Infostealers : une menace encore largement (trop) furtive

Quel est le secret de la réussite insolente des logiciels malveillants dérobeurs de données d’identification, les infostealers ? Leur capacité à passer au travers des filets des systèmes de protection de postes de travail (EPP), voire même des systèmes de détection et de réponse aux menaces (EDR) – ou presque ! À moins que ce ne soit la cupidité. Enquête.  

L’infostealer Redline génère, pour chaque machine compromise, un fichier nommé UserInformation.txt. Dans celui-ci, sous la ligne « Antiviruses : » se trouve la liste des EPP, EDR, voire pare-feu, installés sur le PC et dont les données d’identification auront été pillées. 

Pour mesurer l’efficacité des protections contre cette menace, nous nous sommes penchés sur plus de 66 000 logs de l’infostealer Redline – correspondant à autant de PC du monde entier –, diffusés gratuitement sur des chaînes Telegram en l’espace d’un mois. Et le bilan s’avère mauvais.

Windows Defender est mentionné dans près de 40 000 logs, mais pas systématiquement seul : ce n’est donc pas nécessairement lui le « fautif ». Toutefois, dans les cas où il est seul à protéger le PC des menaces informatiques, il ne semble pas faire de miracles. 

Mais ce n’est pas le seul : les produits de Norton, McAfee (et Trellix), Trend Micro, Kaspersky, Eset, AVG, Avira, Panda, Malwarebytes, Bitdefender, Comodo, AhnLab, Sophos, F-Secure, figurent également dans les logs Redline que nous avons étudiés. 

Ce constat vaut pour les antivirus grand public, mais également pour les EPP et EDR d’entreprise. FortiClient, de Fortinet, apparaît ainsi une petite vingtaine de fois dans l’échantillon étudié. Acronis Cyber Protect est également représenté, de même que l’EPP de Check Point. 

L’EDR de Reason Cybersecurity est très fortement représenté : il apparaît plus d’un millier de fois dans l’échantillon considéré. Mais nous avons également trouvé une instance de Cylance Protect, une autre de l’EDR Sangfor, deux de CrowdStrike Falcon Sensor et de Cortex XDR Advanced Endpoint Protection, ou encore une de Cybereason NGAV et 7 de l’agent de SentinelOne.

Ces éléments suggèrent que les utilisateurs sont essentiellement laissés sans protection contre les inforstealers, alors même qu’ils représentent une menace véritablement explosive. Mais ce serait une conclusion hâtive. 

Car de telles constatations sont surprenantes : des échantillons de Redline Stealer, fraîchement déposés sur Virus Total, apparaissent aisément détectés par la grande majorité des EPP/EDR. Pour l’un d’entre eux, déposé le 16 mai 2023, et dont la page a été consultée le même jour, le taux de détection est de 46 sur 64. Pour le moteur de Malwarebytes, pas de doute possible : c’est l’infostealer Redline. Pour Acronis, Cybereason, Cylance, Fortinet, Sophos ou même Tehtris – pour ne citer qu’eux –, la malveillance du logiciel ne fait aucun doute. Le moteur d’analyse de Cortex, de Palo Alto Networks, en revanche, se laisse berner. Cela vaut également pour ceux de Trend Micro et de Sangfor, pour certains échantillons observés, mais pas tous. De même, le moteur de Tehtris ne semble pas d’une constance totale, d’un échantillon à l’autre. 

Mais un petit quart d’heure après soumission initiale, les résultats sont largement moins bons. Les moteurs d’Acronis, BitDefender, CrowdStrike, Emsisoft, Palo Alto Networks, Sangfor, Trellix, Trend Micro et Tehtris s’avèrent tous aussi impuissants les uns que les autres, quand bien même plusieurs règles Yara identifient la menace sans problème. 

