Résumé Botconf 2016

El Hassen Id Belyazid Conférences

Deux consultants de Devoteam, Yvan Genuer et El Hassen Id Belyazid, se sont rendus à la Botconf qui s’est tenue du 29 Novembre au 2 Décembre 2016 à Lyon. Ce fut la quatrième édition d’un événement dont le principal thème est le combat contre les botnets et la cybercriminalité et qui réunit des spécialistes du monde entier de la réponse à incidents, de la détection d’intrusions et du combat contre les malwares.
Impossible donc d’ignorer le ransomware qui fut l’un des principaux sujets des conférences. Peu étonnant sachant la place qu’a pris le ransomware dans l’actualité en cette année 2016.
Au rendez-vous, des compte-rendus d’investigations riches d’expérience et d’originalité, des sujets de recherches innovants, des techniques de combat de botnet. Autant d’opportunités d’études pour Devoteam qui se positionne en tant qu’expert sur la réponse à incident.

 

Voici donc le résumé des conférences, bonne lecture !


Table des matières


Locky, Dridex, Necurs: the evil triad

Speaker: Jean-Michel Picod https://lh4.googleusercontent.com/n8q6wS4Dm-9EKg0hj45eUlSkz1Owbignag7MgoT24EhOZNfJjtpvUdL_1CGts3EZzOMr9LdlJ00hckVE2llbxfaPuce1c3soKHX1kcrNfesgG-M9_Yb6pUbBJtyR-89TFMnTCxje

« Le conférencier demande une Diffusion restreinte. »

Visiting the Bear’s Den

Speakers/co-authors: Jessy Campos https://lh4.googleusercontent.com/Wfk5F9HqghJu9NUI3zyhp3lIqeZJiTzcmBngu-_17Whql22ecl7kQHCfwc9uhUIyeSINOjFGoj97rJatx7rP4wQBmzwgnaYpxZVdQj1OJ3duxE9h9z2BR4qYhj2yfsYPHof3xgCj, Thomas Dupuy https://lh6.googleusercontent.com/50-mXOms6_IcBrmDLPV_PD_yArhr5fKB_ujewzxHaLr8ww_j-m8K7pJXP66kE2lU0PSOOMOx8pgSevuu743_x488LiFPWxBleqEv1r8PmUFursw_RybZko0Bv4-aI2AAlvJh8d6w, Joan Calvet https://lh4.googleusercontent.com/BkdvvVg19YiRDwveOKxn52cceBkqqertPOwXtp8Oy9KH2umkKYtItrd_dSWQPBZ3_RJNRRliwJ9gGiYVO60rxDy_i4YuiRFVMLWpmaXlS-yrHHcc7P-NYIHRv9TJbHWB4MtBoDjV

Voici sûrement l’une des présentation les plus intéressante. Jessy Campos des Laboratoire ESET, nous présente un retour d’expérience des plus riche sur une investigation de plusieurs années qui mène au fameux groupe Sednit (aussi connu sous le nom d’APT28, Fancy Bear, Sofacy).

 

https://lh6.googleusercontent.com/5ce_4gRix8N0TKzyl7AATHlTAblRQx-UJD1TqaBwYV3uhTwypN-JWtzLQlc7mbVGFepWvOdpXmmf_OFL1zgijS3OchE05jLzmkjBXrTA7eKZXpf3WTPh8cSehxeKPMeY-pLYHnDc
Sednit vise souvent de grandes organisations officielles, ce qui lui a valu sa notoriété et son image de groupe de “cyber-espionnage”.
Le groupe est présenté comme étant techniquement évolué, ils utiliseraient des chain-exploit (enchaînement d’exploitation de vulnérabilité), et, chose surprenante, beaucoup de zero-day ou d’exploit personnalisé.

https://lh3.googleusercontent.com/kFNWYt0sL3wVNmXalc-8pVYag89AsSEiY0ah7iVrhAInjFDqKXRyIgGJHypUMM1AkEqiqkyuMOSAsdHFk3k8DWEtdoVL4t9IbTmjx5YWqm2iLUPxBiG05wg1S5FxV1uFEaib836j

La premiere analyse de sednit a commencée à cause d’une erreur du groupe qui utilisait Bit.ly dans leur campagne de phishing mais n’avait pas réglé les liens en privé. Cette analyse fut facilitée par une découverte assez exceptionnelle, Jessy Campos affirme être “tombé” sur le code source des malwares du groupe Sednit.

https://lh5.googleusercontent.com/CSI92EqpLt35BkMPgXMzHIE4H2zzXufOqfm56bfT7_wEVYM7qzFAkaouxMgHatli9u-wpzd5pQYJGEt7w8_kqWKpfMtjK1OSg_0dQ3Nm9zmwYBEDawI6wiWhrxqWQVjKwmU6bbtm

Jessy Campos nous explique comment Sednit fonctionne avec un scénario qui met en situation une future victime du nom de Serge avec une timeline précise.
En résumé, Serge reçoit un mail, qui contient un lien avec une faute de frappe et un ID pour identifier la victime. Serge clique dessus et arrive sur une page, où il entre en contact avec le SEDKIT (exploit Kit). Sur la page principale, on récupère les informations relative à son navigateur et son système pour lui distribuer le meilleur exploit. Si Serge est sélectionné comme cible à grand intérêt, un exploit est confectionné pour lui. Le Seduploader télécharge la charge active (payload) sur sa machine. Le payload s’exécute et escalade les privilèges.

Des communications sont ensuite initiées par le malware vers le C&C via SMTP par exemple, les mails sont envoyés à des boîtes mails volées pour la plupart.

https://lh3.googleusercontent.com/O1o1EcEfj_TQDKU8oPAJ9snia-gRUn-lXqCXIi27drsTmz1lKMkM1GtPfh5ToDGTszkOonWbnkxpuVNC2sXOsBzVy5MfSsWKlZO5PazUEmAXMHT-TI35ekNod4h8abZoxrIiWYhC

Des modules sont ensuite exécutés pour voler les mots de passe, etc… La persistance est assurée en  exploitant une DLL de Microsoft Office appelée msi.dd. De ce fait, à chaque fois que la victime lance un logiciel de la suite Microsoft Office, le malware s’exécute de nouveau.

On conclut sur la particularité des attaques du groupe Sednit, comme par exemple que les exploits et les outils sont compilés spécifiquement pour la victime ce qui en fait un groupe redoutable, supposément motivé par des intentions géopolitique, industrielles etc…

https://www.eset.com/us/resources/detail/dissection-of-sednit-espionage-group/


 

LURK – The Story about Five Years of Activity

Speakers/co-authors: Vladimir Kropotov https://lh4.googleusercontent.com/oIxIb6mc5bh0NDPjEFFkAXRnPJVXXsMBNTi_Qo0PeeK0oTT6loLVyBjA6YjYgm8n2iesBAseJuyoLZSpxfj61daQa4P1h2f50cwLhEKvFMWM5ULbQdAhtKpDoJjY0cXP6ArUHBY1, Fyodor Yarochkin https://lh3.googleusercontent.com/jCo40wVEjDxKecuSO_ikEGxMB9fExECc7PrMrLOYES67dRIZ-zLuR6cBb9-lV-cPARa3dJIEmMX2tEchan5UBe4VCo1TrYfIP1c7eIR_iMLZzvUrxnvxvEutflU79torlggWnkiQ

On retrace avec cette présentation, l’épopée de LURK et de son investigation jusqu’à l’arrestation des principaux acteurs. Lurk est un cheval de Troie bancaire principalement actif en Russie.

