Cisco pr�dit une nouvelle vague de probl�mes li�s � Excel, les fichiers XLL des feuilles de calcul ajouteraient des fonctionnalit�s personnalis�es,

Y compris des logiciels malveillants

Cisco pr�dit une nouvelle vague de probl�mes li�s � Excel, les fichiers XLL des feuilles de calcul ajouteraient des fonctionnalit�s personnalis�es,
y compris des logiciels malveillants

Depuis des d�cennies, les applications Microsoft Office constituent l'un des points d'entr�e les plus importants pour les codes malveillants. Les acteurs malveillants ont continu� � utiliser les macros Visual Basic for Applications (VBA), malgr� les avertissements automatiques adress�s aux utilisateurs apr�s l'ouverture de documents Office contenant du code.

Outre les macros VBA, les acteurs de la menace, qu'il s'agisse d'acteurs de la cybercriminalit� ou de groupes parrain�s par l'�tat, ont �galement exploit� les vuln�rabilit�s des applications Office afin de lancer du code malveillant sans intervention de l'utilisateur.


Microsoft d�crit les fichiers XLL comme � un type de fichier de biblioth�que de liens dynamiques (DLL) qui ne peut �tre ouvert que par Excel �. Ils existent pour permettre aux applications tierces d'ajouter des fonctionnalit�s suppl�mentaires au tableur. Les cybercriminels utilisent les XLL dans les attaques depuis plusieurs ann�es, les premiers �chantillons malveillants ayant �t� soumis � VirusTotal � la mi-2017.

� Pendant un certain temps, l'utilisation des fichiers XLL n'est que sporadique et n'augmente pas de mani�re significative jusqu'� la fin de 2021, lorsque des familles de logiciels malveillants de base comme Dridex et Formbook ont commenc� � les utiliser �, �crit Vanja Svajcer, chercheur pour Talos.

Cisco Talos est l'une des plus grandes �quipes commerciales de renseignement sur les menaces au monde, compos�e de chercheurs, d'analystes et d'ing�nieurs de classe mondiale. Gr�ce � sa visibilit� de pointe, � ses renseignements exploitables et � ses recherches sur les vuln�rabilit�s, elle assure la d�tection rapide et la protection des clients de Cisco contre les menaces connues et �mergentes, et s�attaque aux menaces en cours pour prot�ger l'Internet en g�n�ral. � Actuellement, un nombre important d'acteurs de menaces persistantes utilisent les XLL comme vecteur d'infection et ce nombre continue de cro�tre. �

• Cisco Talos �tudie un autre vecteur d'introduction de code malveillant dans Microsoft Excel : les add-ins malveillants, plus pr�cis�ment les fichiers XLL ;
• Microsoft supprime progressivement la prise en charge de l'ex�cution des macros VBA dans les documents Office t�l�charg�s ;
• Bien que les fichiers XLL soient pris en charge depuis les premi�res versions d'Excel, y compris Excel 97, les acteurs malveillants ont commenc� � les utiliser relativement r�cemment ;
• Actuellement, un nombre important d'acteurs de menaces persistantes avanc�es et de familles de logiciels malveillants de base utilisent les XLL comme vecteur d'infection et ce nombre ne cesse d'augmenter.
  

Les add ins pour Excel sont diff�rents de ceux d'une application comme Word. Avec Excel, si un utilisateur veut ouvrir un fichier avec une extension .XLL dans l'Explorateur Windows, le syst�me essaie automatiquement de lancer Excel et d'ouvrir le fichier. Avant de le charger, Excel affiche un avertissement concernant un code potentiellement dangereux, similaire � celui qui s'affiche apr�s l'ouverture d'un document Office contenant du code macro VBA.

Que sont les fichiers XLL ?

En termes de type de fichier, les fichiers XLL sont tout simplement des biblioth�ques de chargement dynamique (DLL) standard de Windows. La diff�rence entre une DLL ordinaire et un fichier XLL est que les XLL peuvent mettre en �uvre certaines fonctions export�es qui seront appel�es par le gestionnaire de compl�ments Excel lors de certains �v�nements d�clench�s par l'application Excel.

En ce qui concerne la fonctionnalit�, les compl�ments cr��s en code natif permettent aux d�veloppeurs d'�tendre les fonctionnalit�s d'Excel et de cr�er des fonctions d�finies par l'utilisateur (UDF) qui seraient capables d'ex�cuter des calculs et d'autres activit�s en vitesse native.

