Qu'est-ce que SmokeLoader?
September 07, 2023
SmokeLoader est un logiciel malveillant de type backdoor qui peut agir comme un outil d'accès à distance, un téléchargeur de logiciels malveillants et un outil de vol de données. Apparu en 2014, il est généralement utilisé pour établir des botnets qui étaient ensuite exploités pour des attaques par déni de service (DDoS) et la livraison de logiciels malveillants supplémentaires. En raison de l'approche qu'il utilise pour déployer d'autres charges utiles, certains analystes l'ont classé comme un ver. Dans l'ensemble, même en 2024, il reste une menace majeure pour les entreprises et les utilisateurs individuels. Ses caractéristiques de conception lui permettent d'agir de manière furtive et d'être invisible et invincible face aux programmes antivirus.
Échantillons du backdoor SmokeLoader reçus
Parmi les principales caractéristiques de SmokeLoader, on trouve son immense obfuscation et le choix du langage C/Assembleur. Pour le prix de 1650 dollars, un acheteur reçoit le logiciel malveillant et le panneau d'administration. Des modules complémentaires peuvent être livrés après l'injection initiale, mais ils sont disponibles moyennant un paiement séparé. Une telle modularité rend ce logiciel malveillant beaucoup plus petit que ses homologues - seulement 30 Ko, tandis que la plupart des backdoors ont généralement une taille d'environ 150 à 200 Ko. Les développeurs de ce backdoor publient généralement une mise à jour une fois par an, apportant de nouvelles fonctionnalités et modules.
Description du logiciel malveillant
SmokeLoader est un exemple typique de logiciel malveillant de type backdoor, qui, cependant, est orienté vers la diffusion de logiciels malveillants par sa conception. Il contient également des capacités de création de botnets, ce qui permet aux ordinateurs infectés de servir les commandes envoyées depuis le serveur de commande. En raison d'un développement constant et de la flexibilité du modèle choisi, le logiciel malveillant a été enrichi de jusqu'à neuf modules. Ces derniers étendent la fonctionnalité de SmokeLoader pour créer un accès distant aux systèmes infectés, capturer des mots de passe, des frappes clavier et rediriger le trafic à travers des demandes DNS falsifiées.
Un autre aspect spécifique lié au backdoor SmokeLoader est sa manière de codage. Tout d'abord, les langages de bas niveau tels que l'Assembleur sont rarement utilisés pour la création de logiciels malveillants, bien que le langage C soit rencontré assez souvent. Profondément obfusqué et chiffré, le code reste illisible même pendant l'exécution du logiciel malveillant. Lorsqu'il doit effectuer un autre appel API, il chiffre la partie qu'il a arrêtée et déchiffre celle dont il a besoin. Une telle approche offre une forte sécurité contre l'ingénierie inverse, mais l'exécution prend généralement plus de temps que d'habitude.
La charge utile que ce logiciel malveillant livre à un dispositif cible ne contient pas d'en-tête PE, ce qui signifie qu'elle ne peut pas être exécutée de manière régulière. Cela déconcerte certains des antivirus qui le considèrent comme un fichier endommagé et l'ignorent donc. Pour s'exécuter et assurer la persistance, il creuse le code dans un processus système et énumère les emplacements des DLL afin de pouvoir les utiliser en cas de besoin.
Distribution de SmokeLoader
Pour bien comprendre comment fonctionne le logiciel malveillant, il est important de voir comment les choses se déroulent chronologiquement. La manière dont le logiciel malveillant parvient à la machine cible est toujours la première étape de toute infection, nous la passerons donc en revue en premier lieu.
Le backdoor SmokeLoader est connu pour être utilisé dans une large gamme de méthodes de propagation. Son prix élevé ne nuit pas à sa popularité, c'est pourquoi de nombreux groupes de cybercriminalité l'utilisent pour répondre à leurs besoins. Pour cette raison, ce backdoor est vu comme étant diffusé de manière extrêmement variée. Le spam par e-mail, les téléchargements en passant, les pages d'atterrissage d'exploitation, la distribution par un logiciel malveillant installeur et même au sein des logiciels non autorisés - toutes ces méthodes servent à la distribution de SmokeLoader.