Les analyses ont été effectuées sur la base de logs proxy. Il a été détecté la première fois le 31 Octobre 2011 avec un faible indice de sévérité.

L’infection se fait via un exploit kit placé sur un site web compromis attirant les victimes, on parle ici de l’attaque du “watering Hole”,  une attaque qui consiste à mettre à appâter l’utilisateur avec un site de confiance afin de lui faire baisser sa garde (forum, site de téléchargement, warez etc…).

Il est facilement identifiable en analysant le trafic, on voit apparaître des URLs reconnaissables (qui comportent par exemple la chaîne “GLMF”), on le repère grâce à une simple regex: ^[A-Z0-9]{4}$

Exemple d’url :

https://lh6.googleusercontent.com/iQIGsTGDjcjBLkq3r7D2U1-AOMKVak-qBNHW94II5YlRG6p9ji7gONoDDZctQfrH5Z2N78VwNzTfAQcCbEi_v2o77SKE01vcxXqqSBYFSp-0RKbc35ibCIkzrQHSY5fnsnimqmkp

Les activités sont concentrées sur certaines périodes, le vendredi et avant les vacances.

Les administrateurs du botnet utilisent l’abus d’add grace period, un nom de domaine est automatiquement payé et aussitôt annulé, le nom domaine existe encore pendant un certain temps. Les noms de domaine étaient tous pris avec la même adresse mail.

Une analyse des exploits est faite, voir les slides pour plus détails technique.

Fait intéressant, après l’arrestation des cerveaux de Lurk, l’activité de plusieurs malwares chute drastiquement.

https://lh5.googleusercontent.com/lo8G1h_oN0YWbdYZHSPiLylOFckElDEp3-1KwQbSntJ-Ac49Q7D-84yak5DHMldgWDwiyQbltzSt3r68MaMPhBst_McZx5Sswc-e6OfQGHnNrUjhqxnQohBNQHd41myEPDAsLhzX

La présentation se termine sur un aperçu de l’environnement des criminels, un jammer GSM, des téléphones jetables et une vidéo de l’arrestation par la police Russe, des cybercriminels, visage découvert.

https://lh4.googleusercontent.com/uGGCZVEQooMUOZ0NZS8MykRVi3pnjJt9bELi0EVBnNpH8QTUr9RgHZ1AZ6Xek4RYOuPSObWkIt3h153rhjYJI5rbL4DEpKmC5Wi3sHjL7fm8yRZo8CGCKvXdHKDSNxxAQVrS7Ad8


Browser-based Malware: Evolution and Prevention

Speakers/co-authors: Andrey Kovalev https://lh4.googleusercontent.com/NEs9qzWnVmSkdcoEMMrkX2J4kxGgcB0PWOVxeVasiMFZA8N7U8OiNm_RAEhAGKXt-0NQWopfDOOsJQYveCq_YiiW2U3KB3UBhsPWXh9JoJz6B70L8yb5KbNw0GF9Hc3I3C1sQyAz, Evgeny Sidorov https://lh3.googleusercontent.com/mMjx41weRvN8YII3GPOlo6hNbdw056bpnYjQqFBTK1ycM5hkusNDqJxIyTBByywIZwNVQU1BVtQx9dc6DEb8yv7DpEe8BpagBWE6vG9S2SOpxEpnIZcAAk026T2Hq1Tpp6HR02Dq

https://ghostbin.com/paste/oym64564 Mdp : Devoteam2016

https://ghostbin.com/paste/x8xa3doj Mdp  : Devoteam2016

Cette présentation explique le principe et l’évolution des attaques basées sur les navigateurs, le Man-In-The-Browser consiste à modifier le contenu d’une page, souvent le code javascript, dans le but de récupérer les logins. Les sites visés sont les sites de banque, les fournisseurs de mails ou les réseaux sociaux.

Ce genre d’attaque a plusieurs sources mais plus récemment ce sont surtout  les extensions de navigateur, les adwares… On parle également des noeuds de sortie TOR et de VPN.

La backdoor Eko et Smartbrowse. Eko est téléchargé depuis le Chrome Store, pirate le compte Facebook des victimes et se propage via message privé et publications. Il modifie la politique de sécurité de Chrome et dirige les recherches sur un autre moteur de recherche.

Les extensions n’ont aucune difficulté à passer outre la modération. Les payload peuvent être injectés sur une petite portion de la page.

Il n’y a pas d’indicateur de compromission.

On peut malgré tout détecter le MITB de différentes façons.

Détection côté serveur :

  • CSP Content-Security- Policy
  • Html5rocks
  • Un code javascript qui vérifie l’intégrité de la page et reporte l’anomalie.

Détection coté client :

  • Extension sur blacklist
  • Checksum de l’extension

 

On conclut avec le constat d’un manque de vérification d’extensions de la part des Stores et les anti-virus qui se concentrent beaucoup sur les dropper mais pas assez sur les extensions.


Language Agnostic Botnet Detection Based on ESOM and DNS

Speakers/co-authors: Christian Dietz https://lh6.googleusercontent.com/SiPqi5XevmA3R8A-jM-2x6DGFYFYNdQzjMFTc7kDYERcE4cW6fZ5ej0I3e4HfckrN9EvJhRs3XUL9m3217gkKD6Kk3h93dnBMu0VqvmxwWopzchoH4N76GQAhaI2GFtICze7-DbI, Rocco Mandrysch https://lh4.googleusercontent.com/ijy21bYQn_hStzAUHiLdQn-LVbEM6GAGz5AsNM4cJfq9rBjiMqVOVQg0ZWjvD6sayIhrGLOHQySMSqovzjiXZH3N9a5k2G0y120MmGTRVA3xop34dq1OcgDQVx7sGvt7j52upV9_, Urs Anliker https://lh6.googleusercontent.com/cWFrlTe0O3qKTlgmRc7Uo6vtyPPESq3wdvcxDoadind7aKIM9yUpuuswsZcb02ZC4uuAaozgI7yVQabI35LOAf5uEwyXVkXf7ge65kBfY_VUPJq3rbSjDtLN70c00ZWvzxZfvA8g, Gabi Dreo https://lh6.googleusercontent.com/bL4tleKSXHNQ6YoturJ0UuphDvp0YSPSwHPrP3vnK50zc5get3JqIdyxnQiJr4b8_73YWKAxLLL18BUHYEbCr7kO6tw-5cOzBXSnAicF2x4NlHx-UqO5cF9-yd56VoVNqilfSRBo

Ce Talk est le résultat de recherche d’une équipe qui propose un autre moyen d’analyser et détecter des botnets.

On part du principe que les malwares utilisent des algorithmes de génération de domaines spécifiques.

Des DGA qu’on arrive donc parfois à reverser et analyser pour pouvoir générer une liste de tous les domaines possibles.

L’idée est alors d’essayer de détecter le trafic de botnet parmis le trafic DNS grâce à l’ESOM. (Emergent Self-Organising Maps) . L’analyse est basée sur  :

  • Extraction des dataset issue des DGA
  • ESOM
  • Classement en comparaison avec le trafic direct DNS.