XLLs bas�s sur C/C++

Les modules compl�mentaires XLL natifs sont d�velopp�s � l'aide du kit de d�veloppement logiciel (SDK) Microsoft Excel XLL. La derni�re version du SDK est publi�e pour Office 2013, mais elle peut �galement �tre utilis�e pour d�velopper des modules compl�mentaires XLL pour les versions plus r�centes d'Office.
Pour qu'un add-in XLL soit charg� avec succ�s par le gestionnaire d'add-in, le XLL doit impl�menter au moins une fonction export�e, appel�e xlAutoOpen, afin que le code de l'add-in soit appel� lorsque l'add-in est charg� par Excel.

Les exportations XLL et les �v�nements lorsqu'elles sont appel�es

Le SDK Excel XLL consiste en des fichiers d'en-t�te C/C++ et des biblioth�ques qui permettent aux fichiers XLL d'utiliser l'API Excel pour acc�der aux donn�es des classeurs et appeler les fonctions Excel. L'API est bas�e sur l'ancienne API macro d'Excel 4. Un fichier nomm� macrofun.hlp dans l'ancien format de fichier d'aide de Windows est encore disponible dans certains d�p�ts mais il existe �galement un fichier PDF Excel 4 Macro Reference cr�� par Mynda Treacy qui peut aider � comprendre l'API.

La plupart des �chantillons de logiciels malveillants XLL observ�s ne sont pas cr��s avec la fonctionnalit� d'acc�s � l'API d'Excel mais plut�t pour ex�cuter leur code malveillant lorsque le gestionnaire de modules compl�mentaires Excel appelle les fonctions xlAutoOpen ou xlAutoClose.

Bien que les XLL soient cens�es �tre des DLL natives, le d�veloppement dans des langages compil�s plus anciens n'est peut-�tre pas familier � de nombreux d�veloppeurs, surtout depuis que .NET est devenu la norme de facto pour le d�veloppement d'applications utilisateur sous Windows. C'est peut-�tre la raison pour laquelle il existe quelques projets qui permettent aux d�veloppeurs de cr�er des compl�ments XLL � l'aide de langages .NET tels que C# ou VB.NET. Les deux frameworks les plus populaires sont Add-In Express et Excel-DNA.

En particulier, comme il est gratuit, les auteurs de logiciels malveillants ont adopt� Excel-DNA comme l'un des outils courants pour cr�er des fichiers XLL malveillants. Un fichier XLL �crit dans un langage .NET est compil� dans un fichier autonome contenant des fonctions de shim qui mappent les exportations natives aux fonctions CLR contenues dans une DLL d'assemblage d�finie par l'utilisateur et int�gr�e dans la section ressources du fichier g�n�r� par Excel-DNA.


Outre la DLL de l'assemblage d�fini par l'utilisateur, la section des ressources du module compl�mentaire g�n�r� par Excel-DNA peut contenir un certain nombre de DLL utilis�es pour traduire les appels de fonctions natives en appels de fonctions .NET et vice-versa. Par exemple, l'assemblage EXCELDNA.LOADER est charg� de charger le cadre .NET et de le connecter � la DLL d�finie par l'utilisateur.

Excel-DNA exige du d�veloppeur qu'il instancie une interface IExcelAddIn qui sera appel�e par le chargeur Excel-DNA. Le d�veloppeur peut ensuite impl�menter une classe qui h�rite de IExcelAddIn et d�finir des fonctions pour surcharger les impl�mentations par d�faut des fonctions qui correspondent aux fonctions appel�es automatiquement par Excel. Par exemple, la fonction xlAutoOpen correspond � IExcelAddIn.AutoOpen().

�volution des XLL malveillantes

Recherche de XLL dans VirusTotal

VirusTotal est un service en ligne appartenant � Google qui permet l'analyse de fichiers suspects et facilite la d�tection rapide des virus, vers, chevaux de Troie et toutes sortes de logiciels malveillants d�tect�s par les moteurs antivirus.

Avec la connaissance de ce que sont les fichiers XLL, il ne sera pas tr�s difficile de rechercher les fichiers malveillants en utilisant l'interface de VirusTotal ainsi que les d�p�ts d'�chantillons internes. Sur VirusTotal, la m�thode de base pour rechercher des fichiers XLL malveillants soumis pour la premi�re fois, par exemple, en novembre est la suivante :

exports: xlAutoOpen positives:5+ fs:2022-11-01+

Peut-�tre aussi en incluant les XLL qui mettent en �uvre xlAutoClose :

exports: xlAutoClose positives 5+ fs:2022-11-01+

Pour les fichiers Excel-DNA, la situation est quelque peu diff�rente. Un fichier Excel-DNA compil� �tant un shim, il contient plus de 10 000 exportations. Toutes les exportations ne seront pas index�es par VirusTotal, qui inclut toutes les fonctions xlAuto. Cela signifie que la recherche standard de l'exportation xlAutoOpen ne donnera aucun fichier Excel-DNA dans le r�sultat de la recherche. Pour rechercher les XLLs Excel-DNA, nous pouvons rechercher les noms de fonctions export�es qui n'apparaissent que dans les DLLs compil�es Excel-DNA, par exemple :

exports:CalculationCanceled exports:SyncMacro fs:2022-11-01+

Les recherches peuvent facilement �tre converties en r�gles YARA pour la chasse :


pour les fichiers XLL natifs, et


pour les XLL malveillants bas�s sur Excel-DNA.

