Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

Introduction

La cinquième édition de la Botconf s’est tenue à Montpellier, du 6 au 8 décembre. Retour sur cet évènement orienté défensif entre analyse de malware et lutte contre la cybercriminalité.

Liens vers les comptes rendus de chaque journée :

Malware clustering at scale

Sébastien Larinier • @Sebdraven
Robert Erra • LSE, EPITA

Les orateurs présentent un projet de “clusterisation” et classification répondant à la problématique de manipuler un ensemble de données contenant des centaines de millions d’échantillons de malware. L’idée était d’exploiter le machine learning pour identifier les similarités entre les échantillons. Les algorithmes à employer pour le traitement de l’ensemble de données ont été choisis de manière empirique, en observant les résultats les plus satisfaisants.

Le traitement est effectué sur les métadonnées des fichiers : empreintes cryptographiques classiques et “floues” (ssdeep), import hashes, entêtes des exécutables, tables d’imports, certificats, etc.

En s’appuyant sur une infrastructure de laboratoire modérément puissante, l’architecture en place peut traiter l’ensemble de données initiales en quelques heures. A partir de là, les nouveaux échantillons ajoutés seront analysés quasi instantanément.

Get rich or die trying

Or Eshed • @EshedOr • Check Point
Mark Lechtik • @_marklech_ • Check Point

En parcourant une liste d’e-mails de spam, l’intérêt des orateurs est piqué par un sujet mentionnant la société ARMACO (industrie pétrochimique), alors que l’actualité regorgeait à ce moment d’affaires autour de cette entreprise et de l’Arabie Saoudite. Considérant ce contexte particulier, les présentateurs suspectaient qu’il puisse s’agir d’une attaque un minimum sophistiquée.

En commençant à analyser l’infrastructure liée à ce spam, les analystes découvrent qu’elle distribue des malwares de type RAT (Remote Access Trojan) relativement classiques : NetWire et ISR Stealer. Ils identifient également la diffusion de Hawkeye, un keylogger. Une analyse de ce dernier malware leur permet de découvrir les identifiants d’un serveur SMTP vers lequel les données enregistrées sont envoyées.

L’accès au serveur leur permet de remonter la trace de l’attaquant. Il s’avère qu’il était infecté par son propre malware, les analystes peuvent alors mettre la main sur de nombreuses captures d’écran du système de l’attaquant et signaler l’opération aux autorités locales.

En définitive, la campagne était l’oeuvre d’un seul individu, très loin d’être sophistiqué… Mais lui avait quand même permis de toucher de nombreuses victimes.

Support de présentation

Exploring a P2P transient botnet

Raimir Holanda • Morphus Lab
Renato Marinho • @renato_marinho • Morphus Lab

La recherche initiale des orateurs a été d’analyser le comportement de Mirai en installant un honeypot sur un Raspberry Pi avec les identifiants par défaut. Très vite, ils ont aperçu des communications tentant de télécharger et d’exécuter un malware différent de celui attendu. Les communications vers les C&C s’effectuant en HTTPS et s’appuyant sur un certificat client, ils ont du mettre en place un système utilisant un proxy local (en l’occurrence Burp) pour déchiffrer le trafic et altérer les commandes.

Cette analyse a permis aux chercheurs d’enregistrer des machines dans le botnet en tant que C&C, afin d’analyser la portée des infections.

RetDec: an open-source machine-code decompiler

Jakub Křoustek • @JakubKroustek • Avast
Peter Matula • Avast

Les orateurs rappellent l’intérêt d’automatiser la décompilation dans le cadre de l’analyse de malware quotidienne : obtenir du code facilement intelligible, sans devoir être familier avec les instructions machine de la multitude d’architectures répandues actuellement (Intel, ARM, plateformes 32 et 64 bits, etc.)

Des produits existent déjà, comme Hex-Rays, Hopper, Snowman ou BinaryNinja. L’objectif ambitieux des orateurs était de créer un décompilateur générique, pouvant traiter des exécutables comme du code brut issus de différentes architectures. La tâche était loin d’être triviale, nécessitant de prendr en compte les différentes architectures, les différents formats de binaires, les traitements réalisés par les compilateurs, sans oublier les techniques d’obfusctation et de packing fréquemment rencontrées lors de l’analyse de malware.

Le projet est aujourd’hui accessible en ligne, à l’adresse suivante : https://retdec.com.

Les sources ont été publiées sur GitHub : https://github.com/avast-tl/retdec

Support de présentation.

BotLeg project

Karine e Silva • @kar1nekks • Université de Tilburg

L’oratrice présente un projet de recherche concernant le partage d’informations entre les acteurs privés et les forces de l’ordre. La problématique est la suivante : comment partager de l’information acquise à la limite du légal ? Car il ne faut pas chercher loin pour trouver des présentations ou publications ou des chercheurs en sécurité “obtiennent l’accès” à des systèmes contrôlés par un cybercriminel. Au sens strict des lois de certains pays, ce genre d’action est illégal et peut poser des problèmes de légitimité.

Le but du projet sera donc d’envisager un mode de partage et de communications des informations garantissant un traitement équitable des différentes parties.