Le concept est intéressant, c’est une nouvelle façon d’analyser le trafic DNS mais le Talk est rapide et confus. On ne comprend pas la conclusion.


Vawtrak Banking Trojan : A Threat to the Banking Ecosystem

Speakers/co-authors: Victor Acin https://lh3.googleusercontent.com/GifePsgDl_P5k3IS6B-h0eZ6ZD2JfiDKnVE-ItRWFvgW2KxOIg0n_BUP3nqYxloGPdrlB7OcEbWOHgWnvCK19d0LxVFMaEur3THXWGUZWKj7LFHPRRub8BWjnaZjRMUGKOT5c3BN, Raashid Bhat https://lh6.googleusercontent.com/bd43YtJvKclEojnD0QaWPRFSmCIe6SneJiDTYLJir2CmvBvxM94h4Px014rvbWfjsttdw6MQ4WxY3P2Zd6AyhFewHMIvL0EPEgJb14Jk9ZbteltiErdaik4iC9F_nRUicScpWOuX

Vawtrak (Neverquest) est un cheval de Troie bancaire qui se répand via Man-In-The-Browser et qui se caractérise par sa modularité. On nous présente une analyse du malware qui existe en version 32 et 64 bit, qui utilise une compression LZMAT, et qui est encodé en xor.

Par défaut, Vawtrak s’injecte dans le processus explorer.exe et iexplore.exe.

On nous présente le processus d’infection et toutes les techniques utilisées ainsi que les techniques de communication avec le C&C.
Point intéressant, Vawtrak envoie des log de debug à chacun de ses crashes. Vawtrak fonctionne avec des plugins.

En conclusion, des statistiques intéressantes sont partagées :

  • Utilisé par deux groupes
  • 85k infections
  • Top-5 des Pays les plus touchés : USA, Canada, UK, Inde et France
  • 2.5M de mots de passe extraits
  • 82% des infections sont aux USA
  • 4000 IoC identifiés
  • Win7 est l’OS le plus affecté
  • 2058 infections sur Windows Server 2008

Snoring Is Optional: The Metrics and Economics of Cyber Insurance for Malware Related Claims

Speaker: Wayne Crowder https://lh5.googleusercontent.com/ulByhWW25LOwvWlVe9Yejxiuyz8KJzAhWHah51B2cX6bUXWd5m2gurdkDNFEsBOclkKCNBCZL5B7iu6TG_1fM0gm2s7MMB8R9bkwIiLQCc02ah_TbGnaceU0L0J3_ZlTBSYgSLXZ

En ces temps d’attaque constante contre les entreprises, Wayne Crowder de Riskanalytics, nous parle d’un sujet de plus en plus intéressant , les  “cyber assurances”. Le constat est que le crime informatique coûte 445 Milliard de $.
D’après Wayne :”Si le cybercrime avait été une entreprise en 2014, elle aurait été la seconde plus grande”.

On parle principalement du marché américain, il y a beaucoup de statistiques sur les coûts d’un incident de sécurité.

https://lh3.googleusercontent.com/Nt4B6-KX6T_UNPcBJthW8rH94xHWOSJEUK1wVpjKtYsNvIjqDn6ZiRvvpOBQaHDWVcN-didGP--oaNciB2s4JLAIDHMMRJOgBJR6g3MSHl_qXaryKZAbuXa9CTByt7Ok_MDEzR6B

La souscription d’une assurance se fait souvent avec l’accompagnement d’une boîte de sécurité SI, pour apporter une expertise.

Les assurances payent après un incident, mais pas toujours, dans certains cas, comme pour l’espionnage industriel, c’est d’autres assurances qui payent les dégâts.

Wayne nous fait un petit rappel sur plusieurs cas ou une assurance sur les incidents de sécurité était impliquée (Sony, hôpitaux, Target …).

Les différents risques couverts :

En conclusion, une excellente analyse du marché de la ”cyber-assurance” et une grosse niche de marché en vue pour la plupart des sociétés de conseil en sécurité informatique.

https://lh5.googleusercontent.com/sTU4RiXoUn6kf47bJxiBPqj-dJNjtJkal_snDGA9mW-xjCPQ6kLanN6BYdfNK-NcTa72st9TAJApYf2xn_i6FPh6CQlPXu1hZci0I5WoEwEGjEW7SXPqORq7-tyNwDYDh6yKxAd9


Hunting Droids from the Inside

Speaker: Łukasz Siewierski https://lh6.googleusercontent.com/yosB-YErwKT6gnGsDRkazu2YOhN43ZtI9TRGrW1A7SgJ5LaxooPPtY93x6o3e6hdoaB7UPPMaCnlNlsb7iOaYEoh7LDfQsfoo2VgbUxKXtUCj33pA1z5sqjx9pOJ_B-i-7lEFWpe

« Le conférencier demande une Diffusion restreinte. »

 


Ransomware & Beyond

Speaker: Christiaan Beek https://lh6.googleusercontent.com/15kMpJ_Xw4fR3l04OEcIG1WuKtrviWW0Pp88umOZ0RWKlWF4O-wR7gvq_cO2Pj0kV0jNWl-WD-tpRv9MkdwsqBuEuKnOVcnqMs5uRREp6uigzyGBDQo5C0NGp1OFayiNVY_ehIRM

Christian Beek nous propose des faits intéressant, en 2016 l’infection de ransomware a connu une croissance record, avec de nouvelles techniques d’infections et de chiffrement, à l’image de Petya qui chiffre le MBR (Master Boot Record).
Cette prolifération est expliqué par Christiaan comme un nouveau marché noir, le ransomware banalisé, étant vendu comme RAAS “ Ransomware as a service”.
Des infections qui se propagent à tour de bras dans tous les systèmes, de particulier ou d’entreprise. Mais qu’est ce qui en fait le succès ?

https://lh4.googleusercontent.com/qAw9sm5bcBvq5slhVtd5H5AZLcmmJQoc8rrV65EkXgkX_Bctut_MGzg4Eu3-66XDif6VIwW-EjZFVxl6eKS2zr8ijY2JZxW3B53sJ3cqtd1_oxV4KnQajiBhXdKRQO-KjKbVA_0K

  • Exploité en masse par les réseaux de crime organisé
  • Les codes source sont partagés
  • Leurs achats est facile et sans restriction
  • “Customer satisfaction” : les victimes s’estiment satisfaites

Et on parle ici d’un concept intéressant, ce que Christiaan Beek appelle ici la “customer satisfaction” est le constat de plusieurs messages de remerciement des victimes à l’intention des cybercriminel qui ont fourni la clé de déchiffrement  une fois la rançon payée, une sorte de syndrome de Stockholm au final.
C’est un business qui fonctionne, très lucratif, absurdement basé sur l’honnêteté du commerçant, ici le cybercriminel. Cela en deviendrait presque drôle.

On parlait tout à l’heure de facilité d’achat, mais il y a maintenant une certain facilité d’utilisation et de mise en place, avec même parfois des ransomwares customisable, dont le message d’alerte sera alors personnalisé pour la campagne du cybercriminel.

