Détection, prévention et remédiation du Ransomware EvilQuest

Une fois de plus, une nouveau ransomware, baptisé EvilQuest ou ThiefQuest, attaque les systèmes MacOS. Le fait qu'il cible les Macs au lieu des systèmes Windows le rend déjà intéressant, mais ce n'est pas tout. Examinons ce qui rend ce ransomware intéressant et ce qu'il signifie pour les organisations.

Il se propage...

Pour le moment, pour être infecté par EvilQuest, il faut d'abord télécharger des logiciels populaires piratés (c'est-à-dire des copies illégales), principalement via BitTorrent. Toute équipe de sécurité est consciente que cette action est dangereuse et que ceci ne devrait jamais se produire dans un environnement d’entreprise. Cependant, l’erreur est humaine…

Examinons ce qui se passe lorsqu’un installateur contenant EvilQuest est installé sur un Mac.

Persistance

Le système MacOS dispose d'un Framework de sécurité solide. Toute application ou tout installateur sans certificat du développeur exige que l'utilisateur final accepte de le lancer :

Il va de soi que nous espérons que nos utilisateurs sont suffisamment bien formés pour reconnaître qu'ils viennent de télécharger un produit commercial et que leur Mac leur dit que celui-ci n'est pas un logiciel commercial valable et qu'ils devraient probablement cliquer sur « Annuler ».

Cependant, lorsque l'utilisateur final clique sur « Ouvrir », le malware s'installe comme programme de lancement (soit un démon de lancement, soit un agent de lancement) nommé com.apple.questd.plist. Ce dernier lance le binaire du malware (appelé com.apple.questd) et garantit que chaque fois que l'utilisateur se connecte, le malware est automatiquement ré-exécuté. EvilQuest s'injecte ensuite dans divers autres programmes déjà présents sur le Mac, pour assurer que les équipes informatiques ont du mal à le supprimer. En conséquent, il ne suffit donc pas de supprimer le programme de lancement com.apple.questd.plist pour éradiquer le malware.

Impact

EvilQuest attaque le système de trois façons :

1. Extraction de fichiers : EvilQuest analyse le système à la recherche de certificats, de clés et de portefeuilles virtuelles, qui sont ensuite renvoyés à l'attaquant pour être exploités.
2. Contrôle à distance : Le ransomware permet à l’attaquant de prendre le contrôle de l'appareil en question. Il peut exécuter des scripts arbitraires, enregistrer des frappes de clavier et extraire d’autres types de données personnelles.
3. Chiffrement : Comme un ransomware traditionnel, EvilQuest procède ensuite au chiffrement de tous les fichiers d'un utilisateur et leur demande une rançon.

Détection des appareils infectés

L'attention portée à EvilQuest nous a permis de bien comprendre comment le détecter dans votre environnement. Voici quelques indicateurs de compromission (IoC) :

 /Library/mixednkey/toolroomd

/Library/AppQuest/com.apple.questd

~/Library/AppQuest/com.apple.questd

/Library/LaunchDaemons/com.apple.questd.plist

~/Library/LaunchAgents/com.apple.questd.plist

Jamf Protect détecte et empêche l'exécution de tous ces éléments ainsi que de diverses autres IoC appartenant à des variantes connues de EvilQuest. Pour les nouvelles variantes et comme alerte avant qu'EvilQuest ne tente de s'exécuter, Jamf Protect identifie le mécanisme de persistance utilisé par ce malware et alertera les équipes de sécurité.

En outre, les organisations doivent limiter l'utilisation des outils BitTorrent dans leur environnement. Avec Jamf Protect, solution des protection des terminaux Mac, les entreprises peuvent configurer la prévention des menaces pour bloquer l'exécution des clients BitTorrent les plus populaires sur les Macs de votre entreprise. La communauté MacAdmin a commencé à recueillir une liste de TeamIDs à bloquer (N.B. : Jamf n'a pas contribué à cette liste, et nous ne pouvons pas vérifier si elle est correcte ou complète).

Si l'utilisateur final ne peut pas exécuter le logiciel illégal qu'EvilQuest utilise, ses appareils sont beaucoup moins susceptibles d'être infectés.

Que faire d'une machine infectée ?

Malheureusement, en raison de la nature virale du malware et du mécanisme de chiffrement utilisé, l'effort de récupération va être plus important.

Étape 1 : Créer une sauvegarde des données chiffrées

C'est généralement une bonne première étape face à une infection par un ransomware. Si un outil de déchiffrement générique est disponible, il est préférable de l'exécuter sur une copie des données en dehors de la machine infectée. De cette façon, vous disposez d'une copie des données chiffrées.

Dans le cas d'EvilQuest, SentinelOne vient de lancer un tel outil pour récupérer les données chiffrées à l'adresse https://github.com/Sentinel-One/foss/tree/master/s1-evilquest-decryptor. En règle générale, veillez à ne pas utiliser d'outils de déchiffrement sur une machine infectée. Les outils de déchiffrement affectent généralement les données chiffrées, et non les malwares directement.

Étape 2 : Formater le disque

Comme ce malware particulier se propage profondément dans les systèmes infectés, vous devez effacer le disque et réinstaller complètement macOS. Si vous utilisez Jamf pour gérer vos appareils, vous trouverez sur notre blog un guide pour faciliter le redéploiement à distance de macOS sur une machine infectée.

Étape 3 : Restaurer des données propres

Une bonne solution de sauvegarde pour les données de l'utilisateur en question est essentielle. Les ransomware ne disposent pas toujours d'outils de déchiffrement génériques. Même s'il en dispose, il n'y a aucune garantie que toutes les données seront récupérées.

Une fois que vous disposez d'un appareil propre, récupérez les données de l'utilisateur à partir de votre sauvegarde.

Où dois-je m'adresser pour obtenir plus d’informations techniques sur EvilQuest ?

Notre Principal Security Researcher, Patrick Wardle, a détaillé le fonctionnement interne de ce malware dans ses articles "OSX.EvilQuest Uncovered" : https://objective-see.com/blog/blog_0x59.html et https://objective-see.com/blog/blog_0x60.html

Il semble qu'il ait même attiré l'attention des auteurs de malware...

https://twitter.com/Myrtus0x0/status/1280648821077401600