Il cible à la fois les particuliers et les entreprises, donc dans le cas des particuliers, le logiciel malveillant pénètrera très probablement via des programmes piratés et des téléchargements en passant. Le spam par e-mail sert à la fois aux deux parties, tandis que les sites d'exploitation et les virus téléchargeurs font de préférence leur travail lors d'attaques contre les entreprises. Le plus courant parmi eux, comme vous pouvez le deviner, est le spam par e-mail - l'alpha et l'oméga absolus de la diffusion de logiciels malveillants. Dans ce cas, SmokeLoader est chargé avec l'aide d'une macro malveillante cachée dans le document.
Le déguisement en application craquée, outil de piratage ou utilitaire douteux suppose l'utilisation d'un script qui sera exécuté dès que vous lancerez l'installeur de l'application. Le résultat est à peu près le même - le logiciel malveillant se connecte à un serveur de commandes et récupère la charge utile. Mais le mécanisme sous-jacent est différent : au lieu d'exploiter des vulnérabilités dans les macros, il obtient des privilèges administratifs en se faisant passer pour une partie de l'installation de l'application.
L'exploitation d'une faille est une histoire complètement différente, car elle suppose l'utilisation d'une vulnérabilité de navigateur existante et non corrigée. La clé du tour consiste à inciter la victime à ouvrir cette page. La trousse d'exploitation utilisera la faille mentionnée pour injecter un code malveillant dans le navigateur et le forcer à exécuter ce code. En conséquence, le logiciel malveillant s'installe sans aucune interaction de la victime.
Lancement de Smokeloader
Le backdoor SmokeLoader utilise un dépaquetage en 2 étapes qui lui permet de rester caché le plus longtemps possible. L'étape 1 contient un logiciel malveillant fortement encapsulé et obfusqué qui doit être décrypté après avoir passé les vérifications. L'étape 2, en revanche, est un logiciel malveillant prêt à l'emploi qui présente toutefois certaines spécificités à décrire.
Une information clé concernant SmokeLoader au début de son activité est le grand nombre de vérifications qu'il effectue. Elles sont liées à la détection de l'environnement d'exécution, tel qu'une machine virtuelle, un bac à sable ou un outil de débogage. Si l'un de ces éléments est détecté, le processus d'exécution est interrompu. Une autre vérification codée en dur dans le logiciel malveillant concerne la localisation. Si le logiciel malveillant détecte que le système attaqué provient des anciens pays de l'URSS, il interrompt également l'exécution. L'aspect particulier est que vous ne pouvez pas désactiver cette restriction de quelque manière que ce soit, ce qui est probablement dicté par les origines des développeurs de logiciels malveillants.
Pendant le processus de vérifications mentionné ci-dessus, le logiciel malveillant charge plusieurs DLL dont il a besoin pour son exécution. Kernel32.dll et User32.dll sont lancés en premier, puis Shell32.dll et Advapi32.dll sont chargés. De plus, il copie nt.dll - une autre bibliothèque Windows centrale - dans un dossier %Temp%. Ensuite, il ne lance que cette instance de la bibliothèque. Une telle action est probablement réalisée pour éviter la détection par les systèmes EDR/XDR, qui contrôlent généralement les applications qui accèdent à l'instance réelle de nt.dll. Si toutes les vérifications que nous avons mentionnées ci-dessus sont réussies et que les DLL sont chargées correctement, le logiciel malveillant vérifie l'architecture du système puis déploie la version de charge utile correspondante - 32 bits ou 64 bits.
Exécution de l'étape 1
Il est assez difficile d'analyser la charge utile de l'étape 1 de SmokeLoader, principalement en raison de l'obfuscation intensive. Il utilise une technique de prédicat opaque, qui rend tout essai de compréhension confus. Résoudre ces prédicats n'est pas productif, les laisser tels quels non plus, car le logiciel malveillant cache des lignes de code réelles parmi les prédictions opaques éparses. Cependant, il est possible de résoudre ce problème en utilisant des scripts créés spécifiquement à cette fin, ou avec un paramétrage spécial de l'outil d'analyse.
