Connexion
Abonnez-vous

Plongée dans le monde des voleurs de mots de passe, de vieux bricolages efficaces

Et vive .NET

Plongée dans le monde des voleurs de mots de passe, de vieux bricolages efficaces

Le 06 mars 2018 à 15h26

Des assemblages improbables aux produits rutilants, les voleurs de mots de passe ont toujours la côte auprès de certains criminels du Net. Simples d'utilisation, ils posent pourtant nombre de problèmes aux équipes de sécurité qui veulent leur mettre la main dessus. Entretien avec Paul Jung, un chercheur qui les a suivi à la trace.

Il y a des logiciels qui survivent au temps et aux modes. Parmi eux, les voleurs de mots de passe font figure de vétérans. Dans une conférence à la Botconf, début décembre (voir notre compte rendu), le chercheur en sécurité Paul Jung a présenté une étude de ces outils, à la fois très simples et robustes, toujours capables de récupérer de grandes quantités d'identifiants sans être immédiatement repérés par les antivirus.

Sa recherche a été menée dans le cadre du centre de réponse à incident (CERT) d'Excellium, qui travaille pour le monde luxembourgeois des banques et assurances. Si ces voleurs de mots de passe peuvent occuper l'équipe, ils ne représentent pas un grand intérêt en termes de sécurité. « Les campagnes visent tout le monde. Si elles fonctionnent, l'outil vole des mots de passe puis sort. Il n'y a pas de menace plus grande que cela. Il est tout de même intéressant de rapidement détecter ces campagnes et de les terminer » nous explique le spécialiste.

L'étude se concentre sur les logiciels pour ordinateurs, les mobiles étant hors de son champ. Ils sont capables de subtiliser les identifiants dans les navigateurs, dans des fichiers de configuration (voire le registre Windows), des portefeuilles de crypto-monnaies ou encore des numéros de série. Paul Jung en liste une vingtaine, des plus artisanaux aux plus élaborés, leur conception et revente étant devenues une activité en soi.

De vieux outils à la diffusion très classique

Agent Tesla, AutoLog, Lockybot, Pony ou encore Predator Pain sont certains des logiciels rencontrés par l'expert. Leur longévité ne fait pas de doute. Predator Pain, au fonctionnement plutôt rudimentaire, existe depuis 2008 avec plusieurs déclinaisons.

Pourquoi de si vieux outils sont-ils encore actifs ? « Ils sont simples et robustes. Ce ne sont pas des outils avancés, donc ils ne passeront pas à la télé. Ils peuvent être déployés rapidement. Quand quelqu'un achète un Pony, il a simplement besoin d'un serveur avec PHP (qu'il l'achète ou en utilise un qui n'est pas à lui) et récupère ce qu'il souhaite à partir d'une campagne d'e-mails. C'est facile, jetable rapidement, il n'y a pas d'infrastructure à maintenir. Il n'y a aucun problème » résume le chercheur.

La diffusion passe d'ordinaire par des campagnes d'e-mails, mais d'autres canaux sont possibles. C'est le cas du JPRO Crack, une version piratée d'un logiciel pour mallette de diagnostic automobile. Une méthode « opportuniste », pour Paul Jung. « JPro Crack vise vraiment l'artisan, la petite société qui n'a pas le budget pour mettre à jour sa mallette. À côté de ça, ils se font voler leurs mots de passe » estime-t-il. Il n'y a rien de foncièrement innovant à cette technique, mais elle s'avère toujours efficace.

Voleurs de mots de passe Excellium
Crédits : Paul Jung (Excellium)

Ces logiciels sont-ils tous sur Windows ? « À part AutoLog, qui est en Python avec une version Linux, tous les autres sont foncièrement Windows. C'est stable. Si vous êtes vendeur, vous regardez là où il y a le plus de parts de marché » répond le chercheur.

