Un incident de sécurité ? Faites-vous assister : 01 47 28 38 39

Liens vers les comptes rendus de chaque journée :

KnightCrawler

Félix Aimé • @felixaime • GReAT, Kaspersky

L’orateur présente son outil “KnightCrawler”, développé pour détecter les attaques de type “watering hole”. Il s’agit de détecter du contenu malveillant (type Exploit Kit) injecté dans des sites légitimes. Trois cas d’usage sont pris en compte:

  • Injection directe de contenu
  • Manipulation d’un script piégé
  • Diffusion de publicités malveillantes

L’analyse de ces attaques est complexifiée du fait que ces attaques étant plutôt ciblées, il faut généralement remplir plusieurs conditions pour déclencher l’attaque : géolocalisation IP, empreinte de navigateur, etc. L’orateur a donc mis en place une infrastructure répartie pour automatiser les recherches de contenu suspect, avant de terminer par quelques exemples d’attaques identifiées par son outil.

Support de présentation

The (makes me) WannaCry Investigation

Alan Neville • @abnev • Symantec

L’orateur commence par mettre en perspective les chiffres des infections de WannaCry par rapport aux dernières grandes “épidémies” :

  • 2003 : Blaster touche 16 millions de machines
  • 2008 : Conficker affecte 15 millions de systèmes
  • 2017 : WannaCry ne fait “que” 300 000 victimes

Il poursuit avec une description technique du malware, avant de présenter un retour d’expérience interne à Symantec. Les premières détections de leur côté remontent à février 2017, où il était alors diffusé sans ETERNALBLUE. Une campagne a ensuite été identifiée en mars/avril, où il était alors déployé par l’intermédiaire de backdoors déjà en place. En ce qui concerne l’attaque de mai, la grande vitesse de propagation du malware a rendu impossible l’identification du vecteur initial.

Malware Uncertainty Principle

Maria Jose Erquiaga • @MaryJo_E • Université de Cuyo

L’oratrice décrit un projet d’analyse de malwares utilisant HTTPS pour leurs communications. Dans un premier temps, ils ont mis en place un laboratoire d’analyse relativement simplement en s’appuyant sur l’outil mitmproxy. Ensuite, la sélection des échantillons a été faite en parcourant des listes noires TLS pour identifier et obtenir les malwares à l’origine de ces communications.

La présentation passe ensuite sur quelques cas rencontrés, et revient notamment sur les cas où les malwares utilisent un protocole binaire au-dessous de la couche TLS. Une simple analyse des flux ne suffit alors plus, il est nécessaire d’analyser le malware en profondeur.

Knock Knock… Who’s there? admin admin, Get In!

Anna Shirokova • @AnnaBandicoot • Cisco

L’oratrice présente les attaques par brute-force dans le paysage des CMS. Bien qu’assez peu sophistiquées, la quantité de sites non protégés accessibles rendent ces attaques profitables ; si l’on en croit la prévalence de ce type d’attaques aujourd’hui.

Durant la première partie de sa présentation, elle énumère l’historique des malwares “brute-forcers” les plus connus comme FortDisco, Mayhem et Aethra. Parmi les méthodes fréquemment employées, on trouve les suivantes :

  • Brute-force vertical : recherche plusieurs identifiants sur un site à la fois ;
  • Brute-force horizontal : exécute un même couple d’identifiants sur différents sites. Cette méthode a pour intérêt de limiter la fréquence des tentatives sur les sites unitaires et a donc plus de chance de contourner les protections anti brute-force.

Elle se focalise ensuite sur le botnet Sathurbot, détecté pour la première fois en 2013. Il est construit sur un principe modulaire, avec des fonctionnalités “backdoor”, “downloader” ou encore “Web crawler”. Cette dernière utilise les opérateurs avancés de plusieurs moteurs de recherche pour trouver des CMS WordPress et Joomla! exposés.

Automation Attacks at Scale

Will Glazier • @WGlazier21 • Stealth Security Inc

Dans la veine de la conférence précédente, l’orateur présente un marché d’outils d’attaque automatisés comme des “brute-forcers” ou des “trojans”. Ces outils sont fournis avec des fichiers de configuration déjà paramétrés avec des cibles préenregistrées. Une analyse de ces configurations a permis aux chercheurs de déterminer que 10% des cibles se trouvent dans le top 1000 des sites les plus visités au monde (classement Alexa). Des tests réalisés par le présentateur ont montré qu’un simple script parcourant Pastebin à la recherche de motifs spécifiques retournait 20 000 identifiants par jour, soulignant l’efficacité de méthodes très loin d’être sophistiquées.