Le chiffrement du code dans SmokeLoader est mis en œuvre d'une manière assez étrange. Près de 80 % du code est en permanence encodé, en utilisant l'algorithme LZSA. Si le code de la partie cryptée est nécessaire, le logiciel malveillant obtient la taille de la partie à décoder, la décode, obtient la fonction, et chiffre à nouveau chaque autre élément, y compris les instructions qu'il a cessé d'utiliser. Par conséquent, les parties du code lisibles sont stockées exclusivement en RAM, tandis que sur les disques, vous ne verrez qu'un code compressé. De plus, il n'y a aucun moyen de capturer le moment où le logiciel malveillant détient une partie significative de son code décrypté.
Après avoir passé les vérifications mentionnées ci-dessus, SmokeLoader décompresse et dépaquette son cœur et arrive enfin à l'étape où il exécute son objectif principal - l'accès à distance et la distribution de logiciels malveillants.
Exécution de l'étape 2
La première chose à noter après le dépaquetage de SmokeLoader est le fait que sa forme finale ne contient pas d'en-tête PE. Sans cela, Windows ne reconnaît tout simplement pas le programme comme un fichier exécutable valide. À ce stade, il se fait passer pour un code Shell. Cela agit à la fois en faveur et contre le logiciel malveillant : en rendant sa détection plus difficile, il ne peut pas non plus utiliser la fonctionnalité normale de Windows pour le lancement de programmes. Cependant, s'il réussit, le logiciel malveillant s'exécute normalement comme s'il s'agissait d'un fichier exécutable ordinaire.
Pour cette raison, SmokeLoader parvient à pénétrer dans d'autres processus grâce à une procédure appelée creusement de code. En utilisant une série d'appels système - GetShellWindow->GetWindowThreadProcessId->NtOpenProcess - le logiciel malveillant parvient à intégrer son code dans un processus Windows authentique. Habituellement, il choisit explorer.exe comme vecteur - la pierre angulaire de Windows.
La fonctionnalité clé stockée dans la dernière étape est la communication avec le serveur de commandes et la livraison de charges utiles. Pour que ces fonctions fonctionnent, cependant, SmokeLoader doit également trouver un moyen d'appeler les DLL indispensables à son exécution. Pour relever ce défi, le logiciel malveillant exploite une structure interne de Windows appelée Process Environment Block, ou PEB. Cette structure contient le champ LBR qui contient toutes les bibliothèques actuellement en cours d'exécution dans le système. Sachant cela, le logiciel malveillant peut choisir parmi une liste de bibliothèques déjà en cours d'exécution, ce qui facilite considérablement la résolution de ses dépendances. Il sauvegarde le hash sur 4 bits d'une adresse de DLL dans sa propre structure, donc il n'y a aucun problème pour l'appeler quand c'est nécessaire.
Pour s'exécuter, SmokeLoader a besoin des bibliothèques suivantes :
- User32.dll
- Advapi.dll
- Ole32.dll
- Winhttp.dll
- Dnsapi.dll
N'oubliez pas qu'il a déjà chargé plusieurs DLL lors de l'exécution de l'étape 1. Par conséquent, la liste complète des bibliothèques dont il a besoin à l'étape 2 est généralement nécessaire pour établir une connexion avec le serveur de commande et de contrôle. Mais avant de passer à ses tâches finales, le logiciel malveillant démarre également 2 threads afin de voir s'il y a des outils de débogage ou d'analyse de logiciels malveillants en cours d'exécution dans le système. SmokeLoader recherche une liste de processus et de noms de fenêtres. S'il y a une correspondance, le logiciel malveillant reconnaît la tentative d'analyser son activité et interrompt son exécution.