La recherche d'échantillons de malwares, pour étude, demande toujours du temps. « Le plus simple est d'aller sur quelques forums de vente pour trouver le produit. Il faut ensuite trouver l'échantillon, par exemple sur [la base de données privée] VirusTotal ou les poubelles des comptes e-mail. »

Il reste difficile, à son échelle, de déterminer le volume de personnes infectées ou de mots de passe volés. Malgré l'âge des outils, les attaques peuvent encore s'avérer discrètes. « On n'a pas suffisamment de données. Via des panels PHP [permettant d'administrer une attaque, auquel les chercheurs accèdent parfois], on constate que la campagne fonctionne bien, mais nous n'avons aucune idée des montants récupérés derrière » reconnaît Jung.

La simplicité comme principale qualité

Les malwares utilisés pour le vol de mots de passe brillent souvent par leur simplicité. Ils ne demandent pas de grande connaissance technique pour être utilisés, ni de droits particuliers sur l'ordinateur de la victime. Il leur suffit donc d'être lancés par la victime pour qu'ils fassent leur office. Y compris l'intrusion dans les navigateurs web, qui regorgent d'identifiants.

« Les malwares sont des processus qui tournent avec les mêmes droits utilisateur que le navigateur. Certains sont donc capables de s’injecter dans le navigateur et d’intercepter les identifiants de connexions au moment où on se connecte, par exemple sur Facebook... Alors même que les identifiants ne sont pas enregistrés par le navigateur » nous explique encore Paul Jung.

Une partie de ces logiciels est même franchement artisanale. C'est le cas de Predator Pain, qui inclut des outils de récupération de mots de passe conçus par NirSoft, un spécialiste des petits utilitaires pour Windows. Pourquoi s'embêter à réinventer la roue, alors qu'elle existe déjà sous une forme légitime ?

« Le malware démarre l'outil NirSoft qui fait la liste, crée son rapport sur disque, puis il récupère le fichier. C'est aussi simple que ça. Le logiciel relit le fichier, réintègre la réponse » et l'envoie à l'attaquant, par e-mail ou directement sur le serveur. Cet extracteur de NirSoft serait utilisé par une bonne part de ces malwares. Ils exploitent RunPE, une méthode qui permet de lancer un logiciel en mémoire, sans le déposer sur le disque, en évitant une éventuelle détection par un antivirus de cette manière.

L'infrastructure est aussi légère. « Certains malwares ne sont pas résidents. Ils viennent, exfiltrent tous les mots de passe présents et c'est fini. Ils ne font rien d'autre », à la manière de JPro Crack, conte Jung. Pourtant, la majorité maintiendrait un intercepteur de frappe clavier (keylogger), éventuellement transformable en « RAT », pour prendre le contrôle du PC à distance.

Pour récupérer et visualiser les mots de passe obtenus, une interface d'administration en PHP est souvent fournie avec le logiciel. « L'avantage du PHP est que ça se déploie vite, surtout sur des hébergements qui ne sont pas à eux ! C'est souvent un Wordpress ou un autre CMS obsolète, avec une extension qui permet de déposer des fichiers... Comme ils le font pour le phishing. Le panel est posé dans un sous-dossier, c'est le principe » détaille encore le chercheur. 

Ces extractions ne sont-elles pas détectables par les appels ? « Sur ce que nous détectons, il y a des appels à get.php, post.php... Ce sont des noms utilisés un peu partout, par n'importe quel site web ou CMS. » Les pistes sont donc brouillées.

Le paquetage en .NET, le meilleur ennemi du chercheur en sécurité

Après toutes ces années, comment les malwares peuvent-ils encore échapper à la vigilance des antivirus ? Ils évoluent peu, les variantes semblent bien rares... mais leurs concepteurs aiment les « packer », c'est-à-dire les mettre dans une « enveloppe sacrifiable » qui leur donne une nouvelle identité.  Pour cela, le framework .NET, encore très lié à Windows, est bien pratique.

