Infection GOOTKIT "étrange"

spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je m'adresse à vous car j'ai du mal à comprendre le comportement et la diffusion d'un cheval de Troyes, nous avons eu du mal à l'identifier et à essayer de le stopper, mais j'ai pleins de question. Voici donc l'historique de mon "affaire" :

- vendredi dernier, nous avons constaté une augmentation anormale de la charge consommée sur nos serveurs virtuels. Un processus SvcHost.exe était à 100% de CPU, en se connectant sur les serveurs nous avions des messages demandant la validation d'ajout de certificats, nous avons pensé à un problème de déploiement d'une mise a jour par wsus.
- après un redémarrage complet, les serveurs se sont calmés.
- en même temps nous avons commencé à recevoir des messages d'utilisateur qui avaient perdu leur configuration Chrome et qui avaient des message d'erreur au lancement de certains programme. mais au second lancement cela passait.
je précise que nous avons MacAfe de déployé et qu'il n'a rien détecté.
- en cherchant nous avons trouvé des traces avec RogueKiller d'une infection à base d'un "fileless Gootckit", mais il peine à nettoyer certaine machine, dans la base registre "HKLU/default/Software/cxsw"
Je dis "à base" car je ne trouve pas d'explication cohérente à cette contamination ni a sa propagation.

Comment puis je analyser cette situation et m'en protéger si un pc portable en est la cause ?

Merci de votre aide.

16 réponses

Résumé de la discussion

Affaire complexe d'infection informatique autour d'un fichier sans trace Gootkit qui provoque une utilisation CPU élevée sur SvcHost.exe, des demandes de validation de certificats et la perte de configurations Chrome.
Plusieurs éléments de réponse évoquent le blocage de mshta.exe par une GPO ou Sophos, la nature fileless échappant à certains antivirus et la nécessité d'isoler les machines et les mettre à jour.
Des pistes évoquent une campagne d'emails malveillants visant la France qui installerait Gootkit, tandis que d'autres préconisent RogueKiller pour l'analyse et un suivi réseau renforcé.
En cas de PC portable suspect, l'analyse des journaux et l'isolation du poste s'imposent, car des artefacts fileless peuvent persister malgré des antivirus à jour.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Mouais, pas certains que ce soit un problème de malware.

    Pour voir :

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Fais skip sur les détections.
    Clic en haut à droite sur reports.
    Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
    Donne le lien du rapport pjjoint ici dans un nouveau message.

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Il n'y a rien de malicieux sur le rappor RogueKiller.
    0
  3. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    Pourtant il m'affiche ce genre d'erreur lors du lancement:
    [Tr.Gootkit] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[x] -> [NoKill]
    [Proc.Svchost] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[7] -> Tué(e) [TermProc]

    et il s'installe ce genre de truc dans la base de registre :

    https://pjjoint.malekal.com/files.php?id=20150214_z10m15s13c7w10

    qu'en penses tu ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca par contre, c'est malicieux.
    C'est la même infection que sur ce sujet : https://forum.malekal.com/viewtopic.php?t=50097&start=

    On peut tenter de la virer avec FRST mais je pense que ça va revenir.

    Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer deux rapports FRST.
    Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Ca ressemble à Trojan.Wonton http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Wonton-KX/
      0
      1. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        ca ressemble à plusieurs choses mais pas complètement et surtout je m'explique pas sa resistance.
        0
  6. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      C'est bien la même chose :
      HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
      HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
      HKU\S-1-5-21-1343024091-1677128483-725345543-500\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
      HKU\S-1-5-21-1343024091-1677128483-725345543-6772\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
      HKU\S-1-5-18\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).


      Ca charge le contenu de la clef : RegRead('HKCU\\Software\\ xsw\\loader'

      Ce serait déjà bien de bloquer mshta.exe sur le serveur et via une GPO.
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
    HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
    HKU\S-1-5-21-1343024091-1677128483-725345543-500\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
    HKU\S-1-5-21-1343024091-1677128483-725345543-6772\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
    HKU\S-1-5-18\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
    C:\Users\adm\AppData\Local\Temp\2\dllnt_dump.dll
    C:\Users\adm\AppData\Local\Temp\2\dynwrapx.dll
    C:\Users\adm\AppData\Local\Temp\2\mshta.exe

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'est normal que vous n'aillez pas d'antivirus sur vos serveurs ?
    0
    1. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      non ce n'est pas normal sur celui-là mais c'est une machine de test qui a été infectée sans avoir d'utilisateur de connecté, d'où ma curiosité pour essayer de comprendre comment il s'est propagé.
      0
    2. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      j'ai exactement la même avec un antivirus à jour. je vais poster les FRS
      0
  9. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
     
    ok procédure suivie sur un serveur. fix ok voici le log
    https://pjjoint.malekal.com/files.php?id=20150214_r11d15g15z10b8

    Reboot : et j'ai l'impression que c'est revenu
    Nouveau FRST :

    Addition.txt
    https://pjjoint.malekal.com/files.php?id=20150214_n10w7c14z11q14
    FRST.txt
    https://pjjoint.malekal.com/files.php?id=FRST_20150214_y7r6y137d8
    Shortcut.txt
    https://pjjoint.malekal.com/files.php?id=20150214_v6w11h15s15n13

    RogueKiller m'indique un filtre kernel
    https://pjjoint.malekal.com/files.php?id=20150214_s10t13v13q58

    Grave docteur ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Faudrait supprimer ces clefs :
      [Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-6772\Software\ xsw -> Trouvé(e)
      [Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\ xsw -> Trouvé(e)
      [Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-6772\Software\cxsw -> Trouvé(e)