Pour contrer la prolifération de ces menaces, Christiaan parle de détection et prévention grâce au machine learning. Cela permet de catégoriser les échantillons. Mais les attaquants commencent à utiliser Powershell.

L’analyse mémoire est une approche intéressante mais consomme beaucoup de ressources.

D’autres moyens sont également apparus comme “Ransomware interceptor” de McAfee qui donne de bons résultats.

Quelles alternatives s’offrent à la victime ? Payer ou perdre ses données.

Mais depuis peu, ils peut aussi les déchiffrer dans certains cas, grâce à nomoreransom.org

L’idée est de démystifier ce phénomène.

https://lh3.googleusercontent.com/XClgzsjwETlxFOvkybEJ-mjpwFXSWQo3_LY_BN3sSu0FuOcn8Z8qZhXh9uw1DkTc9LRzr6g31lMtsdNNEQywIrjOV2lFJoKYeYNHXesUBFaAuU-vU8kr1IJqu6w1H-a9umIB-PA8

En conclusion, Christiaan nous fait une brève ouverture sur le futur des ransomware, “what’s next”. A ce sujet on constate une prolifération de ransomware mal codés, visiblement d’amateur, qui essayent de copier les “Big guys” ce qui présage l’apparition de malwares plus grand public….

https://lh4.googleusercontent.com/Y8_1nvr7e6jt4olr6vF43LDjJH6XvsZVCZBtuYzrqD_fLyV0ZPELeQ_GwpI21r1yBuMBsn_XTtttduqzqfmYOGMC0VXGD7fsWI5E986DOGRC0cqeLETN79XxYJsvYzChwOFqJBXZ

On peut également imaginer, à l’avènement des objets IoT, des ransomwares pour voitures connectées, domotique, routeur, box…, (cf Metro San Francisco). Il parle d’Internet of Ransomware Things, beaucoup de travail en perspective.

http://www.mcafee.com/us/resources/misc/infographic-threats-predictions-2017.pdf

 


Attacking Linux/Moose 2.0 Unraveled an EGO MARKET

Speakers/co-authors: Olivier Bilodeau https://lh4.googleusercontent.com/ddM-7GIEcj4NCC_6_z_8HH6hKLBhapX8-P6T9og2KfVK-wqpoqLN1EYKzYbEtAchlExUNcWuoyzxfuYYaPSDRUeVkNqkL4B26OmJNUIG312eNBjB0BXRgnaCthFL3pjiXvVbkOsS, Masarah Paquet-Clouston https://lh3.googleusercontent.com/r4UIpv1l3SooJ3cPbWu6-ocp07ijcOJOd7gkx9kdGEni8IrhScGgl4_WwjZeJ6P0nIGwSpVKIajBsOP61PizDtAMLAqZvSBtpq4X85DbnMPSbro3M0-MBzUfKPV4ZHQC1kWfXdT5

La présentation suivante est sur le botnet MOOSE, un compte-rendu d’analyse qui débouche sur un “trafic d’ego”. Un marché de fraude de réseaux sociaux, qui propose de fausses vues, like, abonnés et autres indicateurs d’affluences sur différent réseaux sociaux. Mais comment cela fonctionne ?

Dans un premier temps, certains peuvent s’étonner du retour de MOOSE, donc un récapitulatif est fait sur MOOSE, qui infecte les routeurs et les appareils IoT qui tournent sous Linux avec une busybox (logiciel qui implémente des commandes standard sous UNIX très utilisé dans les IoT).
Une fois installé, le vers essaye de se propager par bruteforce, de la même manière que Mirai, en essayant les mots de passe par défauts des victimes potentielles (cf Mirai). Le payload installé est un proxy utilisé pour atteindre les réseau sociaux. C’est tout. C’est assez particulier car il n’y a pas d’autres opérations criminelles, telles que les DDOS, ni d’attaque latérale particulière sur l’infrastructure réseau.

Mais que fait MOOSE ? Pourquoi se propage-t-il ?

La prochaine étape pour répondre à ces questions est donc d’analyser le botnet dans un environnement adéquat. Un Honeypot spécifique a été déployé sur une machine Linux Afin que le malware s’exécute dans un environnement pour lequel il a été créé , avec entre autre Cowrie.

https://lh3.googleusercontent.com/XIe9T7OUvV7QmFtRlLtIk47LpWMIJC9vzUu_FE2uulzdMd0bjB1RQtS2g5tIPgvbCXRD7ujzcVhI2d5zLKtoJivEle2gD0p7W1fa1_SwPF18g03VYTDt4Y_Qi-tJTt-7FQpQw4V_
C’est d’ailleurs Masarah et Olivier qui ont ajouté le support de telnet sur Cowrie (Cowrie est un honeypot SSH et telnet permettant de loguer les interactions) qui ne l’avait pas par défaut. L’idée est d’attaquer MOOSE avec un Man In the Middle, afin d’intercepter ses communication avec le C&C.

 

https://lh5.googleusercontent.com/LzaxJiOqIkNqlEQ7JSawe3fXulAmKHrKWRu2JAYtxBpB9WZmey_eexvK__3QFHz0nYWvCTBWdpJ8FCDRggCoO8sQXSCxwNugbQFFdCmcVWqETQs69iXoJC_gPOUzfX3-DKCheBwr

 

Le trafic est essentiellement en HTTP mais les communications sont parfois chiffrées en HTTPS. Il est impossible de déchiffrer le HTTPS en strip, ils mettent donc en place un proxy et fournissent un faux certificat en espérant que MOOSE ne vérifie pas le certificat ce qui fut le cas.

https://lh6.googleusercontent.com/fw8TXwz_tcFSZ1w_xU0V8QxWLF93VdePTYwQ8mA0pVtD3p0ORyU79zfZQ3MFkDT5_-Box9V7gzQXxjPpeUB96SxZKQU3DF-9o8KUlq0U-8ItIVjbTRlbo1GDNFQITv7pquohK525

 

L’environnement est mis en place, on analyse les flux.

Ce qu’ils ont trouvé est assez surprenant:

  • Le botnet n’effectue pas de fraude au clic sur les publicités. Ni spam, ni DDOS.
  • Le botnet s’adapte
  • Il obscurcit les adresses IP des C&C (XOR)
  • Comme prévu, utilisation du protocole HTTP

Et surtout, en y regardant de plus prêt, les requêtes HTTP, vers différents réseaux sociaux.

https://lh3.googleusercontent.com/q7yG9p6vMfvrGvQ5ADTq1AY_h4iiGI6_wZ-kQm9p8Ky-PVMEjDKszE8CnlS908vYiVXDC5qXtN3jLM-CXBP-TGf-yqO-vXLhZMZlS9gZlNdvGsMUtB2VXJ43JjaODGJ8SftQjDbt

C’est le premier pas vers la découverte d’un marché très lucratif de fausses vues, de likes, de followers etc…. mais principalement sur Instagram.

https://lh5.googleusercontent.com/svmlZWgSwBm4AYCorUFGbHzgbb0gzDj0NiuWDZWKG2_1HMrPZxL78XMwdCKv-KRnsvFI8z8FKJoIBKUC0egTtJo-rXLCrf00vF5EW466QIq2mm8Vd4eZ-lpznvI0uApOJOK7GrNZ

Les présentateurs nous proposent alors de trouver qui achète et vend ces services.