L’orateur s’attache ensuite à décrire des moyens complémentaires pour lutter contre cette famille de menaces :

  • Analyse des requêtes HTTP pour trouver les motifs propres aux outils d’attaque ;
  • Machine learning appliqué aux sessions HTTP pour identifier les comportements de navigateurs simulés (ex. Selenium ou PhantomJS) ;
  • Threat intelligence pour couper les sources de l’attaquant (ex. identifier une fuite de données et réinitialiser les mots de passe des comptes avant qu’ils ne soient exploités) ;
  • Analyse des comportements au-delà des requêtes unitaires.

Malpedia: A Collaborative Effort to Inventorize the Malware Landscape

Daniel Plohmann • @push_pnx • Fraunhofer FKIE

L’orateur présente un projet d’encyclopédie de malwares. L’idée est de classifier chaque malware de manière unique, en référençant la plateforme concernée, le type de malware et les éventuelles règles Yara associées.

Afin de garder un corpus sain, il s’agit en premier lieu d’utiliser des informations concentrées sur l’analyse statique pour avoir des résultats facilement reproductibles.

Au-delà de ça, l’enrichissement de la base suit quelques principes fondamentaux :

  • S’assurer que le contenu est représentatif ;
  • Etre orienté multi-plateformes – même si Windows est très représenté ;
  • Utiliser du contenu non “packé” ;
  • Appliquer des labels précis aux échantillons ;
  • Documenter les informations ;
  • Contrôler la diffusion et l’accès à la base.

Le projet est actuellement en ligne: https://malpedia.caad.fkie.fraunhofer.de

L’accès aux informations génériques est libre, tandis que l’accès à la partie étendue se fait exclusivement sur validation des auteurs.

Support de présentation

YANT – Yet Another Nymaim Talk

Sebastian Eschweiler • Crowdstrike

L’orateur présente son retour d’expérience sur l’analyse du malware Nymaim. A l’opposé des techniques non sophistiquées abordées dans les autres conférences, ce malware possède plusieurs fonctionnalités anti-analyse comme l’obfuscation, le chiffrement de son propre code, l’utilisation de techniques anti-sandbox et l’exécution de code x64 à partir d’instruction x86.

Le présentateur présente en détail plusieurs des techniques employées par le malware et la manière de les décoder.

Augmented Intelligence to Scale Humans Fighting Botnets

Yuriy Yuzifovich • Nominum, Akamai

L’orateur s’intéresse au trafic DNS et travaille en collaboration avec divers fournisseurs, donnant accès à plus de 100 milliards de requêtes DNS par jour. L’équipe d’analyse se sert de cette source d’informations pour lutter contre les botnets en surveillant l’utilisation des noms de domaines temporaires utilisés par les malwares (DGA).

Ils ont développé un outil qui s’appuie en premier lieu sur des algorithmes DGA connus pour anticiper les domaines utilisés pour les communications entre un bot et son C&C. L’outil surveille également l’apparition de nouveaux noms de domaines et applique des algorithmes d’apprentissage pour discerner les motifs pouvant provenir de DGA inconnus, et se charge de classifier les noms de domaines selon les familles connues ou selon les corrélations trouvées entre les valeurs.

Stantinko: a Massive Adware Campaign Operating Covertly since 2012

Matthieu Faou • ESET
Frédéric Vachon • ESET

Les orateurs présentent les résultats de leur étude du botnet Stantinko. A l’origine de l’investigation, un seul signalement de la part d’un client précis concernant un comportement étrange dans leur SI.

L’analyse a d’abord identifié le composant principal : un “adware” injectant des publicités dans les navigateurs des victimes. Le malware ne s’arrête toutefois pas là et installe également un système de porte dérobée modulaire, intégrant par exemple des fonctionnalités d’installation d’extensions de navigateur malveillantes, de fraude au référencement et de brute-force.

Le malware est également doté de mécanismes anti-détection et anti-analyse, notamment par le chiffrement du code et des communications avec une clé unique par infection.