Cette série couvre les incidents les plus exotiques observés sur nos sites clients et comment SMARTMonitor a pu détecter ces créatures.

La bête: certuil

Les incidents n’impliquent pas toujours des logiciels malveillants. Dans un cas, nous avons détecté une situation dans laquelle un programme légitime avait le potentiel de provoquer des problèmes de sécurité plus tard.

Dans certains cas, les programmes tentent de charger des certificats racine dans de certificats.

En forçant l'utilisateur à faire confiance à tous les certificats signés par cette nouvelle racine, le détenteur du certificat peut s'insèrer entre l'utilisateur et son site Web de destination.

Par exemple, si un utilisateur souhaite vérifier son compte Gmail, la petite icône de cadenas sera verrouillée et le certificat devrait dire que c'est de Google. Dans ce cas, cependant, le certificat montrait le certificat intercepté qui pouvait être secrètement exploité par "l'homme au milieu" (MitM) pour espionner les utilisateurs.

---

Comment avons-nous attrapé cette bête en utilisant CYDEF SMARTMonitor?

1. Un nouveau programme, KnpPluginSvc, a été installé qui a lancé certutil. Cela a été signalé immédiatement comme un écart par rapport au niveau normal, car SMARTMonitor détecte ce genre d’anomalies.

2. Les experts en cybersécurité de CYDEF examinent les journaux pour cette activité de certutil observée et peuvent voir depuis la ligne de commande l'ajout d'un nouveau certificat au magasin.

3. L'activité liée à l'installation du programme était très inhabituelle. De plus, cet élément a été signé par Apache, faisant de ce logiciel une instance bizarre de logiciels libres bricolés ensemble.

4. Après plus de recherches, nous avons confirmé que la source du logiciel provenait du site Web des services en ligne du gouvernement du Kazakhstan.

Indépendamment de la légitimité du logiciel, les analystes de CYDEF SMARTMonitor étaient immédiatement préoccupés par l'installation du certificat et le potentiel d'une attaque MtiM.

Après des recherches et des discussions avec des experts régionaux, CYDEF a en outre pu déterminer que cela faisait probablement partie d'une campagne à long terme du gouvernement du Kazakhstan pour effectuer une surveillance de masse de leurs citoyens.

Pourquoi l'AV seul n'aiderait pas

Cet incident particulier n'est pas un malware. Il s'agit d'un logiciel légitime qui présente un cyber risque significatif pour l'organisation, ce qui le pousse hors de portée de la plupart des produits AV.

Besoin de plus d'informations? Parlons-en