Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Shylock doté d’une technique d’évasion des analyses effectuées via des sessions RDP

Par Rédaction, secuobs.com
Le 03/12/2012


Résumé : La dernière version de la plateforme malicieuse Shylock, qui vise les institutions financières, semble s’être dotée d’une nouvelle technique lui permettant de détecter ses exécutions au sein de sessions RDP et ce afin d’empêcher les analyses menées à son encontre par les chercheurs.



Découverte en 2011 par la société spécialisée Trusteer, Shylock est une plateforme malicieuse visant le secteur financier. Comme la majorité des codes malicieux, Shylock continue à évoluer dans le temps afin de contourner les nouvelles techniques défensives mises en place par les institutions financières et les entreprises habituellement visées par ce type de menaces.

Lors d’analyses menées à l’encontre de la version la plus récente de Shylock, les équipes de Trusteer ont été en mesure d’identifier une nouvelle astuce utilisée par ses développeurs afin de contourner les analyses menées à son encontre et notamment lorsque des environnements de laboratoire sont accédés à distance via des sessions RDP (Remote Desktop Protocol).

Les échantillons des codes suspects étant en général collectés et placés au sein de machines isolées qui sont regroupés dans des laboratoires d’analyse. Les chercheurs utilisant alors RDP afin d’accéder à ces machines du laboratoire et d’effecuter des opérations distantes plutôt que de se déplacer physiquement à chaque fois, une faiblesse humaine ici exploitée par Shylock.

Afin de détecter l’utilisation des sessions RDP pour son analyse, Shylock va en fait fournir des données invalides à une routine spécifique permettant de collecter des codes d’erreur caractéristiques trahissant ces environnements. Si une session RDP est détectée, Shylock ne s’installera pas et il peut d’ailleurs en être de même pour d’autres environnements virtualisés.

Source :

« Shylock’s new trick for evading malware researchers » sur Help Net Security News ( lien )