Cisco prdit une nouvelle vague de problmes lis Excel, les fichiers XLL des feuilles de calcul ajouteraient des fonctionnalits personnalises, Y compris des logiciels malveillants

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Depuis des dcennies, les applications Microsoft Office constituent l’un des points d’entre les plus importants pour les codes malveillants. Les acteurs malveillants ont continu utiliser les macros Visual Basic for Applications (VBA), malgr les avertissements automatiques adresss aux utilisateurs aprs l’ouverture de documents Office contenant du code.

Outre les macros VBA, les acteurs de la menace, qu’il s’agisse d’acteurs de la cybercriminalit ou de groupes parrains par l’tat, ont galement exploit les vulnrabilits des applications Office afin de lancer du code malveillant sans intervention de l’utilisateur.

Microsoft dcrit les fichiers XLL comme un type de fichier de bibliothque de liens dynamiques (DLL) qui ne peut tre ouvert que par Excel . Ils existent pour permettre aux applications tierces d’ajouter des fonctionnalits supplmentaires au tableur. Les cybercriminels utilisent les XLL dans les attaques depuis plusieurs annes, les premiers chantillons malveillants ayant t soumis VirusTotal la mi-2017.

Pendant un certain temps, l’utilisation des fichiers XLL n’est que sporadique et n’augmente pas de manire significative jusqu’ la fin de 2021, lorsque des familles de logiciels malveillants de base comme Dridex et Formbook ont commenc les utiliser , crit Vanja Svajcer, chercheur pour Talos.

Cisco Talos est l’une des plus grandes quipes commerciales de renseignement sur les menaces au monde, compose de chercheurs, d’analystes et d’ingnieurs de classe mondiale. Grce sa visibilit de pointe, ses renseignements exploitables et ses recherches sur les vulnrabilits, elle assure la dtection rapide et la protection des clients de Cisco contre les menaces connues et mergentes, et sattaque aux menaces en cours pour protger l’Internet en gnral. Actuellement, un nombre important d’acteurs de menaces persistantes utilisent les XLL comme vecteur d’infection et ce nombre continue de crotre.

  • Cisco Talos tudie un autre vecteur d’introduction de code malveillant dans Microsoft Excel : les add-ins malveillants, plus prcisment les fichiers XLL ;
  • Microsoft supprime progressivement la prise en charge de l’excution des macros VBA dans les documents Office tlchargs ;
  • Bien que les fichiers XLL soient pris en charge depuis les premires versions d’Excel, y compris Excel 97, les acteurs malveillants ont commenc les utiliser relativement rcemment ;
  • Actuellement, un nombre important d’acteurs de menaces persistantes avances et de familles de logiciels malveillants de base utilisent les XLL comme vecteur d’infection et ce nombre ne cesse d’augmenter.

Les add ins pour Excel sont diffrents de ceux d’une application comme Word. Avec Excel, si un utilisateur veut ouvrir un fichier avec une extension .XLL dans l’Explorateur Windows, le systme essaie automatiquement de lancer Excel et d’ouvrir le fichier. Avant de le charger, Excel affiche un avertissement concernant un code potentiellement dangereux, similaire celui qui s’affiche aprs l’ouverture d’un document Office contenant du code macro VBA.

Que sont les fichiers XLL ?

En termes de type de fichier, les fichiers XLL sont tout simplement des bibliothques de chargement dynamique (DLL) standard de Windows. La diffrence entre une DLL ordinaire et un fichier XLL est que les XLL peuvent mettre en uvre certaines fonctions exportes qui seront appeles par le gestionnaire de complments Excel lors de certains vnements dclenchs par l’application Excel.

En ce qui concerne la fonctionnalit, les complments crs en code natif permettent aux dveloppeurs d’tendre les fonctionnalits d’Excel et de crer des fonctions dfinies par l’utilisateur (UDF) qui seraient capables d’excuter des calculs et d’autres activits en vitesse native.