« Les antivirus se cassent les dents sur les packers depuis longtemps. Les échantillons arrivent paquetés. L'antivirus ne le verra pas. Sur les grosses campagnes, il faut compter quatre à cinq jours avant qu'un antivirus ne le détecte  » estime Paul Jung. Pour lui, mieux vaut détecter leur comportement sur le réseau. « Pour la plupart, on peut les repérer. Certains ne s'embêtent pas, les modèles réseau sont clairs et nets. » 

« Au bout d'un moment, l'enveloppe [packer] sera connue, mais son but est de protéger la charge utile à l'intérieur. Le malware n'est jamais en clair. Il passera en mémoire, mais les antivirus ne scannent pas beaucoup en mémoire. Kaspersky ou G-DATA le feront, mais en entreprise, on a du Trend Micro ou McAfee, pour éviter d'avoir trop d'alertes utilisateurs  » relate le chercheur.

Voleurs de mots de passe .NET
Une majorité d'outils est codée en .NET - Crédits : Paul Jung (Excellium)

.NET permet de confectionner ces enveloppes sans grandes connaissances techniques. Beaucoup de voleurs de mots de passe utilisant cette plateforme, la copie de code d'un outil à l'autre serait courante... y compris des fonctions devenues obsolètes, pour ajouter une ligne dans le descriptif commercial. « Pour moi, le .NET est une solution de facilité, qui offre l'aisance de piquer des bouts de code. Une fois le logiciel dépaqueté, le copier-coller fonctionne » constate notre interlocuteur.

Cet empaquetage contribue à la simplicité d'utilisation. Sans besoin d'interférer avec l'antivirus ou de le désactiver, c'est une complexité de développement et de la maintenance qui s'envole. Il suffit de le lancer et de récupérer les mots de passe incognito, à partir d'une liste de logiciels construite au fil des ans, bougeant assez peu.

Dans ce monde de .NET, Jung note une exception notable : Pony, un voleur de mots de passe apparu en 2011, écrit en Delphi et... en assembleur. Ce dernier est sûrement le langage le plus difficile à appréhender. « C'est un travail compliqué. On utilise l'assembleur pour de l'exploitation [de failles], pas pour un outil complet ! Que quelqu'un conçoive son packer en assembleur, on peut encore comprendre. Tout ce qui est bas niveau, oui. Mais un voleur de mots de passe en assembleur, il faut se tordre ! » s'étonne encore le chercheur. 

Un marché en soi, avec pignon sur rue

Les utilisateurs de malwares ne sont pas toujours ceux qui les conçoivent. Il est même courant d'acheter des logiciels clés en main. C'est semble-t-il vrai des voleurs de mots de passe. Certains passent par des forums de vente, d'autres achètent des logiciels ayant pignon sur rue. Bien entendu, une partie des pirates « crackent » aussi ces logiciels, tant qu'à être dans l'illégalité. « C'est quand même 30 euros, il ne faut pas exagérer ! » ironise Paul Jung.

Parmi les outils, Agent Tesla est de ceux qui se montrent au grand jour. Il dispose d'un site en « .com » des plus officiels, à l'apparence professionnelle. Seule différence avec un vendeur de logiciel ordinaire, les paiements se font uniquement en crypto-monnaies.  Les prix : de 12 dollars pour un mois à 69 dollars pour un an de service.

Agent Tesla

« Agent Tesla, c'est une personne qui travaille dessus depuis plusieurs années, c'est un produit propre. Le serveur de contrôle en PHP est protégé, c'est le seul que je connais qui le protège. Le code est régulièrement mis à jour. Ce qui est délirant, c'est qu'il fait ça au clair. Pour lui, il ne conçoit pas un malware » relate le chercheur d'Excellium.

Malgré tout, il fournit un empaqueteur pour échapper aux antivirus et démontre le contournement d'Avast en vidéo. Les mises à jour, elles, ne servent pas qu'à la technique. Il va par exemple soigner l'interface du panneau d'administration, à l'inverse de malwares plus artisanaux. Il publie d'ailleurs régulièrement des notes de version, les dernières datant du 2 mars.