- Procmon.exe
- X64dbg.exe
- X32dbg.exe
- Procexp.exe
- Procexp64.exe
- Autoruns.exe
- Ollydbg.exe
- Wireshark.exe
- ProcessHacker.exe
Communication C2
Après tous ces processus de dépaquetage étendus et de vérifications pour l'analyse possible, SmokeLoader en arrive enfin à la communication avec le C&C. Il effectue cette opération en utilisant le bloc de configuration intégré à chaque échantillon. Chacun d'entre eux contient jusqu'à 10 adresses IP de serveurs de commandes. La même configuration contient également une clé de chiffrement pour les paquets entrants et sortants.
Malgré le fait qu'il s'agisse d'un distributeur plutôt que d'un voleur d'informations, il collecte toujours certaines informations sur le système dans lequel il est lancé. Cela est nécessaire simplement pour empreinter la machine - puis la distinguer des autres dans le botnet. Le logiciel malveillant envoie les catégories de données suivantes au serveur de commandes et de contrôle :
- ID du bot (valeur sur 41 bits, mélange de chiffres et de lettres)
- ID de l'affilié
- Version du logiciel malveillant (répète l'année de sortie)
- Nom de la machine
- Version de Windows
- Niveau de privilèges de l'utilisateur
Certains paramètres, en particulier l'ID du bot et l'ID de l'affilié, sont importants pour éliminer les connexions aléatoires provenant de bots appartenant à d'autres maîtres. La version du logiciel malveillant joue le même rôle - si elle ne correspond pas à celle de l'admin, tous les paquets de ce bot seront considérés comme invalides.
À partir du serveur de commande et de contrôle, le maître du logiciel malveillant ne peut envoyer que 3 commandes au logiciel malveillant. La commande "U" lance le processus de mise à jour du bot sur la machine choisie. La commande "R" (probablement de "supprimer") force le bot à effectuer une autodestruction. Enfin, la commande "I" demande au logiciel malveillant d'installer une persistance.
Livraison du logiciel malveillant
Comme nous l'avons mentionné plusieurs fois, l'objectif principal de SmokeLoader est de télécharger des logiciels malveillants sur les machines infectées. Par conséquent, un botnet de centaines de machines peut recevoir simultanément un ensemble de plusieurs échantillons de logiciels malveillants différents, en fonction de qui paie le maître du botnet. Un tel comportement a conduit à la situation où toutes les machines présentes dans le botnet étaient infectées des dizaines de fois par une grande variété de logiciels malveillants. Cependant, cela n'empêche pas les escrocs de garder ces places vacantes à la vente. La possibilité de faire un tel choix permet aux affiliés de diffuser ce qu'ils veulent. Parmi les types de logiciels malveillants courants, on trouve les chevaux de Troie bancaires, les logiciels espions et les rançongiciels.
Il existe également une étrange coopération entre SmokeLoader et le rançongiciel STOP/Djvu. Au lieu d'une distribution de logiciels malveillants classique, le backdoor est livré avec un rançongiciel et quelques autres éléments malveillants - RedLine Stealer et Vidar Spyware. Tous sont probablement ajoutés par les acteurs de la menace du rançongiciel Djvu, afin d'augmenter la marge d'une seule attaque.
