Des chercheurs en cybersécurité ont révélé un nouveau framework de post-exploitation Linux qui fonctionne entièrement en mémoire, échappant aux mécanismes de détection traditionnels basés sur les fichiers tout en permettant aux attaquants de maintenir un accès persistant aux systèmes compromis. Et le pire ? Vos antivirus ne le verront jamais.
Cyble Research & Intelligence Labs (CRIL) a publié son analyse de ShadowHS en fin de semaine dernière, présentant ce framework comme une variante armée de l’utilitaire hackshell conçue pour des intrusions prolongées contrôlées par des opérateurs plutôt que pour une exploitation de masse automatisée. Traduction : ce n’est pas un virus qui infecte au hasard, c’est un outil de piratage professionnel utilisé par des humains pour rester cachés dans vos serveurs le plus longtemps possible.
« ShadowHS démontre une séparation claire entre une activité d’exécution restreinte et de vastes capacités dormantes », a déclaré CRIL dans son rapport. « Cela témoigne d’une plateforme de post-exploitation délibérément pilotée par un opérateur plutôt que d’un logiciel malveillant automatisé. »
Chiffrement AES-256, exécution en mémoire, zéro trace sur le disque
ShadowHS utilise un chargeur de shell chiffré multi-étapes qui déchiffre et déploie sa charge utile à l’aide d’un chiffrement AES-256-CBC combiné à un saut d’octets Perl et une décompression gzip. La charge utile s’exécute directement depuis des descripteurs de fichiers anonymes via /proc/<pid>/fd/<fd> avec un argv usurpé, garantissant qu’aucun artefact binaire n’est écrit sur le disque.
Résultat : votre antivirus qui scanne les fichiers ? Inutile. Vos outils de détection basés sur les signatures ? Aveugles. ShadowHS ne laisse aucune trace exploitable par les méthodes de détection traditionnelles.
Lors de son exécution, le framework privilégie la reconnaissance plutôt que l’action immédiate. Il identifie les mesures de sécurité de l’hôte et évalue les compromissions système antérieures avant d’activer des opérations à plus haut risque. La charge utile effectue une découverte agressive des systèmes de détection, recherchant des outils de sécurité commerciaux notamment CrowdStrike, Tanium, Sophos et Microsoft Defender, ainsi que des agents cloud et des collecteurs de télémétrie.
Exfiltration de données via GSocket : contourne pare-feu et réseaux restrictifs
Parmi les caractéristiques les plus flippantes de ShadowHS figure son mécanisme d’exfiltration de données, qui évite complètement les canaux réseau standards. Le framework implémente un tunneling en espace utilisateur via GSocket, remplaçant le transport par défaut de rsync pour transférer des fichiers de manière furtive à travers les pare-feu et les environnements réseau restrictifs.
CRIL a observé deux variantes : l’une utilisant un tunneling basé sur DBus et l’autre employant des tunnels GSocket de type netcat, toutes deux préservant les horodatages et les états de transfert partiel pour prendre en charge les flux de travail d’exfiltration de longue durée. Autrement dit : les pirates peuvent voler vos données pendant des semaines ou des mois sans que vous vous en aperceviez.
Modules dormants : minage de crypto, vol d’identifiants, mouvement latéral
Le framework contient des modules dormants que les opérateurs peuvent activer à la demande :
- Vidage de mémoire pour le vol d’identifiants
- Mouvement latéral basé sur SSH
- Analyse par force brute à l’aide d’outils comme Rustscan et spirit
- Escalade de privilèges via des exploits du noyau
- Minage de cryptomonnaie via XMRig, GMiner et lolMiner
Et cerise sur le gâteau : ShadowHS intègre une logique anti-concurrence pour détecter et éliminer les familles de malwares rivaux tels que Rondo, Kinsing et le backdoor de vol d’identifiants Ebury, tout en évaluant l’intégrité du noyau et les modules chargés pour déterminer si les hôtes sont déjà compromis. Les pirates se battent entre eux pour garder le contrôle de vos serveurs.
Linux dans le viseur : VoidLink découvert il y a deux semaines
Cette découverte intervient dans un contexte de préoccupation croissante concernant les menaces Linux sophistiquées. Plus tôt ce mois-ci, Check Point Research a révélé VoidLink, un autre framework de malware Linux d’origine chinoise doté de plus de 30 plugins modulaires ciblant les environnements cloud.
Le CRIL a souligné que les solutions antivirus traditionnelles basées sur les signatures sont insuffisantes contre des frameworks comme ShadowHS. L’organisation recommande aux entreprises de privilégier la détection comportementale pour surveiller : exécution à partir de descripteurs de fichiers, déchiffrement OpenSSL dans les pipelines shell, anomalies de spoofing argv et transferts de données atypiques via des tunnels en espace utilisateur
Traduction : si vous comptez encore sur votre antivirus pour protéger vos serveurs Linux, il est temps de revoir sérieusement votre stratégie de cybersécurité.
