Analyse du leak Vault 7: le projet Pandemic de la CIA

de | 6 juin 2017

La semaine dernière, Wikileak a publié de nouveaux documents de la CIA relatifs à un projet désigné par Pandemic [1]. Un projet qui détourne une fonction native dans les systèmes Microsoft Windows à des fins de surveillance et de corruption des Systèmes d’Information de leurs cibles.

 Le principe de Pandemic est simple : un contenu malveillant, en l’occurrence la charge Pandemic, est intégrée au fichier lors de son transit. Plus précisément lorsque le fichier est accédé à travers… SMB (oui ! Encore une fois ce protocole qui avait été utilisé par WannaCry pour se propager et qui exploitée une vulnérabilité découverte par la NSA l’autre service de renseignement américain !)

Pandemic utilise une fonction au niveau Kernel (file systems driver [2]) qui permet de réaliser des traitements lors des entrées et sorties aux fichiers [3]. Ces fonctions sont utilisées par exemple :

  • Par l’audit des accès aux fichiers
  • Par les antivirus pour réaliser l’analyse en temps réel

La figure suivante résume le fonctionnement  de file systems driver dans lequel il est facile de comprendre comment Pandemic s’intercale dans la liste des traitement [4] lors des entrées et sorties aux fichiers :

Ce fonctionnement assure à Pandemic son caractère persistant dans le Système d’Information.

Pandemic permet de faire en sorte que seuls certains fichiers (option -t) accédés par certaines personnes (option -s qui peut être couplé à l’option –bs qui créée une blacklist des personnes à ne pas infecter) soient infectés. L’infection se propage alors d’une machine à l’autre de manière ciblée par infection successive… nous comprenons maintenant son nom.

Pandemic semble être conçu pour s’exécuter avec une durée limitée (option –timer) avec suppression de l’ensemble de ses traces dans le système où il a été implanté, contenu de la base de registre inclus. Il est par ailleurs intégré à la DLL F&F v2 (fire and forget) qui permet à un programme de surveillance de fonctionner de manière autonome sans (re)contacter le système de commande pendant un certain laps de temps. Ce fonctionnement améliore le caractère furtif, car les outils de supervision et d’analyse de sécurité se concentrent principalement sur les points d’entrée et de sortie des Systèmes d’Information. La DLL pilote également la désactivation de Pandemic : ce dernier vérifie toutes les 15 secondes auprès de la DLL F&F v2 s’il doit continuer à d’exécuter ou s’il doit se désinstaller.  Il semble que la désinstallation de Pandemic est assez rapide : elle se fait en un quinzaine de seconde (Recherche à faire : comprendre un peu plus le fonctionnement de la DLL F&F v2 car elle est également utilisée par Archimede, un autre outil de la CIA, qui permet de détourner le trafic réseau d’un poste de travail ciblé vers un autre poste de travail contrôlé par une personne malveillante avant l’exfiltration des données).

La bonne nouvelle est que Pandemic est limité fonctionnellement :

  • Le nombre des utilisateurs ciblés par la surveillance, limité à 64 compte identifiés par leurs SID (identifiant technique dans l’Active Directory Microsoft)
  • Le nombre de fichier qu’il peut traiter, max 20
  • La taille d’un fichier qu’il peut traiter, max 800 Mo

Par ailleurs, à mon sens, Pandemic nécessite quelque prérequis pour qu’il fonctionnement :

  • Une bonne connaissance du contexte technique de la cible (A minima : les serveurs de fichiers, les SID des cibles et les noms des fichiers utilisés par leurs cibles) et qui suggère qu’une compromission de plus grande ampleur a abouti dans le Système d’Information cible
  • L’implantation de Pandemic nécessite des accès administrateurs dans le Système d’Information ciblé par la surveillance (aucune option trouvée pour l’utilisation d’un compte pour l’installation l’exécution) : ce point reste à investiguer, la DLL F&F v2 pouvant assurer cette fonction

Je mettrai à jour ce post en fonction des (re)revues des documents leakés. N’hésitez à ajouter des compléments à cette analyse dans les commentaires.

Dans l’attente du prochain leak.

Les références :

[1] Documents Pandemic sur Wikileaks https://wikileaks.org/vault7/#Pandemic

[2] Installable file systems driver design guide https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/

[3] Les primitives FltXxx (Minifilter Driver)  https://msdn.microsoft.com/en-us/library/windows/hardware/ff544617(v=vs.85).aspx

[4] Filter Manager Concepts  https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/filter-manager-concepts

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *