Intrinsec était présent lors de la seconde édition de la Botconf qui s’est déroulée du 3 au 5 décembre à Nancy. Les vidéos et les slides sont disponibles à l’adresse suivante : https://www.botconf.eu/botconf-2014/documents-and-videos/
Ce compte-rendu concerne la première journée du 3 décembre 2014.
Botnet Takedowns – Our GameOver Zeus Experience – Benedict Addis (ShadowServer) & Stewart Garrick (UK National Crime Agency – Cybercrime Unit)
Les conférenciers présentent le point de vue des forces de l’ordre dans les opérations contre le botnet GameOver ZeuS, apparu en 2011 et démantelé en 2014.
Ils reviennent sur les difficultés d’appréhension de ce type de menace. Le cybercrime ne se conforme pas à une hiérarchie pyramidale traditionnelle. Un botnet est constitué d’une multitude de machines et d’opérateurs. S’attaquer à des éléments individuels ne fonctionne pas ; ils sont rapidement remplacés.
Deux aspects sont mis en avant lors de la conférence : la sensibilisation de la hiérarchie des forces de l’ordre comme le grand public, et la nécessité d’une coopération internationale entre des agences gouvernementales et des acteurs de sécurité privés ; thème qui sera récurrent dans la conférence.
Afin de capter l’attention du grand public, la communication au Royaume-Uni s’est appuyée sur les menaces visibles. Elle s’est concentrée sur Cryptolocker, un ransomware déployé sur les machines infectées préalablement par ZeuS. Même si la menace représentée par ZeuS est plus importante (vol d’identifiants et coordonnées bancaires), il est plus facile de parler de demande de rançon, facilement visible par les utilisateurs infectés.
En complément, différents canaux ont été utilisés pour la diffusion de l’information : des interventions durant les journaux télévisés, des briefings internes pour les officiers de police, un site Web « GetSafeOnline » (https://www.getsafeonline.org/). Les messages restaient simples : « n’ouvrez pas les e-mails d’inconnus », « utilisez un antivirus », « mettez à jour vos logiciels », « faites des sauvegardes ».
Les résultats de la campagne ont été globalement positifs : deux tiers des adresses IP du Royaume-Uni ont cessé de communiquer avec les sinkholes (faux serveurs DNS résolvant les noms de domaine utilisés par les bots par des adresses IP non joignables) et l’utilisation d’antivirus a fortement augmenté.
D’un point de vue technique, les ordinateurs infectés par Cryptolocker communiquaient avec des serveurs de contrôle (C&C) portant des noms de domaines en .com, .net, .biz, .ru, .org, .co.uk et .info. Le botnet GameOver ZeuS utilisait des communications peer-to-peer.
Plusieurs juridictions étaient donc concernées, et il a fallu un effort coordonné pour mener à bien les actions de démantèlement :
- des acteurs privés sont intervenus pour le blocage des communications peer-to-peer ;
- aux États-Unis, la justice a imposé par mandat à son registre Internet et à une vingtaine de fournisseurs d’accès de mettre en place des sinkholes et bloquer les domaines utilisés par le botnet ;
- les polices de onze pays ont saisi des serveurs.
L’opération de « takedown » a été réalisée en une fois afin d’éviter que des parties non démantelées se mettent à jour et ne puissent plus être directement neutralisées. Durant cette opération et afin de garantir son efficacité, l’ensemble des acteurs partageait les informations en continu.
La principale leçon retenue est la nécessité de coopération et de confiance entre les acteurs internationaux, gouvernementaux comme privés. Les conférenciers citent l’exemple des mandats imposant le blocage des domaines : qu’adviendra-t-il quand ils arriveront à expiration ? Ils y répondent par la suggestion de développement d’un « registre Internet du dernier recours », un organisme qui permettrait de bloquer les domaines utilisés à des fins malveillantes de manière permanente et gratuite.
À voir aussi : Analyse du modèle de communications de GameOver ZeuS : http://www.syssec-project.eu/m/page-media/3/zeus_malware13.pdf
Semantic Binary Exploration – Speeding up malware analysis – Laura Guevara & Daniel Plohmann (Fraunhofer)
Slides : https://www.botconf.eu/wp-content/uploads/2014/12/2014-1.3-Semantic-Exploration-of-Binaries.pdf
IDAScope : https://bitbucket.org/daniel_plohmann/simplifire.idascope/overview
L’objectif de la présentation était de mettre en évidence les caractéristiques similaires que l’on peut retrouver durant l’analyse de malware, notamment via l’utilisation de l’API Windows.