Il suffit de chercher les comptes suivi par les faux comptes de MOOSE. On trouve alors des célébrités, des entreprises, des peoples.

https://lh4.googleusercontent.com/RWAbQeTceba7U8e1wPq-Sgb2XoY9emVj4PFjyKGiIgujf6PnBO-4M9B7pi8g_x40A2e0RN6RpkwBPcgj7Cx0eR7_cgqqATluuxG_9WSM62JBwawPC55uzSH9VK1zY4nxhg_KWgh7
En remontant dans l’autre sens, on trouve plusieurs vendeurs qui proposent des services de ventes d’abonnés sur plusieurs réseaux sociaux. Les prix varient en fonction du réseau social visé, par exemple, il est beaucoup plus cher sur Linkedin que sur Instagram, et ceci est surement dû au processus d’ajout d’ami qui est plus complexe qu’une simple requête HTTP (nécessité de l’acceptation de la personne suivie).
Masarah s’infiltre, fait un faux compte et achète plusieurs milliers de nouveaux abonnés. Le nombres d’abonnés augmente mais chute drastiquement au bout de quelques jours. Masarah demande à l’opérateur de rajouter plusieurs fois des abonnés, l’opérateur s’exécute sans vraiment se plaindre. On en déduit une facilité de gestion et un moindre coût.

https://lh6.googleusercontent.com/MkiXPgWSOPRW9Iw-T8D92eoIrqDMOB1gojn39VCT1f0bNLMTUpkHE_ipO3-1K_PPoHSy_eyubCNKn1pP4sPIxs-8NpuD72Tokx9HHHllcMMD7U2VhbThZ_3kAB3E2Ol11rot8tvw

Ils concluent ce talk très intéressant en se demandant si on peut considérer ce malware comme étant dangereux étant donné qu’il n’attaque “personne” à proprement parler. Après quelques chiffres quant à la lucrativité du marché, on pense qu’il faut plus réfléchir à l’impact financier. Masarah parlait de plusieurs millions par an pour les administrateurs de MOOSE (7 adresses IPs trouvées). Comment l’argent est-il utilisé par la suite…? Trafic d’arme, drogue, crime etc…

https://lh4.googleusercontent.com/yMn5m755B0BPCaRxefRuVdIjab-2hBRqE1FgQ5b9-hQdYPxJIOuhUlVaA3AcaObRZBdeWYtLru5z3vGRCFXMqxKfGzoc8KCdnj-2n-booncVa6jQMUWCk1r4uGr8Q8plSO1FTiBz

https://gosecure.net/blog

Moose ne faisant pas de victimes directe a encore longues années devant lui car ce n’est pas la priorité des forces de l’ordre.


Tracking Exploit Kits

Speaker: John Bambenek https://lh6.googleusercontent.com/HrNC1rDa1iw-Dsao1ECKZGt00gptRxXE1ELMqxfwNeKw9BLjjFkkKEnpQnX_t4lxKJGN6GHAEbvfT-IH3oNvqWwsxymvquxBJf_nAIjO9kVdAMvJN6ErIBGcIr9faxgK2tbcZCAv

John nous demande pourquoi traquer les exploits kits. Peut-être pour essayer de perturber ou de mettre un terme à l’écosystème de distribution de malware ?

L’écosystème est composé des créateurs de malwares, d’exploit, les générateurs de trafic, les vendeurs, les blanchisseurs de Bitcoins, ceux qui en bénéficie etc…

https://lh3.googleusercontent.com/ZU91rUnHFcOHCQZJC_uI2wWPp3sCehAzuxBkWewQGU-o68t39xaMPM_85HGP2qM20dhVECPNYDGmSk--u18ZwhuUEsMEFp_II7ZdS9Aljug_dEBj8agLcXS1onCkre71Duxm2xJY

 

Mais qu’est ce qu’un exploit kit ? Un exploit kit est une sorte de framework pour créer des malware et les mettre en place.

Il n’y a qu’un moyen de s’en protéger, c’est de faire des mises à jour régulières, les exploits kits n’utilisant que rarement des 0-Day.
L’analyse d’exploit kit peut également révéler des choses intéressantes sur leurs utilisations.
La seconde partie de la présentation est technique, John nous invite à découvrir des techniques et outils pour traquer les exploits kit. On parle de Geo-Blacklisting, une technique utilisé par quelques exploit kit pour éviter les antivirus et chercheurs, mais ils ne détectent pas les VPN donc il est judicieux d’utiliser un VPN pour les traquer.

Chacun des exploits kit ont leur propre Chain-Exploit. Pour qu’un exploit kit puisse être analysé, il faut alors configurer son environnement virtuel pour chaque exploit kit, laisser des failles non patchées, des configurations laissant des portes d’entrée etc…


Function Identification and Recovery Signature Tool

Speaker: Angel Villegas https://lh6.googleusercontent.com/h1JigEJ7kKZShxMIkBMpwJlYTTrq8GYYuDucUFeC86-VwYlCSq8EK-P1bswxr9jqUj3VkuU188W2k3jr-Cvu3tWbWXUWpwc2VWZADu55wdV1F0gOr5PQehWOMn2yx0jaLRMP2Ife

Le quotidien des chercheurs / retro-ingénieur de malwares est souvent répétitif surtout lorsqu’on analyse plusieurs fois des échantillons d’une même famille, on se retrouve vite avec les même fonctions, les même analyses pour au final tomber sur un échantillon déjà analysé. First est un plugin IDA Pro qui nous permet de partager des données d’analyse, First extrait les données intéressantes des fonctions trouvées dans l’échantillon (opcode, architecture, syscall…) et les envoie à un serveur qui vérifie l’information dans sa base de données pour identifier l’échantillon.

A la différence de Polichombre qui permet le travail collaboratif sur un serveur local, First permet la collaboration à plus grande échelle.

First-plugin.us


Improve DDoS Botnet Tracking With Honeypots

Speaker: Ya Liu https://lh6.googleusercontent.com/5GnSr11RgYm6FWDoNZPeq_RvfHGbvjbNr_yrptIFkZ-dTn_HsK_tTt737DsZhJLTjRLV21l6T4G9YEzUtpqC2ek2vNrg-YwcKbrkO2d9CrNBFw8-bYSLjZ3PpFeXGOoltAwcaG0T

Ce talk nous présente une approche pour détecter les botnets de DDOS, en se basant sur les PGA (Packet Generation Algorithm). Ya explique qu’une famille de botnet peut être identifiée en analysant les paquets générés. La recherche porte sur plus de 30 familles de botnets, plus de 6000 Botnets analysés et plus de 250 000 cibles depuis 2014. Le but de la recherche et de collecter des paquets durant l’attaque DDOS et en déduire, d’après l’analyse de PGA, les catégories.


Advanced Incident Detection and Threat Hunting using Sysmon (and Splunk)

Speaker: Tom Ueltschi https://lh3.googleusercontent.com/Jyay3bivR2ofa98YMOWgZvTEyK0K4ON6i8_9IWfNyVGYYJ2tyouaDrNgVssvUNF8Lbg-z0tyorMqz2nCIQ0U_PxZxwDT3SwTduKWVMO29BsbDoDlltreZ_smKNBzxQUi75s1LFxo

Voici une technique intéressante de détection qui combine Splunk et Sysmon.

