L’évolution des binaires Linux dans les opérations ciblées sur le cloud

Résumé

Les chercheurs d’Unit 42 ont identifié une menace croissante pour la sécurité cloud : des fichiers Linux au format ELF (Executable and Linkage Format), spécifiquement conçus par les acteurs de la menace pour cibler les infrastructures cloud. Nous prévoyons que les acteurs de la menace ciblant les environnements cloud utiliseront des outils de plus en plus sophistiqués dans leurs attaques. Cela inclura la modification, l’amélioration et l’adaptation d’outils existants qui, historiquement, ne visaient que les systèmes d’exploitation Linux. Les échantillons de malwares ELF utilisés comprendront des portes dérobées, des droppers, des Trojans d’accès à distance (RAT), des outils d’effacement de données et des binaires d’exploitation de vulnérabilités.

Au cours de notre enquête, nous nous sommes concentrés sur cinq familles de malwares basés sur le format ELF, chacune ayant été utilisée par des groupes de cybercriminels pour cibler des environnements cloud dans le cadre de leurs opérations. Cela inclut des actions malveillantes visant spécifiquement les environnements cloud ainsi que l’exploitation directe d’infrastructures cloud à l’aide de ces binaires ELF. Ces activités indiquent clairement que les attaquants continueront d’utiliser des binaires ELF contre les infrastructures cloud.

Nous avons analysé chacune de ces familles de malwares et constaté qu’elles ont toutes fait l’objet d’au moins deux mises à jour majeures au cours de l’année écoulée, preuve que les acteurs de la menace les maintiennent activement. De plus, chaque souche de malware a été repérée au moins 20 fois sur la même période, ce qui confirme qu’elles sont activement utilisées par les attaquants.

Nous pensons que ces familles de malwares seront très probablement utilisées dans de futures attaques ciblant les environnements cloud, et notamment l’infrastructure.

Les clients de Palo Alto Networks sont mieux protégés contre les menaces évoquées dans cet article grâce à Cortex Cloud.

Si vous pensez avoir été compromis ou en cas de question urgente, contactez l’équipe de réponse à incident d’Unit 42.

Contexte

Notre rapport récent sur les menaces cloud a révélé une augmentation moyenne de 388 % des alertes en 2024. Par ailleurs, 45 % des organisations déclarent une recrudescence des attaques de type APT (menace persistante avancée). Alors que les acteurs de la menace ciblent de plus en plus les infrastructures cloud, les équipes de défense doivent identifier les vecteurs d’attaque potentiels exploitables pour accéder aux environnements cloud, y établir une persistance et mener des opérations malveillantes. Les threat hunters gagneraient à analyser les exécutables malveillants pouvant être utilisés contre des terminaux dans le cloud.

Cet article examine les types de binaires malveillants que les acteurs de la menace développent pour cibler les environnements Linux. Les fichiers ELF sont un format standard couramment utilisé pour les exécutables dans ces systèmes d’exploitation. Les chercheurs estiment que 70 à 90 % des instances de calcul dans les environnements cloud reposent sur des variantes de Linux. Si les malwares ELF ne sont pas nouveaux, les familles identifiées et les techniques d’attaque qu’elles mobilisent devraient évoluer de manière à viser plus spécifiquement les infrastructures cloud.

L’évolution des binaires ELF

Les familles de malwares Linux bien connues peuvent évoluer pour cibler activement les ressources cloud. En raison de la présence généralisée de systèmes Linux dans les environnements cloud standards, les cybercriminels peuvent facilement adapter et déployer ces familles de malwares dans des workloads cloud et des environnements de conteneurs.

Nos chercheurs ont identifié plusieurs souches évolutives de malwares ELF, parmi lesquelles NoodleRAT, Winnti, SSHdInjector, Pygmy Goat et AcidPour. Ces binaires ELF utilisent des techniques telles que le détournement du linker dynamique, qui exploitent notamment la variable d’environnement LD_PRELOAD pour :

• Injecter du code malveillant dans des processus système légitimes
• S’interfacer avec des services Linux critiques, comme le démon SSH (sshd)
• Exploiter des vulnérabilités ou des mauvaises configurations dans les infrastructures conteneurisées

Cela permet aux acteurs de la menace d’assurer leur persistance, de maintenir des canaux de commande et de contrôle (C2) discrets, d’exfiltrer des données de manière furtive et de perturber les opérations en effaçant des données critiques.