En effet, il est possible d’inférer sur le comportement d’un malware en étudiant ses imports. Par exemple, un exécutable important les fonctions VirtualAlloc, CreateProcessMemory et CreateRemoteThread a une forte probabilité de réaliser de l’injection de DLL et d’ainsi injecter du code malveillant dans d’autres processus.
Évidemment, une telle analyse n’est possible que si le malware n’est pas « packé » ou s’il a été préalablement « dépacké ».
Après avoir détecté le comportement probable d’un malware, il est ensuite possible d’accélérer son analyse en simplifiant le graphe du flot d’exécution via un suivi des valeurs possibles affectées aux différents registres et des valeurs des chaines de caractères présentes dans l’exécutable. Ensuite, l’accélération va encore plus loin en supprimant les branches du graphe qui ne correspondent pas au comportement inféré.
Pour finir, la présentation s’est terminée sur une démonstration de l’outil IDAScope qui intègre ces recherches ainsi que d’autres outils ayant pour but d’améliorer et de faciliter les analyses de binaires avec IDA :
- recherche de signature YARA ;
- identification d’algorithmes cryptographiques ;
- Semantic Explorer (l’outil présenté plus haut) ;
- inspecteur de fonctions (permettant de voir les appels avec leurs paramètres associés) ;
- intégration de la documentation MSDN directement dans l’outil.
HAVEX RAT – The Full Story – Giovanni Rattaro & Renaud Leroy (OpenMinded), Paul Rascagnères (G-Data)
Les conférenciers nous ont présenté le RAT (Remote Access Tool) HAVEX, qui a été détecté une première fois en janvier 2014. Deux mois plus tard, les premiers IOC (Indicator Of Compromise) ont été publiés par Giovanni Rattaro (http://pastebin.com/2x1JinJd).
L’infection par ce malware se serait déroulée via « water holing » (utilisation de sites internet comme intermédiaire pour compromettre leurs visiteurs réguliers) sur des sites du domaine de l’énergie.
Une analyse technique présente les principales caractéristiques attendues de HAVEX : upload et téléchargement de fichiers, exécution de commandes, etc. Cependant, ce RAT dispose aussi de modules permettant d’interagir avec les systèmes ICS/SCADA. En effet, un scanner OPC a été identifié : il s’agit d’un système de contrôle de processus entre un logiciel et un système industriel. Ce module permet ainsi l’identification des différents contrôleurs d’automates présents sur un réseau donné.
La découverte de ce module a déclenché un buzz et certains ont même été jusqu’à le considérer comme un nouveau Stuxnet.
La suite de la présentation se concentre sur le contenu des C&C, et plus particulièrement du fichier testlog.php qui contient des informations sur les bots (IP, user-agent, etc.). Les données utilisées par le script sont automatiquement supprimées une fois récupérées. Des informations présentes dans ces fichiers indiquent néanmoins que des machines sont infectées depuis 2011.
La présentation se termine sur quelques chiffres :
- 92 pays concernés ;
- 263 serveurs C&C identifiés dont 56 toujours en activité ;
- 22 548 adresses IP de bots identifiées.
En conclusion, le concept d’un CERT 2.0 est présenté. L’idée est d’améliorer la collaboration et la coordination des différentes communautés pour pouvoir agir plus efficacement contre ce type de menaces.
The Many Faces of Mevade – Martijn Grooten (Virus Bulletin) & João Gouveia (AnubisNetworks)
Slides : https://www.botconf.eu/wp-content/uploads/2014/12/2014-1.5-The-Many-Faces-of-Mevade.pdf
Les conférenciers présentent une analyse de Mevade et de ses variantes. L’activité principale du malware est de générer des faux résultats de recherche sur les moteurs Bing, Yahoo! et Google. Il présente la particularité d’utiliser Tor pour ses communications avec le C&C.
L’analyse s’est appuyée sur un réseau de sondes sous le contrôle d’AnubisNetworks disposées dans plusieurs pays. Elles échantillonnent principalement les flux DNS et HTTP les traversant. Il s’agit ensuite d’analyser ces données pour détecter des motifs propres au comportement d’un botnet : algorithmes de génération de domaines, distribution géographique des requêtes, etc.
D’autres éléments de l’infrastructure permettent ensuite d’agir comme sinkhole et d’accéder aux flux à destination des serveurs C&C.
