En bref :
-
Le chargement latéral de DLL (Dynamic Link Library) est une technique permettant d’exécuter des charges virales malveillantes dans une DLL masquée en exploitant le processus d’exécution d’une application légitime.
-
Des groupes de malware, tels que les groupes APT chinois et les malwares Darkgate, exploitent sur le terrain une vulnérabilité de chargement latéral de DLL Zero-Day dans le logiciel anti-KeyLogger KeyScrambler.exe.
-
Les versions 3.18.0.0 et 3.17.0.4 de KeyScrambler sont également vulnérables à ce chargement latéral de DLL (Dynamic Link Library), avec une potentielle exploitation dans les versions antérieures.
Le paysage des menaces en matière de cybersécurité est en constante évolution, les adversaires concevant continuellement de nouvelles tactiques pour infiltrer les réseaux et compromettre les données. L’une de ces menaces qui a retenu toute notre attention ces dernières années est le chargement latéral de DLL, une technique utilisée par les acteurs malveillants pour échapper à la détection et exécuter du code malveillant dans des applications légitimes.
Selon Hacker News, deux APT liées à la Chine ont été détectées en train de mener une campagne de cyberespionnage contre les entités et les pays membres affiliés à l'ASEAN (Association of Southeast Asian Nations) via un fichier zip. Ce dernier contenait le fichier KeyScrambler.exe renommé, un logiciel anti-keylogger qui chargeait un fichier DLL malveillant (« KeyScramblerIE.dll ») et pouvait ainsi potentiellement déclencher une attaque par chargement latéral de DLL. Trellix a également signalé le même comportement sur son blog à propos de l'analyse du malware Darkgate.
Notre étude va donc passer en revue les comportements de KeyScrambler.exe pour voir s'il est vulnérable au chargement latéral de DLL (Dynamic Link Library). Ce type de chargement latéral présente un danger important, car il permet aux attaquants d'exploiter la manière avec laquelle les DLL (Dynamic-Link Library) sont chargées par les applications légitimes, contournant ainsi les contrôles de sécurité classiques.
Notre enquête comprendra l'examen de « KeyScrambler.exe » pour détecter toute indication de vulnérabilité au chargement latéral de DLL. Nous tenterons ensuite de charger une DLL personnalisée dans le programme si une telle vulnérabilité devait être découverte. Cette procédure donnera un aperçu de l'étendue de la vulnérabilité et de son impact possible sur la sécurité des applications et du réseau.
Enfin, en utilisant les informations recueillies lors de notre enquête, nous créerons une règle de chasse aux menaces pour identifier de manière proactive tout comportement suspect indiquant un potentiel chargement latéral de la DLL KeyScrambler. Les entreprises qui adoptent une approche proactive en matière de détection et de mitigation peuvent renforcer leurs défenses contre les menaces utilisant ce type de chargement latéral et gérer avec succès les risques associés.
Dans le paysage des menaces actuel, en constante évolution, il est essentiel pour les entreprises qui cherchent à maintenir une cybersécurité solide de reconnaître et de mitiger les nouvelles stratégies d'attaque telles que le chargement latéral de DLL (Dynamic-Link Library). Ce rapport sur les menaces émergentes vise à fournir des informations pratiques et des solutions pour aider les entreprises à renforcer leurs défenses et à se protéger contre le danger croissant que représente ce type de chargement latéral.