Il y a deux types de détection :

  • Network Based Detection – NBD (détection basée sur l’activité réseau)
  • Host Based Detection – HBD (détection basée sur l’activité de l’équipement)

Pour Tom, les meilleurs outils sont Bro pour une détection NBD et Sysmon + splunk pour une détection HBD. Sysmon est gratuit, et étant développé par Microsoft, il est facile à déployer. Les logs sont enregistrés dans Windows Event Logs est sont forwardés sur Splunk. Il devient alors judicieux de filtrer les événement sur Splunk. A partir de là, Tom nous conseille de se baser sur le SANS DIFR poster pour commencer.

  • Traquer les faux svchost.exe (il est toujours exécuté via le même PATH et doit être exécuté avec le paramètre ‘-k’, sinon, il est suspect)
  • Détecter Java Adwind RAT
  • Advanced Hancitor

Il est aussi possible de faire des analyses de malwares automatique, détecter les keyloggers, les attaques en mouvement latéral (simulation via cobal strike).
Tom nous présente une multitude de techniques d’analyses très intéressante pour la détection d’incident en général.

Exemple de détection d’obscurcissement Powershell :

http://fr.slideshare.net/DanielBohannon2/invokeobfuscation-derbycon-2016


How Does Dridex Hide Friends?

Speakers/co-authors: Alexandra Tousaint https://lh4.googleusercontent.com/BK2bz6v5drEfUZT8qbUmDyhYv1k5PegSBgYlvvWmZF2uCVMbIV5ZuSxsSiSY4jGYVluYgZbqsLEKSBuxq_Gi5DR6Yzj9IGmgv2ULzIYG_KFP0jf2RFl7Cf_Y9rBFFYmMxozFN2ot, Sébastien Larinier https://lh4.googleusercontent.com/cgIOatpgnj5t56pqx14WYNK7hN8fGol3B36R2PhxFICblSHktg9UxpaC8ywUesUxrPhSoE_EjuGxna_kHp8AjNEGbVBB5oczfGEle9mTUmVIt9hLfM1xBT6x6nmsGa027HM5NIAj, Paul Rascagnères https://lh5.googleusercontent.com/JhFy8z2ktoa8qRDVXO08LLIIkhys5tJYY49jLqiU9tOgVKCxBNvIC0AWwAPc5i0PUscYvFBxc9d-_lC0Xdt-4-stElT7I2D1B13TCnRxbx1HpjdPFfucQy5H8b2rr0yLYUglcpNwhttps://lh3.googleusercontent.com/lPHc-I6IhcjefuU_4R3LLUW5KYzqshJ2uY4X25dDyGxYPDxeIeJjjeAqe38mlzTvKUn8oHADmYaeJ7DgroIBeDsZfatYIqYbxfgi__CKYLnZ4UYcKNXVVeDejcKnFh7zWUlV2iaf

Une excellente présentation qui met en situation l’expert forensic dans une procédure juridique française.

Un retour d’expérience à l’issue d’un incident bancaire, un transfert frauduleux de 800K€ donne le feu vert à une investigation forensic méthodologique à partir d’une copie de disque.

L’analyse forensic démontre une infection typique à Dridex. Mais ce n’est pas tout. Grâce à une timeline, on découvre quelques jours plus tard un script BAT qui installe un RAT commercial (Outil d’administration à distance pour une prise de contrôle).

Plusieurs indices nous aiguillent sur les coulisses de l’attaque; le fait qu’il y ait deux niveaux techniques complètement différents dans un premier temps, puis la présence de 6 jours d’écart entre la première infection et l’exécution du script bat, laisse penser que nous avons affaire à deux entités actrice de l’attaque, deux criminels.
On peut en déduire que Dridex a infecté le premier puis que l’administrateur a revendu l’accès à la machine à une tierce personne opportuniste et beaucoup moins expérimenté. Excellent aperçu d’une attaque classique et du marché lucratif des malwares.


A Tete-a-Tete with RSA Bots

Speakers/co-authors: Jens Frieß https://lh4.googleusercontent.com/ZXnFNznEwbXGXxF1P_kefW3aC8HeGrhwRbCAUn2GXeQqSv8SraXCMGk3TOTX9dLcizAePHgwT8LohuzaSzIkb9kDe0D78GhxV2fvkJo7dIFwtqfOJlabVk-KEe8c5UCB534gXr3V, Laura Guevara https://lh5.googleusercontent.com/X0l5sRaujOYzi2mW-EOArnTmPajZAojs0fZtGFKXqc6WykNCQ9LevanpeOqtZkbZi_RL12hW_80nRvwNjrNdnR0Q7AtgdnyIH8j4y5Yrzz8i9qpJQ-n2LbE6oDx-TlUFQEnISWeo

Présentation très technique sur l’analyse d’un botnet qui initiait des communications chiffrées avec son C&C. Il fallait donc déchiffrer les communications pour commencer le processus d’analyse. Pour ce faire, un faux C&C avec le certificat frauduleux, un serveur DNS pour spoofer les requêtes et l’injection d’une DLL avec une fonction cryptographique.


Takedown client-server botnets the ISP-way

Speaker: Quảng Trần Minh https://lh6.googleusercontent.com/qabgB9c0g0Qz1YGvinziDOEQfUjRy76t3olCiTzKHgBFnMmfbXhYipTW3AqPDY8yn1LEXd_MUpQGBPmx3Y3E9qfVA5ewkXB9gGVonCXfWcsy_b4H8VHifn0q_KKMyEcfR6NYbc9q

Note : Opération illégale en France, le présentateur travaillait avec les autorités Vietnamienne et l’ISP national.
Il est important pour les FAI de protéger ses clients, son réseau, et aussi de répondre aux requêtes des forces de l’ordre. Quang explique la technique utilisée pour mettre un terme à l’activité de certains botnet. Une fois l’adresse IP et le domaine identifié, le FAI peut racheter les domaines expirés et mettre en place une procédure de suppression du domaine. Dans ce cas, le plus gros problème est que certains FAI ne sont pas toujours réactif.

https://lh4.googleusercontent.com/TBDljjj3P8dnifeLMmailhDpCWQiNDfE5_FHNcixdK-4SHuFhttU-a6HatYsObI-bQE3_9v1RDyWZMVo8pJlkOFzll5wWxXcE-Z-bkhIbs9AQwJ0nmDHNG5k2osP_p69RfKhkrun

Pour certains FAI il peut être intéressant de maintenir le DNS, surveiller le trafic, rerouter le trafic. On utilise alors un serveur trou-noir (sinkhole) qui peut servir plusieurs botnets, et imiter leurs C&C respectifs via un panel de plugin. Avec cette technique les FAI peuvent imiter les C&C et envoyer des commandes de suppression aux bots pour mettre un terme au botnet d’une façon sécurisé.