Par ailleurs, des cadres font leur apparition pour protéger les chercheurs. Par exemple en Europe, où l’article 6.1.e du RGPD indique qu’un traitement de données personnelles sera considéré comme licite s’il est réalisé dans le cadre d’une “mission d’intérêt public”.

Use your Enemies: tracking botnets with bots

Jarosław Jedynak • @msmcode • CERT-PL
Paweł Srokosz • @_psrok1 • CERT PL

Les orateurs ont mis en place une infrastructure dédiée aux analyses de botnet. Elle intègre un processus itératif reposant sur deux étapes fondamentales : la première (intitulée “ripper”) consiste à extraire des IoC, classifier les malwares et définir les relations avec d’autres échantillons. La seconde (baptisée “mtracker”) est une plateforme modulaire s’appuyant sur des analyses dynamiques permettant d’identifier des caractéristiques propres au botnet (webinjects, envoie de spam par e-mail, etc.).

Caractéristique intéressante de “mtracker”, il intègre sa propre infrastructure de DNS passif, afin de pouvoir étudier le comportement de malwares dont les domaines ont été saisis ou ne sont plus actifs à l’heure actuelle. L’architecture comporte également des fonctionnalités pour limiter les débordements inhérents à l’analyse dynamique des malwares:

  • Le débit en sortie est limité pour réduire le potentiel d’un bot DDoS ;
  • Un mécanisme d’émulation permet d’enregistrer l’utilisation de certaines commandes (ex. envoi d’e-mail) sans les exécuter véritablement.

SOCKS as a Service, botnet discovery

Christopher Baker • Dyn

L’orateur présente les résultats des recherches de son équipe sur les marchés noirs de proxies Web, largement utilisés par les cybercriminels pour contourner les listes noires, les blocages géographiques et dissimuler leurs activités de manière générale.

En étudiant les plateformes de vente de proxies et les caractéristiques de chacun (répartition géographique, ASN ou plages d’adresses IP employées, etc.), il leur a été possible de classifier et identifier les plateformes selon leur utilisation. L’orateur souligne par exemple les ventes de points de sortie situés dans les plages d’adresses des opérateurs mobiles. Les marchants mettent dans ce cas en avant le fait que ce sont des adresses rarement mises en liste noire, considérant que les opérateurs disposent d’un nombre limité d’adresses et emploient du NAT pour fournir l’accès à leurs clients.

Automation of IoT botnets takedown by an ISP

Sébastien Mériot • @smeriot • OVH

L’orateur explique que les attaques DDoS sont très fréquentes et un point d’attention important en tant qu’hébergeur et FAI, étant donné que chaque attache touche directement le métier de l’entreprise. Il revient sur le cas des botnets d’IoT et des attaques par inondation de requêtes HTTP – qui ne sont pas spécialement sophistiquées mais très efficaces vis-à-vis de l’état de sécurisation général des objets connectés.

Les entreprises comme OVH sont également dans une position privilégiée pour limiter les dégâts causés par ces menaces. L’orateur présente les démarches mises en place pour identifier rapidement les bots et C&C liés à leur infrastructure :

  • Des recherches en source ouverte (ex. via Shodan) donnent des résultats mais ne sont pas exhaustives ;
  • Une analyse automatisée d’échantillons reçus, orientée sur la découverte d’artefacts de type adresse IP ou nom de domaine.

The new era of Android banking botnets

Pedro Drimel Neto • InTELL, FoxIT

L’orateur présente les différents malwares Android observés durant les années passées et établit une comparaison avec les échantillons plus récents. Historiquement, les familles comme Perkele, iBanking ou BankBot étaient peu obfusquées, voir pas du tout. Leur fonctionnement s’appuyait principalement sur l’interception de SMS afin d’obtenir et de détourner l’utilisation de jetons fournis par les banques pour la validation de transactions.

Les nouveaux malwares sont plus sophistiqués. Ils emploient fréquemment des techniques anti-analyse (obfuscation, mise en route seulement dans des conditions particulières, etc.), et leurs fonctionnalités s’appuient davantage sur des pop-ups s’affichant devant les applications légitimes, ou sur des injections de code directement dans les pages Web affichées par un navigateur ou une application.

Hunting down Gooligan

Elie Bursztein • @elie • Google
Oren Koriat • Check Point

Les orateurs présentent un retour d’expérience sur la traque d’un malware Android faucheur de jetons OAuth.

L’infection initiale se fait systématiquement par l’installation d’un APK infecté. S’ensuivent le décodage de charge utile, le téléchargement d’un exploit pour rooter l’appareil, la mise en place des mécanismes de persistance (qui infectent même le script de retour aux réglages d’usine !), et enfin l’installation du malware Gooligan à proprement parler.

Le malware s’injecte dans l’application Google Play, et utilise le jeton OAuth de l’utilisateur pour grandir artificiellement la popularité d’applications précises en les notant et en simulant leur installation… Ce sont ces familles de malwares qui font arriver en haut des résultats de recherche les clones malveillants d’applications populaires comme WhatsApp.

Une fois le malware complètement analysé, le botnet a pu être démantelé. La partie technique de prise de contrôle des serveurs de contrôle a été une chose… Mais il a aussi fallu gérér la révocation et le renouvellement des jetons OAuth compromis, étape complexe lorsque la base d’utilisateurs est répartie sur de multiples continents et parle une multitude de langues.