XLLs bass sur C/C++

Les modules complmentaires XLL natifs sont dvelopps l’aide du kit de dveloppement logiciel (SDK) Microsoft Excel XLL. La dernire version du SDK est publie pour Office 2013, mais elle peut galement tre utilise pour dvelopper des modules complmentaires XLL pour les versions plus rcentes d’Office.

Pour qu’un add-in XLL soit charg avec succs par le gestionnaire d’add-in, le XLL doit implmenter au moins une fonction exporte, appele xlAutoOpen, afin que le code de l’add-in soit appel lorsque l’add-in est charg par Excel.

Les exportations XLL et les vnements lorsqu’elles sont appeles

Le SDK Excel XLL consiste en des fichiers d’en-tte C/C++ et des bibliothques qui permettent aux fichiers XLL d’utiliser l’API Excel pour accder aux donnes des classeurs et appeler les fonctions Excel. L’API est base sur l’ancienne API macro d’Excel 4. Un fichier nomm macrofun.hlp dans l’ancien format de fichier d’aide de Windows est encore disponible dans certains dpts mais il existe galement un fichier PDF Excel 4 Macro Reference cr par Mynda Treacy qui peut aider comprendre l’API.

La plupart des chantillons de logiciels malveillants XLL observs ne sont pas crs avec la fonctionnalit d’accs l’API d’Excel mais plutt pour excuter leur code malveillant lorsque le gestionnaire de modules complmentaires Excel appelle les fonctions xlAutoOpen ou xlAutoClose.

Bien que les XLL soient censes tre des DLL natives, le dveloppement dans des langages compils plus anciens n’est peut-tre pas familier de nombreux dveloppeurs, surtout depuis que .NET est devenu la norme de facto pour le dveloppement d’applications utilisateur sous Windows. C’est peut-tre la raison pour laquelle il existe quelques projets qui permettent aux dveloppeurs de crer des complments XLL l’aide de langages .NET tels que C# ou VB.NET. Les deux frameworks les plus populaires sont Add-In Express et Excel-DNA.

En particulier, comme il est gratuit, les auteurs de logiciels malveillants ont adopt Excel-DNA comme l’un des outils courants pour crer des fichiers XLL malveillants. Un fichier XLL crit dans un langage .NET est compil dans un fichier autonome contenant des fonctions de shim qui mappent les exportations natives aux fonctions CLR contenues dans une DLL d’assemblage dfinie par l’utilisateur et intgre dans la section ressources du fichier gnr par Excel-DNA.

Outre la DLL de l’assemblage dfini par l’utilisateur, la section des ressources du module complmentaire gnr par Excel-DNA peut contenir un certain nombre de DLL utilises pour traduire les appels de fonctions natives en appels de fonctions .NET et vice-versa. Par exemple, l’assemblage EXCELDNA.LOADER est charg de charger le cadre .NET et de le connecter la DLL dfinie par l’utilisateur.

Excel-DNA exige du dveloppeur qu’il instancie une interface IExcelAddIn qui sera appele par le chargeur Excel-DNA. Le dveloppeur peut ensuite implmenter une classe qui hrite de IExcelAddIn et dfinir des fonctions pour surcharger les implmentations par dfaut des fonctions qui correspondent aux fonctions appeles automatiquement par Excel. Par exemple, la fonction xlAutoOpen correspond IExcelAddIn.AutoOpen().

volution des XLL malveillantes

Recherche de XLL dans VirusTotal

VirusTotal est un service en ligne appartenant Google qui permet l’analyse de fichiers suspects et facilite la dtection rapide des virus, vers, chevaux de Troie et toutes sortes de logiciels malveillants dtects par les moteurs antivirus.