Detecting the Behavioral Relationships of Malware Connections

Speaker: Sebastián Garcia https://lh3.googleusercontent.com/llfjqyrsSh898yWc2YBW0ijv6CHZ-6yrKIcrQrUXzunruDxRd2DDoMg2qvM-GgB-OqItZI6htiVukjbjN1WnFOATYZ_y_COlSImbUkWLjxzNtM6ZzEIKMHSD8dCQ4zhXkNxPKxcp

On part d’un constat : La détection sur réseau devient de plus en plus difficile, les indices de compromission ne sont pas suffisants surtout pour les nouveaux malwares. On se propose alors une analyse comportementale, qui serait préventive, en direct. Mais le souci c’est que le machine learning ne fonctionne pas, ce n’est pas assez performant, il y a trop de données, et pas assez de temps. L’idée de Sebastian Garcia est de travailler sur les flux de données (network flows). En analysant le comportement des flux, on peut créer une empreinte. Chaque flux est défini par un état, et chaque état par une lettre. Etant donnée que les connections des malwares sont générées par des algorithmes propres à chacun, on peut donc modéliser cette relation et reconnaître le schéma de flux de données en fonction du malware et vice versa. Plus de détails ici.

https://lh3.googleusercontent.com/Oe7tFCr-0SFNUPYv4eL4zAHZ1_cvk3kZ3wiWzc3KPdVMqQFxNh_gfaUAIv5HfWi76TJCc03jdwdKkwKg8ygn2ys0bjIv3nLYl8gFUwxsqRqlwdSLH5jPdp_McMPpIHNOeLbMO1cM

 

On utilise un outil open source StratosphereIP. On produit des schémas très visuels qui représentent le flux de données, et on détermine le nombres de noeuds, le nombre de noyaux etc…

Exemple de comportement :

Cerber Ransomware

  • Noeuds: 566, Noyaux: 702
  • Autolooping Noeuds: 20
  • Noyaux dupliqués: 590 (84%) (suspect)

Normal I

  • Noeuds: 98, Noyaux: 263
  • Autolooping Noeuds: 47
  • Noyaux dupliqués: 6 (2.2%) (normal)

Normal II

  • Noeuds: 1072, Noyaux: 1881
  • Autolooping Noeuds: 95
  • Noyaux dupliqués: 4 (0.21%) (normal)

Exemple visuel :

Comportement normal :

https://lh6.googleusercontent.com/17JgxDwcStWfOiaw0lbmDvLvxnj3qoGsSiRNEnESQ621xMjw7CuKCitFDeb2ova_b7ODgjgTEPLpUxugW63DCANucetjJgGEnMOW8E1zMgl1B3W1tSPPrUAPxkmzHdKXk2Q8OQXC

Cerber Ransomware :

https://lh6.googleusercontent.com/E1l8GPDIE67nip2qgjR6InvbwJY2UhHAIdcQT9ShsdKFHByAEYDNPYmiimwMq8_IIyB-0lyWnFqIkddzER5KeP9inPwJS-hAz3FcoUKTQBiNKbjHHVglKIvwMUzjLy9S32AYerKo

Il y a néanmoins quelques faux positifs, mais en conclusion, le comportement d’un malware peut être analysé, détecté et prévu.


Lightning Talks :

Moderator: Éric Freyssinet https://lh6.googleusercontent.com/1i6FUr2at5crMLUal1GrONiijJJxj62hxmawqlOBSiKifPUZsJTYdjo4zD0tKnOYXDZcdreN8ewCzlEDyzQ5tz8ULaCLZWydlKrAXfUNpfwV4CfmGnNWrKfMZyqEsRH39yItEBgK

Unprotect (project), Thomas Roccia

Osiris, Steve Poulson

7547, Xavier Mertens

Sisyphe, Patrice Auffret

What should regulators do to mitigate botnets, Karine e Silva

Android Botnet Code Analysis, Basil Alothman

A little rant about the use of VirusTotal, Martijn Grooten

The Trickbot Evolution, Joshua Adams

Malboxes, Olivier Bilodeau

.NET sample analysis, Hugo Rifflet


Nymaim Origins, Revival and Reversing Tales

Speaker: Alberto Ortega https://lh4.googleusercontent.com/JGjCcjPHGtjFGIDQOCzkA1a61moCYjV7bPXLNeKsOC23b7Hw0lnCnToFVOVFjsPYZ1b6Qe9CbBKKcC8aPQXyYGZvM2-k6Lv5vUNCSzRsbLlYo3WZ4YU5kcLizGe2haRWX3ADdvFX

http://blog.talosintel.com/2016/07/lurk-crimeware-connections.html

Vu la première fois en 2013, Nymaim est de ces malwares dont le code source a été leaké. Ce malware ne s’exécute pas si le processeur est un Xeon, car cela voudrait probablement présager un environnement de professionnel, d’analyste. Il met en oeuvre plusieurs techniques anti-analyste dont une technique qui empêche le dump mémoire du processus.

https://lh5.googleusercontent.com/SXi41oi02Qj1klebO9_gUVykWUlIgU_PNlw_n6CGG2GX4a5hf23RkY0eqjmBvpf1kR5Jisb2tlxuLrHt-OEVF_9x1xLG7ZPRw3MsWweYQtdJMHk1hTmZBpz6VFSoYbolhfDGLiVI

L’objectif final de ses attaques est le webinject, il embarque des bouts de code javascript qu’il injecte sur des site bancaires.

https://lh6.googleusercontent.com/eKuUempsBiXIL05VWofh-5x3w2ymdbTEeio3is5dSE-6lGcH3jXIv3ENPttOXJpMpbowdQN7x_ReUJmEYnAtMWB1S7cI4KIPafqWSefys1o-WrydieIpx0J0Cy89wSvXtUPqnH6m


Rough Diamonds in Banking Botnets

Speakers/co-authors: Jose Miguel Esparza https://lh4.googleusercontent.com/2bD-Eh6M9LQc_2_beOjosMeYxuzpWt7PjCVHQN0OKVysQhyQdSM6rYEUjm29nX6CUVZj-5JyUYGusoCQAGLqtDUQnGP55BJx7beSJlXTJAZoj2B2tJg86ixVrGjMVgW4RSgqZETp, Frank Ruiz https://lh5.googleusercontent.com/XyGxk7Ocu1FtUEI_QkmJHQv4P6k1l5IyfEJGrQ7_XfPGkyFbR6WBQufDkPCSi1C0OccBlM-c9XeiyXlGGXQhuOeITZOeWECCgX8lXeJdyzAyDYWW9SsmBPek9uUvvjnLEJ5jLZOf

 

« Le conférencier demande une Diffusion restreinte. »

ISFB, Still Live and Kicking

Speaker: Maciej Kotowicz https://lh5.googleusercontent.com/ElnAvtInGviZ9_qksLmBGmP19nmKcdTxEItXujG_b39vsSg-itXxaroaU60CaOrs56onaon-GGqXrJYiw1ormqNPi8Jr8J510ZByGSaa0kawPjK5uW7mP9tvKKSsSp8soLSPGrte

Maciej, chercheur au CERT de Pologne et rétro-ingénieur d’expérience nous présente un botnet original ISFB, un des malware bancaire les plus populaire sur le marché. ISFB se vend au marché noir comme un “ crime kit”. Ce qui en fait l’un des malwares les plus actifs.

https://lh4.googleusercontent.com/5e0eRFSusG5lb7h5_942qmh-ra6yyChRdtF3NeCY443WIB9EZ8cun2W4v8D3ERVMa37biJ-hNv7V3sNn-sFozeMoUUzoot6FRA9MWu6mLBQOD5z2mEMzOZcmneAH_WCFjzRAkZ00

Son analyse se base sur une rétro-ingénierie.