NoodleRAT

Ce logiciel malveillant permet aux acteurs de la menace de mener des opérations de commande et de contrôle (C2) sur un terminal ciblé, notamment :

• L’accès via un reverse-shell
• Le tunneling proxy SOCKS
• Le chiffrement des communications
• L’exécution programmée de code
• Le transfert de fichiers (téléchargement et téléversement)
• L’usurpation de nom de processus

NoodleRAT existe en versions Windows et Linux. La variante Linux est une porte dérobée au format ELF. Bien que son code présente des similitudes avec d'autres malwares Linux tels que Rekoobe et Tiny SHell, NoodleRAT est considéré comme une famille de logiciels malveillants à part entière.

NoodleRAT a été observé dans le cadre d’intrusions à des fins de cybercriminalité et de cyberespionnage, notamment par des acteurs de la menace sinophones tels que Rocke, ainsi que par des acteurs présumés étatiques associés à la campagne Cloud Snooper. Les auteurs de la variante Linux de NoodleRAT ont ciblé des entités dans plusieurs pays de la région Asie-Pacifique, notamment en Thaïlande, en Inde, au Japon, en Malaisie et à Taïwan.

Winnti

Winnti existe en versions Windows et Linux. Ce logiciel malveillant assure sa persistance en détournant la variable d’environnement LD_PRELOAD, ce qui lui permet de se charger en mémoire sans modifier les exécutables système légitimes.

La porte dérobée dispose des fonctionnalités suivantes :

• Exécution de commandes à distance
• Exfiltration de fichiers
• Prise en charge du proxy SOCKS5 pour faciliter les communications C2

La variante Linux du malware Winnti est une porte dérobée utilisée par plusieurs groupes d’acteurs de la menace liés à la Chine, notamment ceux que nous suivons sous les noms de Starchy Taurus (également connu sous le nom de Winnti Group ou BARIUM) et Nuclear Taurus (aussi appelé Tumbleweed Typhoon, THORIUM ou Bronze Vapor). Cette porte dérobée se compose de deux fichiers : un binaire ELF principal (libxselinux) et une bibliothèque dynamique supplémentaire (libxselinux.so).

SSHdInjector

Cette porte dérobée SSH pour Linux injecte du code malveillant dans le démon SSH (sshd) pendant son exécution. Le code injecté permet à l’acteur malveillant de maintenir un accès persistant et facilite des activités malveillantes telles que :

• Le vol d’identifiants
• L’exécution de commandes à distance
• La pénétration de logiciels malveillants
• L’accès aux fichiers et aux répertoires
• L’ouverture d'un shell à distance
• L’exfiltration de données

SSHdInjector a été observé dans des campagnes menées par plusieurs acteurs de la menace liés à la Chine, notamment un groupe que nous suivons sous le nom de Digging Taurus (également connu sous les noms de Daggerfly et Evasive Panda). Les cibles sont liées à des activités de cyberespionnage et incluent des individus, des institutions gouvernementales ainsi que des organisations du secteur des télécommunications.

Pygmy Goat

Pygmy Goat est une porte dérobée Linux, découverte sur des dispositifs Sophos XG Firewall, mais conçue pour cibler d’autres systèmes basés sur Linux. Le logiciel malveillant obtient un accès initial et persiste grâce à des fonctionnalités de rootkit, en exploitant la bibliothèque libsophos.so, vulnérable à un contournement de l’authentification (CVE-2022-1040).

L’exécutable s’injecte ensuite dans le démon SSH (sshd) en utilisant la variable d’environnement LD_PRELOAD sur l’appareil ciblé, ce qui lui permet d’intercepter les communications SSH. L’acteur de la menace peut initier la communication avec le logiciel malveillant en envoyant des paquets ICMP spécialement conçus – une technique connue sous le nom de port knocking – ou en transmettant une séquence de magic bytes intégrée au trafic SSH.