En utilisant les capacit�s de recherche, on est en mesure de suivre le nombre de fichiers natifs et de fichiers Excel-DNA malveillants soumis au fil du temps, sur une base mensuelle.


Soumissions mensuelles de fichiers XLL natifs malveillants � partir de janvier 2021.


La recherche sur VirusTotal a montr� que les acteurs malveillants �taient bien conscients de l'existence des fichiers XLL et les utilisaient bien avant que Microsoft ne d�cide de commencer � bloquer les documents contenant des macros VBA. Les chercheurs ont d�cid� de mener une recherche approfondie d'�chantillons de XLL afin de cr�er une chronologie pour voir quand exactement les premiers XLL malveillants ont commenc� � appara�tre, ainsi que pour comprendre quels groupes et familles de logiciels malveillants les utilisaient au fil du temps.

Ils ont cibl� les �chantillons soumis pour la premi�re fois au d�but de l'ann�e 2010. Bien qu'une vingtaine de XLL aient �t� soumises en 2010, nous n'avons pu classer aucune d'entre elles comme malveillante de mani�re concluante. En fait, aucun �chantillon potentiellement malveillant n'a �t� soumis avant juillet 2017. En juillet 2017, un �chantillon de test avec SHA256 09271afc6f7ac254b4942a14559a0015fb4893d9bb478844ced2f78c0695929e, utilis� pour lancer calc.exe, a �t� soumis. Le m�me mois, un �chantillon de reverse shell Meterpreter, fdfdfc8878f39424920d469bcd05060a6f7c95794aa2422941913553d3dd01f, a �t� soumis.

Ainsi, la mi-2017 semble marquer le d�but de l'utilisation par les acteurs des fichiers XLL comme l'un des vecteurs d'ex�cution de code malveillant. Pendant un certain temps ensuite, l'utilisation des fichiers XLL n'est que sporadique et n'augmente pas de mani�re significative jusqu'� la fin de 2021, lorsque des familles de logiciels malveillants de base comme Dridex et Formbook ont commenc� � les utiliser.

Acteurs et familles de logiciels malveillants notables utilisant les XLL

APT10 (menuPass, Chessmaster, Potassium)

APT10 est un groupe de menaces originaire de Chine qui s'int�resse particuli�rement aux secteurs de l'�ducation, de la fabrication et de la pharmacie. Le groupe est connu pour cibler des organisations au Japon et dans d'autres pays. Il est actif depuis au moins le d�but de l'ann�e 2017. L'�chantillon a5d46912f0767ae30bc169a85c5bcb309d93c3802a2e32e04165fa25740afac1 a �t� soumis � VirusTotal en d�cembre 2017 et il contient une fonctionnalit� permettant d'injecter la charge utile Backdoor Anel dans l'espace processus de svchost.exe. Les op�rateurs d'APT10 sont connus pour utiliser exclusivement cette porte d�rob�e.


TA410

TA410 est un groupe parapluie de cyberespionnage vaguement li� � APT10, connu principalement pour cibler des organisations bas�es aux �tats-Unis dans le secteur des services publics, et des organisations diplomatiques au Moyen-Orient et en Afrique. TA410 est actif depuis au moins 2018 et a �t� r�v�l� publiquement pour la premi�re fois en ao�t 2019 par Proofpoint.

Les chercheurs d'ESET ont r�dig� une analyse approfondie de la bo�te � outils employ�e par TA410, qui comprend �galement une �tape XLL d�couverte en 2020. L'un des composants de l'attaque, une DLL d'injection de processus nomm�e onkeytoken_keb.dll (9dd2425c1a40b8899b2a4ac0a85b047bede642c5dfd3b5a2a2f066a853b49e2d), contient �galement une exportation xlAutoOpen, bien qu'aucune fonctionnalit� malveillante ne soit ex�cut�e lors de son appel (l'injecteur est d�clench� par l'appel de la fonction export�e OnKeyT_ContextInit).