Modules supplémentaires
Nous avons mentionné que les développeurs de SmokeLoader proposent également 9 modules d'extension pour leur logiciel malveillant. Ces modules étendent les fonctionnalités du backdoor et le rendent assez similaire aux menaces de logiciels espions. Les modules ne sont pas inclus dans l'offre de base, chaque module doit être payé en supplément, pour plus de 1650 $ du prix initial. Voici les 9 extensions disponibles avec le backdoor :
| Outil de recherche de fichiers | Recherche les fichiers ayant des extensions ou des noms spécifiques |
| Procmon | Outil de surveillance des processus, permet de répertorier les programmes dans le système |
| PC à distance | Permet au maître du logiciel malveillant de se connecter à distance à l'ordinateur infecté, comme avec un utilitaire d'accès à distance classique |
| Keylogger | Enregistre les frappes au clavier |
| Extracteur d'e-mails | Recherche le carnet d'adresses MS Outlook du système et l'extraie |
| Extracteur de formulaires | Recherche les formulaires de connexion dans les fenêtres et extrait tout ce qui entre dans le formulaire |
| Sniffer de mots de passe | Recherche les paquets Internet à la recherche d'informations d'identification de connexion |
| DDoS | Crée un environnement sur le panneau d'administration pour contrôler le botnet et force les systèmes infectés à attaquer les serveurs désignés |
| DNS falsifié | Trompe les réponses des requêtes DNS, ce qui permet de rediriger la victime vers le site souhaité |
SmokeLoader Backdoor IoC in 2024
SHA256 Hashes
ebdebba349aba676e9739df18c503ab8c16c7fa1b853fd183f0a005c0e4f68ae d618d086cdfc61b69e6d93a13cea06e98ac2ad7d846f044990f2ce8305fe8d1b ee8f0ff6b0ee6072a30d45c135228108d4c032807810006ec77f2bf72856e04a 6b48d5999d04db6b4c7f91fa311bfff6caee938dd50095a7a5fb7f222987efa3 b961d6795d7ceb3ea3cd00e037460958776a39747c8f03783d458b38daec8025 02083f46860f1ad11e62b2b5f601a86406f7ee3c456e6699ee2912c5d1d89cb9 059d615ce6dee655959d7feae7b70f3b7c806f3986deb1826d01a07aec5a39cf 5318751b75d8c6152d90bbbf2864558626783f497443d4be1a003b64bc2acbc2 79ae89733257378139cf3bdce3a30802818ca1a12bb2343e0b9d0f51f8af1f10 f92523fa104575e0605f90ce4a75a95204bc8af656c27a04aa26782cb64d938d dc8adec81ebe638336dd8ab78f1048e9980cffb0b39e2a47a0cf30adfe19d383 8f0e0c6cdd8f9c215434e00c0076735d0b3e293b722cc6197449bef273095a00 b65806521aa662bff2c655c8a7a3b6c8e598d709e35f3390df880a70c3fded40
C2 URLs:
| monsutiur4[.]com | nusurionuy5ff[.]at | moroitomo4[.]net | susuerulianita1[.]net |
| cucumbetuturel4[.]com | samnutu11nuli[.]com | host-file-host6[.]com | host-host-file8[.]com |
| nikogminut88[.]at | limo00ruling[.]org | mini55tunul[.]com | tootoo[.]ga |
| eyecosl[.]ga | bullions[.]tk | mizangs[.]tw | fiskahlilian16[.]top |
| paishancho17[.]top | ydiannetter18[.]top | azarehanelle19[.]top | quericeriant20[.]top |
| xpowebs[.]ga | nunuslushau[.]com | linislominyt11[.]at | luxulixionus[.]net |
| lilisjjoer44[.]com | venis[.]ml | mbologwuholing[.]co[.]ug | quadoil[.]ru |
IP addresses
| 5[.]149[.]253[.]100 | 185[.]117[.]88[.]96 | 185[.]174[.]173[.]34 | 162[.]247[.]155[.]114 |
| 185[.]174[.]173[.]116 | 185[.]174[.]173[.]241 | 62[.]109[.]26[.]121 | 185[.]68[.]93[.]27 |
| 137[.]74[.]151[.]148 | 185[.]223[.]95[.]66 | 85[.]143[.]221[.]60 | 195[.]123[.]216[.]115 |
| 94[.]103[.]82[.]216 | 185[.]20[.]187[.]13 | 185[.]242[.]179[.]118 | 62[.]109[.]26[.]208 |
| 213[.]183[.]51[.]54 | 62[.]109[.]24[.]176 | 62[.]109[.]27[.]196 | 185[.]174[.]174[.]156 |
| 37[.]230[.]112[.]146 | 185[.]174[.]174[.]72 | 65[.]55[.]252[.]93 |
Comment vous protéger du backdoor SmokeLoader?
Les backdoors sont des malwares extrêmement sournois, difficiles à détecter une fois qu'ils sont dans le système. SmokeLoader est une cible difficile même par rapport à d'autres backdoors. Ses mesures anti-détection et anti-analyse en font une cible difficile pour les systèmes de protection tels que EDR ou XDR. Par conséquent, empêcher son apparition est la première chose que vous devriez faire.