Ses capacités incluent :

• L’établissement de shells distants
• La capture de paquets réseau
• La création de tâches planifiées via cron
• Le tunneling via un proxy SOCKS5 inversé

Les cibles signalées incluent des agences gouvernementales et leurs fournisseurs, des ONG, ainsi que des entités des secteurs de la santé et des transports dans la région Asie-Pacifique.

Acid Pour/AcidRain

AcidRain et sa variante plus récente, AcidPour, sont des souches de malware destructeur de type wiper pour Linux, attribuées à l’acteur menaçant russe Razing Ursa (également connu sous les noms de Sandworm et Voodoo Bear). AcidRain est un binaire ELF conçu pour cibler les modems et routeurs basés sur l’architecture MIPS.

AcidPour est un binaire ELF similaire, mais compilé pour l’architecture x86. Il peut ainsi viser un éventail plus large de cibles, notamment des baies de stockage sous Linux x86, des équipements réseau et des systèmes de contrôle industriel.

-es deux wipers utilisent des commandes d’entrée/sortie (IOCTL) pour détruire les données, puis se suppriment eux–mêmes afin d’échapper à la détection. AcidPour, ou une nouvelle variante de ce binaire, pourrait s’avérer redoutablement efficace pour effacer des systèmes cloud non protégés basés sur x86, si un acteur de la menace parvenait à obtenir un accès shell – par exemple à la suite du déploiement réussi d’un web shell ou d’une évasion de conteneur.

Nous avons observé de nouvelles valeurs de hachage associées à ces familles de malwares dans les mois ayant précédé ce rapport. À mesure que les organisations poursuivent leur migration vers le cloud, les acteurs de la menace continueront à développer ces familles de malwares et à se tourner vers les environnements d’exécution cloud. Cette tendance souligne la nécessité de renforcer les capacités de détection et de prévention dans les workloads cloud et les conteneurs.

Conclusion

En 2024, les alertes basées sur le cloud ont augmenté de 388 % en moyenne. Nous prévoyons que les acteurs de la menace ciblant les environnements cloud utiliseront des outils de plus en plus sophistiqués dans leurs attaques. Cela inclura la modification, l’amélioration et l’adaptation d’outils existants qui, historiquement, ne visaient que les OS Linux.

Étant donné que jusqu’à 90 % des environnements cloud reposeraient sur des instances de calcul Linux, il est logique que les acteurs de la menace cherchent désormais à déployer ces familles de malwares directement contre les environnements cloud.

Il est plus crucial que jamais de déployer des agents de sécurité sur les instances de calcul cloud afin de détecter toute activité malveillante en cours d’exécution, tout trafic réseau suspect ou tout comportement anormal. Les agents de sécurité modernes pour environnements cloud sont capables d’identifier ces familles de malwares. L’intégration de l’apprentissage automatique dans les solutions de détection sur les terminaux représente une avancée majeure pour la sécurité cloud.

Palo Alto Networks : protection et atténuation des menaces

Nous recommandons une approche de détection basée sur l’apprentissage automatique pour identifier les exécutables malveillants. Cette méthode évolutive doit prendre en compte plusieurs facteurs, notamment :

• Les appels système en mode noyau
• Les fonctions importées
• Les techniques d’évasion
• Le trafic réseau
• Les schémas d’exécutables inconnus

La figure 1 montre un binaire ELF jusque-là inconnu ayant déclenché une alerte Cortex basée sur l’apprentissage automatique.

Détections ELF par apprentissage automatique

Avec Cortex Cloud, Palo Alto Networks a mis au point un nouveau module d’apprentissage automatique spécifiquement conçu pour détecter les fichiers ELF sous Linux. Nos chercheurs ont mené des tests sur plus de 100 binaires ELF issus des cinq familles de malwares abordées dans cet article. Chaque famille de malwares a été détectée avec succès, et 92 % de l’ensemble des échantillons ont été correctement identifiés comme malveillants.

