder_name%\avec nom WinDefender.exe (figure 4) :


Figure 4. La deuxième copie de Sality avec le nomWinDefender.exe

La troisième copie de Sality est stockée dans la mémoire virtuelle du processus distant dans le dossier %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe(Figure 5) :


Figure 5: La troisième copie de Sality enregistrée avec le nom Download_Manager.exe.

Pour garantir la durabilité, Sality modifie le registre (Figure 6) :


Figure 6: Sality est écrit dans le registre.

Ensuite, le virus tente d'établir une connexion P2P pour télécharger des logiciels malveillants supplémentaires (figure 7) :


Figure 7: Sality se transforme en IP suspecte pour obtenir plus de logiciels malveillants.

Lorsque la victime redémarre l'ordinateur, les trois copies du logiciel malveillant sont intégrées dans explorer.exe (figure 8) :


Figure 8: les trois copies de Sality sont intégrées au processus d'exploration.

Pourquoi Sality est-il important et pourquoi devrais-je être dérangé?


Sality a fait ses débuts la même année qu'Apple a ouvert l'iTunes Store et les cinémas ont organisé un box-office au King's Return. Il reste une menace aujourd'hui. Une seule longévité du virus Sality est la preuve de son efficacité, de son adaptabilité et de son adaptabilité. Tout logiciel malveillant encore viable une décennie et demie après sa détection initiale ne doit pas être hors de vue des utilisateurs et des professionnels de la sécurité.

Comparé à Nemucod, Sality est un exemple de malware plus complet et plus mature. Il a une longue histoire de changements qui pointent vers un ensemble diversifié de cas d'utilisation avec la possibilité de déployer Sality en fonction des objectifs et de la complexité de l'attaque. En comparant les capacités de Sality avec les catégories de tactiques MITRE ATT & CK, ce malware est capable de jouer un rôle à chaque étape interne de la chaîne d'attaque après l'exécution, ce qui signifie que Sality a besoin d'une méthode de livraison sur l'environnement avant de pouvoir fonctionner.

Si nécessaire, Sality peut agir comme principal agent opérationnel, fournissant à l'attaquant un ensemble de fonctions de base pour effectuer diverses actions sur l'objectif, visant à maintenir et à étendre l'accès. Il a également la possibilité de télécharger des fonctionnalités supplémentaires selon les besoins d'un attaquant. La flexibilité offerte par cet ensemble de fonctionnalités de base rend Sality adapté à un large éventail de campagnes offensives.

La flexibilité offerte par les logiciels malveillants courants tels que Sality offre aux attaquants plus sophistiqués la possibilité de masquer l'activité et l'intention d'une attaque ciblée sous le couvert d'une vaste campagne aveugle. Un attaquant peut utiliser les capacités de Sality lors de la première vague d'une attaque ciblée, établissant ainsi une présence dans l'environnement. Grâce à cet accès, un attaquant peut ouvrir un malware plus sophistiqué ou destructeur après avoir estimé le risque opérationnel en fonction de la position défensive de la cible.

Cylance arrête la salité


Les utilisateurs de CylancePROTECT seront heureux de savoir que nous détectons et empêchons Sality avant son lancement. En empêchant le lancement de Sality, nous protégeons nos clients de ce malware malveillant et de nombreuses autres menaces qu'il cherche à déployer. La salité peut ou non durer longtemps, mais elle ne survivra pas sur les machines protégées par CylancePROTECT.


Obtenez un rabais sur le cours.

More articles:


All Articles