Et si les meilleurs malwares étaient… les antivirus ? Il y avait, au programme de la Black Hat Europe 2022, une session touchant à ce sujet. Plus précisément, au détournement de ces logiciels – EDR inclus – pour en faire des wipers.
Ces souches malveillantes – qui émaillent notamment le conflit russo-ukrainien – n’exploitent pas toutes la même méthode de destruction. Les plus « basiques » suppriment des éléments. Dans le contexte de Windows, ça ne signifie pas « effacer », mais simplement invoquer la fonction DeleteFile(). Laquelle libère, dans la table d’allocation (MFT), l’entrée correspondante.
Les wipers majeurs, de DoubleZero à Shamoon en passant par CaddyWiper, vont plus loin. Après l’opération de suppression, ils écrivent un nouveau fichier à la même entrée MFT, ce qui efface l’ancien. D’autres écrivent directement sur le disque comme s’il s’agissait d’un périphérique.
Double problème. D’une part, l’une et l’autre technique exigent des privilèges. De l’autre, reposant sur un processus (le wiper) qui utilise les API Windows, elles laissent des traces.
Un fichier pour un autre : le potentiel destructeur des jonctions
Les antivirus/EDR ont de commun qu’ils peuvent automatiquement supprimer (ou mettre en quarantaine) des fichiers identifiés comme malveillants. C’est sur cette fonctionnalité que repose le détournement. Le principe : faire en sorte que cette opération s’applique à un autre fichier que celui qu’elle est censée toucher.