Malgré cette publicité, il est difficile d'agir contre son concepteur turc, en l'absence de plainte. « Pourtant, à la base, tous les acheteurs viennent se mettre à jour sur ce site » relance Paul Jung, qui note que cette vitrine publique peut bien attirer des ennuis. L'auteur américain de NanoCore, un outil connu de prise de contrôle de PC, a été arrêté en mars 2017, avant de plaider coupable en juillet.

La promotion des voleurs de mots de passe se fait aussi par des vidéos de didacticiels, à destination de clients à la pratique « amateur ». « Ils utilisent les produits, mais ce n'est pas de la haute voltige. Ils essaient ça sur leur poste, sur leur propre serveur de contrôle... On les voit » se désole presque le chercheur interrogé.

Une vidéo pour Infinite Keylogger, aujourd'hui disparue, jouait même sur le sex appeal de deux femmes pour vendre le voleur de mots de passe, en déclamant avec passion les caractéristiques du produit. Une vision surréaliste qui avait eu son succès à la Botconf, devant un parterre de spécialistes en sécurité.

Une réaction trop lente, la plainte encore rare

La réaction face à ces campagnes, qui peuvent voler les mots de passe en quelques minutes, est jugée trop lente par Paul Jung. Les sociétés ont trop rarement les procédures adéquates pour prévenir un utilisateur qu'il doit changer tous ses identifiants, personnels et professionnels, selon lui.

L'absence de plainte est un frein important à toute action future. « À chaque fois, ce sont des petits caïds. Une personne qui infectera 30, 40 personnes... Bonne chance à la police pour traquer ce genre de chose. C'est bien plus compliqué que de faire tomber un grand réseau » estime le chercheur. Contrairement à d'autres fraudes voyantes, celle-ci passerait généralement inaperçue. Lier le vol de mots de passe à une fraude bancaire ultérieure serait aussi compliqué.

Côté hébergeurs, les cellules « abuse », qui traitent les signalements de cybercriminalité, ne seraient pas efficaces contre ces campagnes. « Il faut en général de 8 à 20 heures pour qu'il se passe quelque chose » alors qu'un pirate peut bouger très rapidement, regrette l'expert.

Le blocage par le réseau ou la détection par les hébergeurs convainquent peu notre interlocuteur, qui y voit trop de problèmes éthiques. Il pointe plutôt les problèmes de coopération judiciaire entre pays, voire la lenteur du système judiciaire, même luxembourgeois, qui demande quatre jours pour mettre un serveur sur écoute.  « Il y a la même difficulté entre les entreprises. Les gens ne partagent pas les indicateurs de compromission. C'est un vaste débat » ajoute-t-il. 

« Depuis quatre ans à ce CERT, nous avons le sentiment de vider la mer à la cuillère. On le fait parce qu'il faut le faire, mais on sait très bien que souvent il ne se passera rien derrière. » Excellium conserve tout de même les preuves accumulées au fil des années, dans l'espoir qu'elles servent un jour dans le cadre d'une plainte.

Sollicitée, la gendarmerie n'a pas répondu à nos sollicitations sur le sujet. OVH n'a pas retourné de réponse à une série de questions envoyées il y a plusieurs semaines, concernant notamment ce dossier. Les voleurs de mots de passe semblent encore avoir de belles années devant eux.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est plus difficile quand c’est ton FAI [tousse]Free[/tousse]



À moins que ça ait changé dans les 3 derniers mois…

votre avatar







Kazer2.0 a écrit :



Moi, quand je vois qu’un site est capable de me redonner mon mot de passe, je clôture clos mon compte <img data-src=" />





<img data-src=" />







ManusDei a écrit :



Le mot de passe 6 chiffres impossible à modifier ça évite de mettre la date de naissance c’est pas déconnant comme idée