Avec la connaissance de ce que sont les fichiers XLL, il ne sera pas trs difficile de rechercher les fichiers malveillants en utilisant l’interface de VirusTotal ainsi que les dpts d’chantillons internes. Sur VirusTotal, la mthode de base pour rechercher des fichiers XLL malveillants soumis pour la premire fois, par exemple, en novembre est la suivante :

exportslAutoOpen positives:5+ fs:2022-11-01+

Peut-tre aussi en incluant les XLL qui mettent en uvre xlAutoClose :

exportslAutoClose positives 5+ fs:2022-11-01+

Pour les fichiers Excel-DNA, la situation est quelque peu diffrente. Un fichier Excel-DNA compil tant un shim, il contient plus de 10 000 exportations. Toutes les exportations ne seront pas indexes par VirusTotal, qui inclut toutes les fonctions xlAuto. Cela signifie que la recherche standard de l’exportation xlAutoOpen ne donnera aucun fichier Excel-DNA dans le rsultat de la recherche. Pour rechercher les XLLs Excel-DNA, nous pouvons rechercher les noms de fonctions exportes qui n’apparaissent que dans les DLLs compiles Excel-DNA, par exemple :

exports:CalculationCanceled exports:SyncMacro fs:2022-11-01+

Les recherches peuvent facilement tre converties en rgles YARA pour la chasse :

1
2
3
4
5
6
7
8
9
10
11
12


import "pe"
rule gen_Excel_xll_addin_AutoOpen
{
condition:
filesize < 30MB
and uint16(0) == 0x5a4d
and pe.characteristics & pe.DLL
and pe.exports("xlAutoOpen")
and new_file
and positives > 3
}

pour les fichiers XLL natifs, et

1
2
3
4
5
6
7
8
9
10
11
12

import "pe"
rule gen_Excel_ExcelDNA_Exports
{
condition:
filesize < 30MB
and uint16(0) == 0x5a4d
and pe.characteristics & pe.DLL
and pe.exports("CalculationCanceled")
and pe.exports("SyncMacro")
and new_file
and positives > 3
}

pour les XLL malveillants bass sur Excel-DNA.

En utilisant les capacits de recherche, on est en mesure de suivre le nombre de fichiers natifs et de fichiers Excel-DNA malveillants soumis au fil du temps, sur une base mensuelle.

Soumissions mensuelles de fichiers XLL natifs malveillants partir de janvier 2021.

La recherche sur VirusTotal a montr que les acteurs malveillants taient bien conscients de l'existence des fichiers XLL et les utilisaient bien avant que Microsoft ne dcide de commencer bloquer les documents contenant des macros VBA. Les chercheurs ont dcid de mener une recherche approfondie d'chantillons de XLL afin de crer une chronologie pour voir quand exactement les premiers XLL malveillants ont commenc apparatre, ainsi que pour comprendre quels groupes et familles de logiciels malveillants les utilisaient au fil du temps.

Ils ont cibl les chantillons soumis pour la premire fois au dbut de l'anne 2010. Bien qu'une vingtaine de XLL aient t soumises en 2010, nous n'avons pu classer aucune d'entre elles comme malveillante de manire concluante. En fait, aucun chantillon potentiellement malveillant n'a t soumis avant juillet 2017. En juillet 2017, un chantillon de test avec SHA256 09271afc6f7ac254b4942a14559a0015fb4893d9bb478844ced2f78c0695929e, utilis pour lancer calc.exe, a t soumis. Le mme mois, un chantillon de reverse shell Meterpreter, fdfdfc8878f39424920d469bcd05060a6f7c95794aa2422941913553d3dd01f, a t soumis.

Ainsi, la mi-2017 semble marquer le dbut de l'utilisation par les acteurs des fichiers XLL comme l'un des vecteurs d'excution de code malveillant. Pendant un certain temps ensuite, l'utilisation des fichiers XLL n'est que sporadique et n'augmente pas de manire significative jusqu' la fin de 2021, lorsque des familles de logiciels malveillants de base comme Dridex et Formbook ont commenc les utiliser.

Acteurs et familles de logiciels malveillants notables utilisant les XLL

APT10 (menuPass, Chessmaster, Potassium)

APT10 est un groupe de menaces originaire de Chine qui s'intresse particulirement aux secteurs de l'ducation, de la fabrication et de la pharmacie. Le groupe est connu pour cibler des organisations au Japon et dans d'autres pays. Il est actif depuis au moins le dbut de l'anne 2017. L'chantillon a5d46912f0767ae30bc169a85c5bcb309d93c3802a2e32e04165fa25740afac1 a t soumis VirusTotal en dcembre 2017 et il contient une fonctionnalit permettant d'injecter la charge utile Backdoor Anel dans l'espace processus de svchost.exe. Les oprateurs d'APT10 sont connus pour utiliser exclusivement cette porte drobe.