Dans le cas de Mevade, la détection initiale est venue de requêtes DNS vers des domaines .su provenant d’un algorithme de génération de domaines (DGA). Les sinkholes mis en place ont permis d’obtenir des échantillons des communications avec les C&C sous forme de requêtes HTTP avec un identifiant unique et des données binaires.
Une première analyse de ces communications a établi que le protocole utilisé n’était pas celui d’autres botnets connus (Citadel, Sality, ZeroAccess). Apparemment dans une impasse, les conférenciers se sont tournés vers… Google. En recherchant des éléments issus des données collectées, ils ont pu découvrir des informations aboutissant à un nouveau domaine en no-ip.biz, distribuant un adware et d’autres domaines utilisés par le botnet.
Enfin, le rejeu des requêtes interceptées par l’infrastructure de sinkhole a généré des messages d’erreurs liés à un protocole de minage de bitcoins.
En conclusion, la chasse aux botnets ne commence pas obligatoirement par l’analyse d’un échantillon de malware, et peut même complètement s’en passer… du moment que l’on dispose de l’infrastructure appropriée. Les sources publiques d’informations ne sont pas à négliger, et il est important de garder à l’esprit que les adwares peuvent contenir d’autres charges malveillantes que leurs publicités.
Splicing and Dicing 2014: Examining this Year’s Botnet Attack Trends – Nick Sullivan (CloudFlare)
Durant cette présentation, Nick Sullivan est revenu sur les tendances 2013-2014 des attaques impliquant des botnets.
Quatre types d’attaques sont présentés :
- DDoS ;
- DNS flood ;
- HTTP flood ;
- attaques sophistiquées (weaponized attacks).
Les DDoS identifiés par CloudFlare utilisent principalement les techniques d’amplification et de réflexion. Originellement, ces techniques ciblaient le protocole DNS, mais d’autres protocoles basés sur UDP peuvent aussi être exploités. Depuis 2013, le protocole NTP est lui aussi utilisé (attaque de Spamhaus en mars 2013, où le trafic a atteint 400 Gbps). La question se pose pour savoir quel est le prochain protocole qui sera exploité (SNMP ?).
Les attaques sur DNS (DNS flood) consistent en une requête d’un sous-domaine inexistant (traditionnellement généré aléatoirement) pour forcer le serveur à demander une résolution à ses serveurs d’autorité et à ainsi ralentir la chaine.
Sur le protocole HTTP, des attaques DDoS sont aussi pratiquées par des demandes d’URI aléatoires. Il est donc possible d’opérer des filtrages sur les user-agent ou sur des motifs récurrents identifiés durant l’attaque. Cependant, ce type d’attaque reste dangereux dans les cas où de larges botnets sont impliqués. CloudFlare a pu observer des attaques impliquant entre 1 000 et 50 000 bots.
Concernant les menaces depuis l’IPv6, et selon CloudFlare, celles-ci ne constituent que 0.05% du trafic malveillant.
Enfin, des attaques plus complexes sont aussi utilisées. Elles reposent principalement sur des vulnérabilités web du Top 10 OWASP, Shellshock ou Heartbleed. Les études montrent à ce sujet que les scans peuvent commencer dès l’heure suivant la publication d’une vulnérabilité.
Virus Tracker – Peter Kleissner (Kleissner & Associates)
Slides : https://www.botconf.eu/wp-content/uploads/2014/12/2014-1.7-Virus-Tracker.pdf
Le conférencier présente sa société, spécialisée dans la surveillance de botnets, revient sur sa création en 2012 et fait un retour d’expérience sur les difficultés rencontrées.
Le principe est de créer et maintenir une base de données de botnets pour ensuite pouvoir attribuer des échantillons de trafic suspect à un malware ou à un botnet spécifique. Les objectifs sont alors de permettre la surveillance de l’évolution des botnets, le partage des données avec leurs clients et le grand public, et la prévention des organisations qui seraient touchées.
Pour une petite structure disposant de moyens limités en temps, argent et matériel, les problématiques suivantes sont apparues :
- Il faut prendre en compte les différents modes opératoires des botnets : HTTP, peer-to-peer, IRC, TCP brut, etc. ;
- Un point d’entrée initial doit être découvert pour chaque botnet : analyser l’algorithme de génération de noms de domaines (DGA), trouver les pairs initiaux pour les bots peer-to-peer, etc. ;
- Le sinkholinga un coût : environ 6€ par an et par nom de domaine. Ce montant devient significatif quand des milliers de noms doivent être enregistrés ;
- Les botnets mettent parfois en œuvre des protections : authentification contre le crawling pour les botnets peer-to-peer, blocage des flux vers des domaines spécifiques contre le sinkholing, etc. ;
- Il est nécessaire de prendre en compte la mise à l’échelle pour le stockage des informations ;
- Des aspects juridiques peuvent intervenir : gestion des plaintes si des domaines sont saisis dans des opérations de démantèlement ou ajoutés dans des listes noires.