Heureusement que supprimer les deux premiers chiffres de l’année est totalement impossible <img data-src=" />


votre avatar

Bien content d’avoir choisi G Data Business pour protéger notre petit millier de machines :)

votre avatar







V_E_B a écrit :



Heureusement que supprimer les deux premiers chiffres de l’année est totalement impossible <img data-src=" />





Ce n’est pas toi qui choisis le mot de passe, donc pas de date d’anniversaire avec ou sans les 2 premiers chiffres de l’année.


votre avatar







fred42 a écrit :



Ce n’est pas toi qui choisis le mot de passe, donc pas de date d’anniversaire avec ou sans les 2 premiers chiffres de l’année.





Ok mais alors la “bonne idée” ça n’est pas un “mot de passe 6 chiffres impossible à modifier” mais “un mot de passe imposé” ;)


votre avatar

En fait, c’est ce qu’il voulait dire, je pense, mais il a été ambigu.

votre avatar







Tristos a écrit :



Bien content d’avoir choisi G Data Business pour protéger notre petit millier de machines :)





Bien content de ne plus distribuer et manager des solutions EPP pour plus d’un millier de machines…

Du côté de NextInpact, un article sur les EPP/EDR/SIEM au programme ?


votre avatar

Merci pour l’info, j’ignorais complètement que cela existait, en ce qui concerne le détail des moyens techniques employés.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

Ma banque aussi fait ça… et envoi du nouveau mot de passe par courrier uniquement quand on l’a perdu, certes sans l’identifiant.

votre avatar

(vive Linux)

votre avatar

Je suis pas inscrit sur le site de Pôle Emploi mais vu le commentaire précédent c’est eux qui génèrent le mot de passe, j’espère que c’est aléatoire et pas la date de naissance sur 6 chiffres, parce que là j’aurais plus les mots.

votre avatar

Article super intéressant, merci <img data-src=" />

votre avatar

Après, Pôle Emploi demande aussi le code postal. Ça fais donc 3 champs à remplir aussi.

votre avatar

Après tout dépend jusqu’à quel niveau de contrainte tu estimes que tes accès ont besoins.



Tu peux aller jusqu’à un OS spécialisé au final (genre QubeOS), mais plus la “sécurité” augmente, plus les contraintes aussi.

votre avatar

C’est une info plutôt facile à avoir.

votre avatar

Oui, mais faut quand même l’avoir, avec un password stealer, tu l’aurais pas normalement.

votre avatar

Pas besoin de ça, un peu de renseignement sur la personne ça peut être suffisant. Je trouve pas que ce soit un gage de protection quand t’as un mdp de 6 caractères a coté

votre avatar

Non mais je veux dire que les passwords stealer ne sont pas forcément ciblés vers quelqu’un de précis hein <img data-src=" />

votre avatar

Super article merci !Un sujet très intéressant qui mériterait d’être abordé plus souvent.

votre avatar

Article très sympa sur un sujet pas souvent abordé ! <img data-src=" />

votre avatar

Vu le nombre de sites marchands qui continuent d’envoyer le mot de passe en clair par courriel après inscription et qui ne sont toujour pas en https, cela reste facile de récupérer des mots de passe.

votre avatar

Merci super article, très intéressant. Après niveau logiciel il y a aussi du boulot faisable et fait par les développeurs, il y a quelques années on pouvait facilement récupérer un mot de passe sauvegardé sur Steam, il me semble que c’est maintenant beaucoup mieux protégé par exemple (hors Keylogger bien sûr).

votre avatar

Moi, quand je vois qu’un site est capable de me redonner mon mot de passe, je clôture mon compte <img data-src=" />

votre avatar

Perso, j’utilise une base de donnée Keepass que je déverrouille en Secure Desktop sous windows en utilisant l’auto-complétion et avec aucun mot de passe “enregistré” dans les outils (même pour Steam je le saisie). Après j’ai aussi Sophos Home qui à un module pour “chiffrer” le texte dans le navigateur.