Comment expliquer cette situation ? Nous l’avons demandé à CrowdStrike, Eset, Fortinet, Kaspersky, Palo Alto Networks, et SentinelOne. À l’heure où sont publiées ces lignes, seules les réponses de CrowdStrike, Eset, Kaspersky et SentinelOne nous sommes parvenues. 

Chez Kaspersky, deux analystes se sont penchés sur des échantillons fournis par la rédaction. L’un d’eux apporte un éclairage peu surprenant : « le log Redline montre que le malware a été exécuté 25 minutes avant que nous ne l’ayons signé. La clé du mystère se trouve sans doute ici : nous nous efforçons d’ajouter des signatures pour les nouveaux échantillons découverts, mais lorsqu’ils ne sont pas immédiatement reconnus, il existe un court delta durant lequel nous ne pouvons hélas pas faire grand chose. Lorsque, une demi-heure plus tard (modulo le délai de propagation des signatures) le fichier aura été détecté par notre antivirus sur la machine de l’utilisateur, le mal était sans doute déjà fait ».

Le délai de propagation des signatures est un « trou dans la raquette » – comme il est convenu de dire –, classique et bien connu de longue date. Un défaut de configuration de l’antivirus n’est également pas à exclure : interactions bloquées avec le cloud d’analyse de l’éditeur, exclusions manuelles sur des répertoires/fichiers, voire agent pas mis à jour – « la combinaison des trois étant tout à fait possible », précise un analyste. Et cela peut valoir pour nombre de produits d’EPP. 

Chez Eset, certains modes de distribution des infostealers sont avancés, à commencer par le malvertising : « une des techniques les plus communément utilisées pour distribuer RedLine est de le faire passer pour un logiciel ou jeu piraté (souvent dans des commentaires sur YouTube). Dans ces messages, il est affirmé que les antivirus bloquent le “crack” et il est donné pour instruction de désactiver tout produit de protection avant l’installation. Selon moi, ça serait l’explication la plus probable dans la majorité des cas ».

Et cela d’autant plus que RedLine « ne contient pas de fonctionnalité permettant d’exploiter des produits de sécurité afin d’échapper aux détections ». De quoi avancer une autre hypothèse : « dans certains cas, le malware est déployé à l’aide d’un loader ou downloader plus complexe que RedLine lui-même. Il est possible que certains d’entre eux contiennent des fonctionnalités plus avancées d’évasion ou d’exploitation. Ils sont généralement très obfusqués. Cette obfuscation peut aider à éviter la détection sur le disque, mais n’est pas suffisante pour échapper aux détections en mémoire ». Dans certains logs étudiés, nous avons d’ailleurs trouvé des traces de ModernLoader, dont les équipes Talos de Cisco présentaient une analyse en septembre 2022.

Quid des EDR ? Pour CrowdStrike, le verdict est sans appel : « il est clair que les occurrences de Falcon proviennent des systèmes de test de CrowdStrike, et non des environnements des clients. Sur la base d’une variété de facteurs, ces occurrences indiquent des environnements de test où le capteur Falcon est installé pour observer le comportement des malwares, et non pour les bloquer, ce qui se produit dans le cadre de l’analyse régulière des logiciels malveillants ». Ce qui vaut également dans bon nombre de déploiements en phase pilote.

Les analystes de SentinelOne s’orientent sur la même piste d’un déploiement non bloquant. Et cela d’autant plus que l’éditeur assure la détection de RedLine depuis de nombreux mois. En outre, l’un des échantillons fournis était bien détecté statiquement à sa date d’exécution ; il était d’ailleurs connu et référencé depuis près d’une semaine. Et cela ne vaut pas que pour un seul : captures d’écran à l’appui, les équipes de SentinelOne nous ont confirmé la réalité des détections. De quoi souligner la différence entre un déploiement d’EDR en observation simple et en blocage.

En définitive, il existe bien une fenêtre permettant à un stealer tel que Redline de passer inaperçu. Mais celle-ci s’avère finalement limitée dans le temps. De quoi souligner l’importance des facteurs tiers, et notamment humains.