      Bloque bien mshta via des GPO.
      0
    2. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      c'est bien le problème ca revient tout le temps et ca s'est multiplié sans que l'on trouve la facon
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si ça revient, c'est que vous avez plusieurs machines sur le réseau infecté et ça doit se propager des vulnérabiltés distantes car les machines ne sont pas à jour.
      Faut isoler les machines, mettre à jour et désinfecter pour chaque machine.
      0
    4. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      C'est bien possible, mais j'ai eu des machines infectées alors que l'antivirus était actif et à jour, ce qui me gène aussi c'est que ensuite McAfee et les autres mécanismes en ligne ne détectait rien. C'est assez étonnant de ne pas trouver plus d'information sur cette infection surtout de ne pas comprendre son mode d'infection (la source) et sa propagation.
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui je comprends bien, je n'ai pas plus d'infos, je pense qu'il faudrait :
    - bloquer mshta.exe sur les GPO, le lancement de l'application reposer sur ce programme, s'il ne peut se lancer, les infections ne pourront plus se lancer.
    - isoler les machines, mettre à jour et désinfecter pour chaque machine.
    Voir si la machine ne se réinfecte pas, alors c'est probablement une vulnérabilité à distance.

    aussi :
    C:\Users\adm\AppData\Local\Temp\2\dllnt_dump.dll
    C:\Users\adm\AppData\Local\Temp\2\dynwrapx.dll
    C:\Users\adm\AppData\Local\Temp\2\mshta.exe

    Soumets les deux DLL sur https://www.virustotal.com/gui/ et vois les détections. Tu peux installer un antivirus qui les détectent, ça peut vous aider.
    Eventuellement, fais moi parvenir les DLL, je peux les envoyer aux antivirus pour faire accélérer les choses.

    Le malware étant actif sur le serveur, il peut aussi voler les mots de passe administrateur du réseau pour faire ce qu'il veut de manière automatiquent dont sauter d'une machine à l'autre.

    0
    1. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      merci pour ces echanges.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      De rien, en espérant que tu puisses nettoyer ton réseau =)
      0
  11. Peliz71
     
    Bonjour,

    Je voulais savoir si vous aviez avancé sur votre problème de virus. Nous avons également le même problème.
    Ce que nous avons constaté :
    Une machine infectée puis nettoyée (base de registre + fichier) RogueKiller + Sophos + Rkill +... . On la déconnecte du réseau. On crée un nouvel utilisateur local. On reboot la machine. Le virus est de retour.
    Nous avons 5 serveurs de touchés et 60 PC environ. Soit 1/3 du parc. Aucune idée de comment il est arrivé ni comment il le propage.
    Je suis preneur de toutes idées :)

    Merci
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le PC est à jour ?

      A envisager :
      Le malware étant actif sur le serveur, il peut aussi voler les mots de passe administrateur du réseau pour faire ce qu'il veut de manière automatiquent dont sauter d'une machine à l'autre.
      0
    2. Peliz71
       
      Oui le PC est à jour.
      En ce qui concerne les serveurs, c'est hélas ma crainte. C'est pour cette raison que je fais les tests avec une machine non connectée pour essayer de comprendre comment le virus fonctionne. Je n'arrive pas à trouver le processus qui crée les données dans la base de registre.
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu as mis une GPO pour bloquer mshta.exe ?
      Ca doit limiter la casse.
      0
    4. spiderjn Messages postés 13 Date d'inscription   Statut Membre Dernière intervention  
       
      Oui nous commençons à cerner la bête, pas encore d'explication sur son arrivée ni sa propagation mais mon RSI a identifié comment il se met en sommeil sur le poste en attendant l'arrivée d'un nouvel utilisateur.
      Le cheval de Troie réussi a cacher ses clefs dans le fichier Profilepath\Default User\Ntuser.dat (https://support2.microsoft.com/en-us/help/284193 qui ne se trouve pas chargé dans la ruche default lorsque on lance Regedit.
      Pour son arrivée, nous avons trouvé dans des dossiers temporaire un exécutable WSXUPDATE.EXE, qui est détecté par McAfee comme Artemis!0AD8EB34A420.

      Le point ouvert reste comment nettoyer sur toutes les machines cette ruche qui n'est pas chargée.

      Voici ou nous en sommes.
      A+
      0
    5. Peliz71
       
      Je n'ai pas fait de GPO car Sophos nous bloque mshta. Ca fait plus d'un mois que l'on travaille avec les gens de Sophos sur le sujet mais personne semble savoir comment les clés sont créées.
      0
  12. spiderjn
     
    Salut,
    De notre coté, un script qui tourne régulièrement afin de corriger les serveurs et détecter les pc portables lorsqu'ils arrivent sur le réseau.

    Pas encore d'explication sur la source ni la dangerosité.
    A+
    0
  13. PELIZ71
     
    J'ai nettoyé les serveurs (base de registre : loader xsw, cxsw, binaryimage, ... dans toutes les ruches) ainsi que les fichiers dans temp et windows. J'ai bloqué l'accès au site : http://frostmayfair.org
    Pour le moment les serveurs ne m'ont pas remonté d'erreur, de virus. Je vais attendre de voir avant de faire les PC.
    Sinon je suis comme SpiderJN. Aucune trace de la manière dont le virus se propage, ni comment il est arrivé.
    Les infos sont très limitées sur le Net.
    Au niveau de sophos, nous continuons de travailler avec eux mais pas de solution pour le moment. L'antivirus bloque bien le virus mais seulement lorsqu'il a déjà infecté la base de registre.
    La première détection s'est faite le 10/01/2015 mais j'ai retrouvé des traces du virus datant de début décembre.
    Je vous tiens au courant.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Vous avez des TSE accessibles depuis internet ?
      0