Mais pour Windows, un conseil que j’ai aussi déjà entendu plusieurs fois, c’est d’utiliser un compte limité pour l’usage au quotidien (et d’utiliser l’UAC avec le compte admin quand c’est nécessaire), logiquement ça protège déjà mieux (pas encore testé pour l’instant, mais ça ne me gêne pas de saisir les identifiants d’un compte admin pour installer un soft ou autre <img data-src=" /> ) ?

votre avatar

même si c’est un organisme d’état ? (la caf, de&nbsp; mémoire…)

votre avatar

Je sais plus lequel service de l’état, ça devait être Amélie, ou j’ai supprimé puis recréer un compte.



Mais oui la plupart du temps ce sont les pires. Exemple qui me fait tiquer à chaque fois c’est le pôle Emploi, mot de passe de 6 chiffres impossible à modifier, Miam.

votre avatar

Un titre accrocheur et un article très intéressant

<img data-src=" />

votre avatar







Kazer2.0 a écrit :



Perso, j’utilise une base de donnée Keepass que je déverrouille en Secure Desktop sous windows en utilisant l’auto-complétion et avec aucun mot de passe “enregistré” dans les outils (même pour Steam je le saisie). Après j’ai aussi Sophos Home qui à un module pour “chiffrer” le texte dans le navigateur.



Mais pour Windows, un conseil que j’ai aussi déjà entendu plusieurs fois, c’est d’utiliser un compte limité pour l’usage au quotidien (et d’utiliser l’UAC avec le compte admin quand c’est nécessaire), logiquement ça protège déjà mieux (pas encore testé pour l’instant, mais ça ne me gêne pas de saisir les identifiants d’un compte admin pour installer un soft ou autre <img data-src=" /> ) ?





C’est cette config que je met quand je monte un PC ou bien qu’un PC passe entre mes mains. Toujours l’utilisateur dans sa session User, le reste sur une session que je nomme “Linkin” par exemple (pour éviter le traditionnel Admin ou Administrateur), et qui elle est en admin.



C’est pour compenser en peu le manque de gestion des utilisateurs sous Windows Home, et ça m’a permis de récup’ des PC infectés.


votre avatar

Tu as tout intérêt à avoir plusieurs sessions… Et même plus que juste admin/user, mais après ça devient un peu compliqué et contraignant (par exemple, le drag & drop ne fonctionne pas entre 2 fenêtres tournant dans 2 comptes différents).



Concernant Keepas, c’est très bien ce qu’ils ont fait (le “secure desktop”), mais il n’a rien de secure, c’est juste un desktop. J’avais commencé à créer un vrai secure desktop à l’époque de Windows 2000, mais je n’ai pas eu le temps de continuer. Le soucis de Keepass réside dans le fait qu’il tourne dans le compte utilisateur qui l’a lancé, et que n’importe quel autre programme tournant dans ce compte (par exemple un keylogger) pourra y accéder. Certains outils vont un peu plus loin en listant les processus actifs sur le desktop en question, pour vérifier qu’ils sont seuls. Sauf qu’en général, un keylogger tourne depuis l’intérieur de sa victime (“hook”), et qu’il devient alors très facile d’intercepter les appels systèmes et donc de faire croire au programme qu’il est seul.

Bref, si quelqu’un est intéressé par bosser sur le sujet, je peux expliquer vite fait comment faire un “vrai” secure desktop.

votre avatar

Le mot de passe 6 chiffres impossible à modifier ça évite de mettre la date de naissance c’est pas déconnant comme idée (mais oui c’est casse pied et y a mieux comme solution).

Plongée dans le monde des voleurs de mots de passe, de vieux bricolages efficaces

  • De vieux outils à la diffusion très classique

  • La simplicité comme principale qualité

  • Le paquetage en .NET, le meilleur ennemi du chercheur en sécurité

  • Un marché en soi, avec pignon sur rue

  • Une réaction trop lente, la plainte encore rare

Fermer