Dans les nouveaux mails publiés par les Anonymous, nous avons découvert que HBGary Inc. semble avoir travaillé sur le développement d’un nouveau type d’outil de dissimulation d’activité pour Windows qui serait indétectable et quasiment impossible à enlever.

Crowdleaks.org ne peut pas déterminer à quel point se projet a avancé. Cependant nous savons, en regardant les mails qui suivent, que la proposition pour l’outil MAGENTA de dissimulation d’activité a été envoyé par Greg Hoglung de HBGary à Ray Owen, le président de Farallon Research LLC.

De : Greg Hoglund
A : Ray.owen@farallon-research.com
Date : vendredi 7 Janvier 2011 14:29:25 -0800
Sujet : Tr: Magenta Rootkit (pour Ray)

En-tête complet
—–
mime-version: 1.0
received: by 10.147.181.12 with HTTP; Fri, 7 Jan 2011 14:29:25 -0800 (PST)
in-reply-to: <000001cbae9e$31149790$933dc6b0$@com>
references: <000001cbae9e$31149790$933dc6b0$@com>
date: Fri, 7 Jan 2011 14:29:25 -0800
delivered-to: greg@hbgary.com
message-id:
sujet : Fwd: Magenta Rootkit (for Ray)
de : Greg Hoglund
à : Ray.owen@farallon-research.com
content-type: multipart/mixed; boundary=000e0cd3ea788d10dc0499492677
Pièces jointes : MAGENTA.docx (13878 bytes)

Farallon Research LLC est une compagnie privée basée à Gatos (Californie) en contrat avec le gouvernement américain. Leur site n’offre aucune présentation de qui ils sont ou de ce qu’ils font mise à part une page « A propos » qui précise simplement : « La mission de Farallon Research LLC est de mettre en relation de hautes technologies commerciales et les compagnies qui les développent avec les exigences du gouvernement des États-Unis. »

Dans le message suivant, nous pouvons voir que Shawn Bracken, chercheur scientifique de premier plan chez HBGary, joint et envoya la proposition initiale de l’outil Magenta de dissimulation d’activité à Greg Hoglund.

———- Forwarded message ———-
De : Shawn Bracken
Date : vendredi 7 janvier 2011 à 11:07
Sujet : Magenta Rootkit (pour Ray)
A : Greg Hoglund

G,

Ci-joint se trouve la proposition demandée d’outil de dissimulation d’activité. Dis moi ce que tu en penses.

Amicalement,

-SB
Shawn Bracken

Principal Research Scientist
HBGary, Inc.
(916) 459-4727 x 106
shawn@hbgary.com

Dans le document Word joint (MAGENTA.docx) nous trouvons :

Description : Magenta serait un nouveau type d’outil de dissimulation d’activité (ou rootkit) basé sur Windows, que HBGary classe comme étant un outil multi-contexte. Magenta est à 100% en langage assembleur. Le corps de l’outil Magenta de dissimulation d’activité est injecté dans le noyau du système d’exploitation via la technique de chargement partiel DriverEntry(). Une fois chargé dans le noyau du système d’exploitation, Magenta identifierait automatiquement l’environnement des processus/threads actifs pour s’injecter dedans lui-même via un APC (Procédure d’Appel Asynchrone). Une fois l’APC lancée dans le nouvel environnement de processus, le corps du rootkit sera exécuté. Enfin, à la fin de chaque activation d’APC, Magenta se déplacera lui-même dans un nouvel emplacement de la mémoire et identifiera automatiquement une ou plusieurs nouvelles activations de combinaisons processus/threads pour attendre une ou plusieurs activations d’APC.

Une fois activé, le rootkit Magenta sera capable de chercher et d’exécuter des commandes et des messages de contrôle en les trouvant où qu’ils soient dans la mémoire physique de l’hôte contaminé. C’est idéal parce qu’il est à peu près trivial de semer des messages C&C (Command & Control) dans un hôte Windows connecté au réseau – même si l’hôte en question a son pare-feu Windows totalement opérationnel. La charge utile de Magenta contiendra aussi des possibilités sous-jacentes pour injecter ces messages C&C directement dans les processus en mode utilisateur. Cela permettra aussi aux messages injectables C&C d’être écrits pour exécuter des tâches en mode utilisateur chez l’hôte contaminé.

Points clés :

• Nouveau genre de rootkit – Il n’y a rien de tel de public.

• De poids extrêmement léger – (4k ou moins)

• Presque impossible à enlever depuis un système en exécution.

o Une fois que le corps injecté du rootkit Magenta est activé dans le noyau du système d’exploitation, il sera « fire-and-forget » [ndt : ne nécessite plus d'intervention]. Vous pouvez supprimer le fichier original .sys utilisé pour l’activer si vous le souhaitez.

o Un quelconque outil d’observation de la mémoire physique qui vous permettrait de voir la position actuelle du corps de Magenta serait d’une utilité limitée puisque le temps que l’outil vérifie ses résultats, Magenta aura déjà migré vers une nouvelle position et un nouvel environnement.

• Système élégant et puissant pour les messages C&C. Il y a presque une infinité de moyens d’obtenir un petit message C&C dans la mémoire physique d’un ordinateur connecté au réseau même sans aucune qualification.

• Invisible au noyau en mode défense des composants qui dépend de la routine de notification PsSetLoadImageNotifyRoutine() pour détecter/analyser/bloquer les drivers.

o Astuce : les retours de PsSetLoadImageNotify() sont seulement appelés pour les drivers qui retournent TRUE via leur DriverEntry().

Phases de Développement du Projet :
HBGary recommande un projet à au moins deux phases pour assembler Magenta. Durant la Phase-1 HBGary construirait un prototype totalement fonctionnel pour Windows XP – Service Pack 3 (X86). Cela permettrait une preuve de bout-en-bout du concept du prototype pour être développé et démontré. La Phase-2 consisterait simplement à porter le rootkit Magenta sur toutes les distributions actuelles de Microsoft Windows (x86 & x64).

Crowdleaks.org ne peut pas confirmer que la proposition du rootkit Magenta ait été, ne serait-ce, qu’acceptée mais étant données les implications de HBGary dans les recherches sur Stuxnet, c’est une proposition effrayante qui a été sûrement prise au sérieuse par HBGary INC. et ce n’est probablement pas la première du genre.

Cet article a été traduit de l’anglais par Pierre Villard.