- Utilisez un logiciel de prévention des attaques basées sur les fichiers. La plupart des cyberattaques modernes reposent sur l'insertion de malwares dans des fichiers à un certain stade. C'est pourquoi la meilleure approche de prévention vise à rendre cela impossible. Des solutions logicielles comme Content Disarm and Reconstruction peuvent désamorcer efficacement les malwares ou les scripts malveillants qui se cachent profondément dans les documents et fichiers qui arrivent sur votre système. Bien sûr, cette manière de résoudre le problème concerne davantage la sécurité d'entreprise.
- Soyez vigilant avec les e-mails. La principale source de liens malveillants et de documents infectés est le spam par e-mail - les statistiques des trois dernières années ne laissent aucune place au doute à ce sujet. Contrairement aux systèmes CDR mentionnés ci-dessus, une simple attention est disponible pour tous. Ne vous précipitez pas pour ouvrir tous les e-mails que vous recevez, en particulier ceux qui sont contradictoires avec ce que vous attendez de recevoir. Examinez attentivement l'adresse de l'expéditeur et le corps du message à la recherche d'erreurs. La dépersonnalisation et les fausses déclarations sont des signes courants d'un e-mail de spam. Les fichiers joints ne sont pas une forme courante de partage d'informations, il n'est donc pas recommandé de les ouvrir.
- N'utilisez pas de logiciels crackés. Les programmes crackés sont une autre source répandue de problèmes, malgré le fait qu'ils touchent généralement les utilisateurs individuels. Les malwares se cachent dans le fichier d'installation, voire parfois remplacent complètement le programme original. Associé à la demande de désactiver le programme antivirus (car il commence généralement à réagir lorsque les fichiers du programme sont modifiés) cela fait des cracks de logiciels un outil apprécié de différentes catégories d'escrocs. De plus, une telle approche de l'utilisation de logiciels est illégale, vous pouvez donc faire l'objet de poursuites judiciaires, voire d'emprisonnement.
- Soyez attentif aux liens que vous suivez. Où que vous les trouviez - dans les e-mails mentionnés ci-dessus, sur les sites web que vous consultez ou sur les réseaux sociaux, ils ne doivent pas être suivis aveuglément. Une attention particulière doit être accordée aux liens qui mènent vers des pages construites sur des constructeurs de sites ou sur un domaine de premier niveau bon marché. Leur prix et leur capacité à être loués sans formalités en font un délice pour les escrocs. Bien sûr, une telle attention n'est pas nécessaire lorsque vous êtes sûr à la fois du site cible et de la personne qui vous donne ce lien. Mais tous les autres cas devraient au moins être vérifiés avec attention.
Cependant, les mesures proactives ne sont pas tout ce que vous pouvez faire pour rester en sécurité. Il y a aussi quelques choses qui perturberont le flux d'infection.
- Utilisez des moniteurs réseau. Les malwares qui échouent à se connecter au serveur de commande et de contrôle sont pratiquement inutiles, ou du moins moins dangereux. SmokeLoader, par exemple, ne posera aucun danger s'il ne peut pas passer à travers l'outil de surveillance réseau pour se connecter au serveur de commande. Vous pouvez opter pour des systèmes de détection et de réponse réseau complets, si vous visez à sécuriser le réseau de l'entreprise, ou des applications de pare-feu simples - si vous visez votre propre système.
- Utilisez des outils de sécurité dotés de systèmes de détection avancés. SmokeLoader n'est pas unique dans sa manière de masquer sa présence et ses fichiers. Malheureusement, les logiciels antivirus de basse qualité ne peuvent tout simplement pas détecter les malwares sous un tel déguisement profond. Si vous voulez une protection appropriée contre de tels malwares astucieux, utilisez des logiciels anti-malware dotés de capacités de détection avancées. GridinSoft Anti-Malware, par exemple, peut traiter les malwares à l'aide de trois systèmes différents, qui évaluent les événements qui se produisent dans le système sous différents angles.