Les 8 % restants correspondaient à des bibliothèques partagées Linux (.so), qui sortaient du périmètre du modèle utilisé.

Les fichiers détectés ont été classés selon les critères de test suivants :

• Malveillant
• Suspect
• Bénin

Les échantillons ayant obtenu un score supérieur ou égal à 0,85 sont considérés comme malveillants, ceux dont le score se situe entre 0,84 et 0,65 comme suspects, et ceux dont le score est inférieur à 0,64 comme bénins.

La figure 2 montre que 61 % des échantillons testés ont obtenu un score supérieur à 0,85 et ont donc été considérés comme malveillants.

92,3 % de l’ensemble des échantillons soumis ont dépassé le seuil de suspicion de 0,65. Cela démontre que tous les échantillons, à l’exception de 7,7 % d’entre eux, seraient considérés comme suspects et déclencheraient une alerte s’ils étaient exécutés dans l’environnement.

Détections PowerShell et VBS par apprentissage automatique

Nous avons également utilisé le module d’apprentissage automatique PowerShell et VBS de Cortex pour étudier la détection des opérations spécifiques au cloud. Nous avons soumis plus de 100 scripts PowerShell et Visual Basic (VBS) au modèle d’apprentissage. Ces scripts, sélectionnés manuellement, étaient identifiés comme malveillants et réalisaient les activités suivantes :

• Découverte et création de ressources cloud
• Suppression et exfiltration d’objets des conteneurs de stockage
• Opérations liées à la gestion des identités et des accès (IAM)

La figure 3 montre que 67 % de ces scripts ont bien été identifiés comme malveillants ou suspects. Il est à noter que près de 96 % des échantillons malveillants ont obtenu un score supérieur ou égal à 0,95.

Cortex Cloud

Les défenseurs peuvent obtenir des informations précieuses en chassant les menaces liées aux exécutions courantes de malwares ELF sur les terminaux du cloud. Cela peut se faire grâce à la détection et réponse dans le cloud (CDR), une solution de sécurité qui combine :

• Les capacités de détection et réponse (EDR) sur les terminaux
• La détection et la prévention des processus exécutables s’exécutant sur les terminaux du cloud
• Les capacités d’audit et de journalisation inhérentes à la plateforme de services cloud

Les clients de Palo Alto Networks sont mieux protégés contre les menaces évoquées ci-dessus grâce aux produits suivants :

• Cortex – Module de détection des fichiers ELF par apprentissage automatique
• Cortex – Module de détection PowerShell et VBS par apprentissage automatique

Si vous pensez avoir été compromis ou en cas de question urgente, prenez contact avec l’équipe de réponse à incident d’Unit 42 ou appelez les numéros suivants :

• Amérique du Nord : Gratuit : +1 (866) 486-4842 (866.4.UNIT42)
• ROYAUME-UNI : +44.20.3743.3660
• Europe et Moyen-Orient : +31.20.299.3130
• Asie : +65.6983.8730
• Japon : +81.50.1790.0200
• Australie : +61.2.4062.7950
• Inde : 00080005045107

Palo Alto Networks a partagé ces résultats avec les membres de la Cyber Threat Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour déployer rapidement des mesures de protection auprès de leurs clients et pour perturber systématiquement les cyberacteurs malveillants. En savoir plus sur la Cyber Threat Alliance.

Ressources complémentaires

Plusieurs sources ont été utilisées pour produire et étayer cette recherche :

• Les menaces liées au cloud en plein essor – Unit 42
• État des lieux du cloud en 2024 – Unit 42
• AcidPour Wiper Malware – Splunk
• AcidPour | Nouvelle variante embarquée d’AcidRain repérée en Ukraine – SentinelOne
• Centre national de cybersécurité – NCSC
• Analyse de SSHdInjector – Fortinet
• Analyse du backdoor NoodleRAT – Trend Micro
• RevivalStone : Winnti Group – Centre d’urgence cybernétique de LAC