TA410

TA410 est un groupe parapluie de cyberespionnage vaguement li APT10, connu principalement pour cibler des organisations bases aux tats-Unis dans le secteur des services publics, et des organisations diplomatiques au Moyen-Orient et en Afrique. TA410 est actif depuis au moins 2018 et a t rvl publiquement pour la premire fois en aot 2019 par Proofpoint.

Les chercheurs d'ESET ont rdig une analyse approfondie de la bote outils employe par TA410, qui comprend galement une tape XLL dcouverte en 2020. L'un des composants de l'attaque, une DLL d'injection de processus nomme onkeytoken_keb.dll (9dd2425c1a40b8899b2a4ac0a85b047bede642c5dfd3b5a2a2f066a853b49e2d), contient galement une exportation xlAutoOpen, bien qu'aucune fonctionnalit malveillante ne soit excute lors de son appel (l'injecteur est dclench par l'appel de la fonction exporte OnKeyT_ContextInit).

Donot

L'quipe DoNot est connue pour cibler les organisations but non lucratif du Cachemire et les responsables du gouvernement pakistanais. La rgion du Cachemire fait l'objet de litiges permanents entre l'Inde, la Chine et le Pakistan concernant sa proprit. L'quipe DoNot a utilis des implants mobiles ainsi que des charges utiles de bureau personnalises qui s'installent sur les systmes par le biais de documents malveillants.

Le 7 octobre 2022, une DLL d8286133d3d21b7e2b83a6c071147b8ef993e963ad6bdb0f95d665869557a444, portant le nom 1.xll, a t tlcharge par un utilisateur du Pakistan. La DLL contient deux exportations. Le nom de la premire exportation est pdteong, qui a t vu dans les implants Donot depuis au moins juin de cette anne. Le second nom d'exportation est xlAutoOpen, qui fait de l'implant une charge utile XLL native entirement fonctionnelle.

FIN7

FIN7 est un groupe de menaces motivation financire oprant depuis la Russie. FIN7 utilise un certain nombre de charges utiles et diffrentes techniques d'infection, notamment des assemblages .NET et PowerShell. L'objectif principal de FIN7 est d'obtenir des gains financiers pour le groupe. FIN7 utilise le plus souvent le malware Carbanak.

Au dbut de l'anne, FIN7 a commenc utiliser des fichiers XLL envoys en pices jointes dans des campagnes d'e-mails malveillants. Par exemple, le fichier XLL d'une campagne de fvrier tait 7a234d1a2415834290a3a9c7274aadb7253dcfe24edb10b22f1a4a33fd027a08. nomm Quickbooks - 40127.xll. Ce fichier sert de tlchargeur pour l'tape suivante.

Les tlchargeurs XLL de FIN7 sont intressants car ils semblent avoir t crs avec le framework Excel-DNA .NET. En y regardant de plus prs, on peut constater que les fichiers sont des bibliothques de shim Excel-DNA modifies, dont les fonctions xlAutoOpen ont t changes par rapport l'original pour inclure du code qui se connectera un hte contrl par un attaquant pour tlcharger des composants supplmentaires.

Source : Cisco4

Et vous ?

Quel est votre avis sur le sujet ?

Utilisez-vous le logiciel tableur de la suite bureautique Microsoft Office ? Sinon, lequel utilisez-vous ?

Cette prdiction de Cisco est-elle pertinente ?

Voir aussi :

Cisco renforce ses capacits dans le domaine du cloud : aider les clients adopter le cloud intelligent pour de meilleures expriences numriques

LastPass : vos infos et vos donnes de coffre-fort de MdP sont dsormais entre les mains de pirates. Le gestionnaire de MdP rvle que la violation qu'il a reconnu en aot est pire que prvu



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.