Donot

L'�quipe DoNot est connue pour cibler les organisations � but non lucratif du Cachemire et les responsables du gouvernement pakistanais. La r�gion du Cachemire fait l'objet de litiges permanents entre l'Inde, la Chine et le Pakistan concernant sa propri�t�. L'�quipe DoNot a utilis� des implants mobiles ainsi que des charges utiles de bureau personnalis�es qui s'installent sur les syst�mes par le biais de documents malveillants.

Le 7 octobre 2022, une DLL d8286133d3d21b7e2b83a6c071147b8ef993e963ad6bdb0f95d665869557a444, portant le nom 1.xll, a �t� t�l�charg�e par un utilisateur du Pakistan. La DLL contient deux exportations. Le nom de la premi�re exportation est pdteong, qui a �t� vu dans les implants Donot depuis au moins juin de cette ann�e. Le second nom d'exportation est xlAutoOpen, qui fait de l'implant une charge utile XLL native enti�rement fonctionnelle.

FIN7

FIN7 est un groupe de menaces � motivation financi�re op�rant depuis la Russie. FIN7 utilise un certain nombre de charges utiles et diff�rentes techniques d'infection, notamment des assemblages .NET et PowerShell. L'objectif principal de FIN7 est d'obtenir des gains financiers pour le groupe. FIN7 utilise le plus souvent le malware Carbanak.

Au d�but de l'ann�e, FIN7 a commenc� � utiliser des fichiers XLL envoy�s en pi�ces jointes dans des campagnes d'e-mails malveillants. Par exemple, le fichier XLL d'une campagne de f�vrier �tait 7a234d1a2415834290a3a9c7274aadb7253dcfe24edb10b22f1a4a33fd027a08. nomm� Quickbooks - 40127.xll. Ce fichier sert de t�l�chargeur pour l'�tape suivante.

Les t�l�chargeurs XLL de FIN7 sont int�ressants car ils semblent avoir �t� cr��s avec le framework Excel-DNA .NET. En y regardant de plus pr�s, on peut constater que les fichiers sont des biblioth�ques de shim Excel-DNA modifi�es, dont les fonctions xlAutoOpen ont �t� chang�es par rapport � l'original pour inclure du code qui se connectera � un h�te contr�l� par un attaquant pour t�l�charger des composants suppl�mentaires.

Suite � la d�cision de Microsoft d'emp�cher l'ex�cution du code macro VBA contenu dans les documents t�l�charg�s depuis Internet, � nous assisterons probablement � une diminution progressive du nombre de documents malveillants nouvellement d�couverts. Toutefois, il faudra un certain temps avant que tous les utilisateurs puissent b�n�ficier de ce changement, car un nombre important d'anciennes versions de Microsoft Office encore en circulation prennent en charge l'ex�cution de VBA � partir de fichiers t�l�charg�s �, d�clare Cisco.

Pour les versions plus r�centes, les acteurs de la menace sont capables d'utiliser d'autres formats pour lancer du code malveillant � l'aide d'applications Office. M�me si les add-ins XLL existent depuis un certain temps, les chercheurs n'ont pas �t� en mesure de d�tecter leur utilisation par des acteurs malveillants avant la mi-2017, lorsque certains groupes APT ont commenc� � les utiliser pour mettre en �uvre une porte d�rob�e enti�rement fonctionnelle.

Ils ont �galement identifi� que leur utilisation a consid�rablement augment� au cours des deux derni�res ann�es, car davantage de familles de logiciels malveillants de commodit� ont adopt� les XLL comme vecteur dans leur processus.

Comme de plus en plus d'utilisateurs adoptent les nouvelles versions de Microsoft Office, il est probable que les acteurs de la menace se d�tournent des documents malveillants bas�s sur VBA pour se tourner vers d'autres formats tels que les XLL ou s'appuient sur l'exploitation de vuln�rabilit�s r�cemment d�couvertes pour lancer du code malveillant dans l'espace de processus des applications Office.

Source : Cisco

Et vous ?

Quel est votre avis sur le sujet ?

Utilisez-vous le logiciel tableur de la suite bureautique Microsoft Office ? Sinon, lequel utilisez-vous ?

Cette pr�diction de Cisco est-elle pertinente ?

Voir aussi :

Cisco renforce ses capacit�s dans le domaine du cloud : aider les clients � adopter le cloud intelligent pour de meilleures exp�riences num�riques

LastPass : vos infos et vos donn�es de coffre-fort de MdP sont d�sormais entre les mains de pirates. Le gestionnaire de MdP r�v�le que la violation qu'il a reconnu en ao�t est pire que pr�vu