La solution apportée par le conférencier : automatiser au maximum, avec des outils développés spécifiquement en interne : crawlers pour parcourir les botnets peer-to-peer, enregistreurs de domaines, filtres à la collecte pour ne stocker que les informations pertinentes…
Afin d’extraire des informations des données collectées, un outil de corrélation et de visualisation a été mis en place. À l’avenir, le conférencier prévoit également de mettre les informations à disposition du grand public par l’intermédiaire d’une API.
Les discussions après la conférence ont également mis en avant un service de référencement pour noms de domaines utilisés pour le sinkholing afin d’éviter leur ajout dans des listes noires : https://sinkdb.abuse.ch
How to dismantle a botnet: legal behind the scenes – Karine e Silva (doctorante à l’université de Tilbourg (Pays-Bas) – @kar1nekks)
La conférencière présente les aspects légaux des opérations de démantèlement, ce qui les rend possibles et les différences d’approche entre l’Europe et les États-Unis. Elle s’appuie sur deux études de cas : GameOver ZeuS et Bredolab.
Les États-Unis se sont beaucoup impliqués dans les actions contre GameOver ZeuS. Les agences gouvernementales ont suivi trois axes principaux :
- Légitimer leur juridiction : du moment que des citoyens américains sont infectés, le droit américain permet d’engager des poursuites contre l’auteur des faits, même s’il réside dans un pays étranger ;
- Lancer des actions de déstabilisation : le FBI a émis un mandat d’arrêt contre le créateur présumé du botnet ;
- Coopérer avec les agences d’autres pays : des actions communes ont été lancées avec plusieurs pays européens.
Les actions contre Bredolab ont principalement été menées par les Pays-Bas :
- La branche cybercriminalité de la police néerlandaise a lancé une opération aboutissant à la prise de contrôle du botnet.
- Les autorités ont ensuite directement utilisé l’interface C&C pour informer les utilisateurs affectés.
Dans les deux cas, les opérations ont été « intrusives » pour les utilisateurs finaux d’un point de vue de leur vie privée. Alors qu’aux États-Unis, les retours sur l’opération ont été globalement positifs, les autorités des Pays-Bas ont été critiquées pour leur intrusion dans les systèmes des victimes, même si l’intention était bienveillante.
Ces résultats illustrent les différences entre le ressenti en fonction des cultures, et souligne la difficulté pour les autorités de protéger les citoyens sans enfreindre leur droit à la vie privée.
À voir aussi : Une publication de la conférencière sur l’approche européenne de la cyber-sécurité : http://policyreview.info/articles/analysis/europes-fragmented-approach-towards-cyber-security
Lightning talks – première session
De manière similaire au SSTIC, les lightning talks permettent de présenter un sujet en trois minutes.
Jumping over the airgap with Fancy Bear : présentation du malware Fancy Bear qui est capable d’infecter un ordinateur non connecté à Internet par clef USB et d’envoyer et recevoir des commandes via ce support.
3-Minute Incident Handling : outil de représentation des communications réseau via un système de graphes en les comparant avec des sources connues de malware : Malcom (https://github.com/tomchop/malcom).
Coordinated Malware Eradication : Microsoft a lancé un projet d’aide et d’échange dans la lutte contre la cybercriminalité (http://www.microsoft.com/security/Portal/mmpc/cme/malware_eradication.aspx).
Qakbot : présentation de l’évolution du stockage des données dans le malware Qakbot, qui utilise dans sa dernière version un système de chiffrement basé sur RC4.
Auto decryption of malware samples : présentation d’un outil permettant d’unpacker, déchiffrer et récupérer les fichiers de configuration ainsi que les webinjects des malware de type banker.
Macaroni : présentation d’une extension pour navigateur compatible avec VirusTotal et permettant d’effectuer des recherches en fonction des tags.
Data at scale : Discussion autour de la migration de données simples vers des données type « big data » en ajoutant une couche d’abstraction sur les données brutes.