Technique anti machine virtuelle avec des fonctions qui surveillent le mouvement du curseur de la souris, s’il n’y a pas de mouvement, il ne s’exécute pas.

https://lh4.googleusercontent.com/8kEqBgXvuarYXYYNR85JZeEaNUuR8m6gECRY6QdDOfglzkeU3AmgRU5FMBkFm31pk0rfENfQ3ljdtxgQoqY_RI2unACN7XJSdmiKn_Udkwgc5jPK-Kr9T4ZozoDAyxOImw108SZV

Surveillance du mouvement de la souris.

 

https://lh6.googleusercontent.com/qjM5faRF_XnI96lAToaJ7sVtvYwWcdbf9nzzUSNYDH105msrLv8-iS_lNxlwfkTnsU33NXRX9KznIOUZ3sa-L0W5OPhkoD-7Ht_MEYhbN40RHiEz5uEkNgF29BXkKZwjwsmTDUd9

ISFB cherche également des indices qui pourraient indiquer que l’environnement est virtuel.

L’analyse se termine sur la découverte de plusieurs panels de contrôle de C&C.

https://lh3.googleusercontent.com/OMs9lB0bIE_SFyAspqhfiAM7Ek7TDRSm5u940Sj7CbtFdYhn5YrZUr2ltc2YUVE8d2dFzK6av6lO9TjMq5EPlxD6AAKOyHSVoEsoy2KJhqp0PBR0zpjcxreA2atZpez7RJ5ht98s

Une analyse plus profonde dans les slides.


Challenges for a cross-jurisdictional botnet takedown

Speaker: Margarita Louca https://lh3.googleusercontent.com/8N2GWTMxF6bK9eA3jmXgJ7qV_kZJ5l9_qoBa4DIDucuaA_v71gEjf7ZKgWMswziCvtdDCPwmyJ1wkzUUsEVlw7v3ZXycM32yAVDW-42Lu7O9VNLZ4j22t-D_pOF1it0KE610hcybhttps://lh5.googleusercontent.com/Z3AapqmPNACzWX66TveE6nHWN4HokrA1vrHKoXzosR5__X41OUvs9mGtvqoWZyP0m6OY7fqdR_D-A4MItWYVfAvw9cr23cANsW8ILTKUZ-eLku-5vbuyY4ocxjbh_iBU7Kvd1LYC

« Le conférencier demande une Diffusion restreinte. »

La présentation se termine en un appel au ralliement autour du combat contre les botnets.

“It takes a network to defeat a network”.


Preventing File-Based Botnet Persistence and Growth

Speaker: Kurtis Armour https://lh5.googleusercontent.com/ZqcKJWHfrRS-XF_Se7OonRIaQWBm42oQgi6xK0JxRpl8m8pzIjdRoUqaJdle4cbJ5WNHOhRhCrQ0eAsPuGCajcMzJD1FT5HywTwUsOqby9Tjh2jYQdq95RJxxHiCacNLOGuqBZf7 (résumé n0-secure.net)

Kurtis Armour présente les bonnes pratiques de sécurité pour éviter toute infection. On parle surtout d’infection par mail, malvertising etc…

  • Pas d’exécution de code en mode administrateur par défaut
  • Désactiver JAVA si vous n’en avez pas besoin
  • Eviter la possibilité que les utilisateurs installent eux-même leurs logiciels
  • Utiliser un Local Administrator Password (LAPS) aléatoire et spécifique pour CHAQUE poste
  • Désactiver WSH par défaut (windows script host) qui permet l’exécution de Javascript et de VBS (faisable avec une simple clef de registre)
  • Désactiver l’exécution des macros par défaut au travers de règles spécifiques disponibles pour tous les logiciels Office. On peut aussi modifier le comportement vis à vis des macros dans Office via GPO.
  • Bloquer Powershell, c’est très compliqué et les local security policy ne fonctionnent pas. Idem pour les executions policies. La v5 apporte des solutions de logging et de sécurité. On peut l’exécuter en mode « restreint » ou seuls les scripts signés peuvent accéder aux API privilégiés (com/syscall)
  • AppLocker est une solution de whitelisting qu’on peut configurer via GPO. La mise en liste blanche se fait par hash/localisation/éditeur. Pour l’éditeur, cela nécessite forcément la signature du binaire.
  • Blocage des exécutables dans %OSDRIVE%\Users\*
  • Restreindre l’accès utilisateur sur \System32 et \Windows
  • Pour bloquer les macro, on peut le faire avec Applocker en bloquant la DLL de VBA. Idem pour Powershell
  • Bloquer l’accès à MSHTA.exe contre les fichiers .hta
  • DeviceGuard pour finir.

Dridex Gone Phishing

Speakers/co-authors: Magal Baz https://lh3.googleusercontent.com/GTltAu1XBQRE4zlhpimle-xCeG9yZuzB5-w3g5MHDw3IK_jE6Z5XyXTUdjUXouhvSx_WjZLAfJvrOe4JERPsxCv-F9qCdtmtWkg6YVz0U_tbcly71lwIH6jTzAaPUPVUJcY1iJLs, Gal Meiri https://lh3.googleusercontent.com/DlsQ0wGBGNEbJgIix4dwuOUFw_CxE4uxe7lTll7FJHf7x7CtmHqHM5YRrNScfBPatSVPTXLewvL_sB4F-nCnNYxp9HTp4VF18SFCTOaskybWnv5bgnzMqP50PIqkuybJZmaL2Nyr

Sûrement l’une des présentation des plus intéressantes. La seule qui contenait une démonstration vidéo impressionnante du mode opératoire d’attaque par webinjection. L’authentification à double facteur ou le token sont complétement inutiles contre Dridex. Celui-ci modifie la page web de votre banque et toutes les données saisies sont dupliquées, (envoyées à la banque et à l’attaquant). Cette attaque est complètement indétectable.
Après l’infection, le navigateur est compromis, Dridex y injecte une DLL. A chaque visite du site de votre banque, la page HTML est changé, le certificat SSL reste le même, mais les champs du formulaire sont faux. En effet les vrais champs sont cachés avec une balise “hidden” et ce sont d’autres champs qui récupéreront l’input utilisateur.

Une façon insolite de se protéger contre Dridex : renommer l’exécutable de votre navigateur (ex:”firefox_clean.exe” au lieu de “firefox.exe”). En effet Dridex a une liste hachée des navigateurs les plus communs qu’il se charge d’infecter. En changeant le nom, on change le hash et Dridex ne le reconnait plus.

Une fois les identifiants entrés sur la page, une seconde page s’affiche avec un message d’alerte, demandant de confirmer son numéro de carte bleu pour déverrouiller son compte, toujours avec l’URL de la banque, tout semble sécurisé. Ceci étant fait l’utilisateur est redirigé vers le site de sa banque, authentifié et reprend une activité normale.

La démonstration est lancée. L’attaque est indétectable même pour les utilisateurs les plus aguerris. Les URL sont en HTTPS. Et l’utilisateur est connecté après l’attaque.
En conclusion, on découvre la fonctionnalité principale de Dridex, le principal malware bancaire depuis mi-2014, le webinject s’il est bien fait est indétectable.