Intrinsec était présent lors de la seconde édition de la Botconf qui s’est déroulée du 3 au 5 décembre à Nancy. Les vidéos et les slides sont disponibles à l’adresse suivante : https://www.botconf.eu/botconf-2014/documents-and-videos/
Ce compte-rendu concerne la dernière journée du 5 décembre 2014.
A New Look at Fast Flux Proxy Network – Dhia Mahjoub (OpenDNS, MalwareMustDie!)
L’objectif de cette conférence était de présenter l’utilisation des réseaux Fast Flux Proxy par des botnets comme Kelihos ou encore Zbot et l’avantage apporté par ce type d’infrastructure.
Les réseaux Fast Flux consistent en la résolution d’un unique nom de domaine par plusieurs adresses IP avec des enregistrements très courts qui changent très souvent. Ainsi, lors de l’accès à une URL, le client peut être redirigé vers n’importe quelle machine du botnet. Ces machines proxyifient ensuite les commandes et les données vers le C&C. Du fait de ce type d’infrastructure, une URL trouvée durant l’analyse d’un composant ne permet de remonter directement vers le C&C mais seulement vers une machine compromise faisant office de proxy.
Les auteurs présentent une technique permettant d’énumérer les composants Zbots à partir d’une petite liste de domaine initial. Les domaines de cette liste sont résolus, donnant ainsi une liste d’IP qui sont à leur tour résolu (de manière inverse). Les domaines ainsi récupérés sont ensuite réintroduits dans la procédure.
D’une part, cette technique permet d’évaluer la taille du réseau Fast Flux, dans le cadre de Zbot, les IP utilisées proviennent d’environ 651 AS avec à peu près 7600 IP toujours en activité (pour Kelihos, c’est 221 AS, avec 2600 IP qui ont été identifiées). D’autres part, les domaines énumérés permettent d’être comparés avec des logs DNS pour avoir une idée du nombre de machines infectées. Sur une recherche de 24h, c’est 10000 IP uniques qui ont été ainsi identifiées comme infectées, principalement situées aux US.
Pour finir, il est expliqué que le réseau Fast Flux de Zbot, est aussi utilisé par d’autres malwares comme ZeuS, Citadel, Asprox, etc.
Botnets of *NIX Web Servers – Evgeny Sidorov et Andrew Kovalev (Yandex security team)
Les conférenciers présentent l’intérêt pour les bot herders de cibler les serveurs UNIX ; représentés en grande partie par Linux et FreeBSD. L’intérêt est considérable : des millions de serveurs Web non sécurisés sont accessibles sur Internet. Ils sont généralement plus puissants que les PC de particuliers et allumés en permanence. Un botnet de serveurs offre également de nouvelles possibilités de monétisation : SEO « black hat », vente d’accès distants (shells), envoi de spam… Plusieurs malwares rencontrés par les conférenciers sont présentés : Mayhem, Darkleech, Trololo_mod, Effusio, ebury et cdorked.
Les machines sont généralement compromises par des outils automatisés : recherche d’identifiants triviaux, attaque de CMS mal configurés, exploitation de vulnérabilités systèmes (ex. shellshock)… Souvent, un webshell est déposé (WSO, C57, ou d’autres scripts personnalisés).
Les processus des serveurs Web s’exécutant en général avec des privilèges limités, les malwares comprennent des fonctions d’élévation de privilèges : brute-force de mots de passe, réutilisation d’identifiants obtenus par d’autres bots, vulnérabilités noyau…
Souvent, le canal C&C prend la forme d’une application Web, on peut alors constater que les créateurs des codes malveillants sont de meilleurs développeurs C que PHP : les interfaces sont pour la plupart vulnérables à des failles Web classiques, qui facilitent les opérations de démantèlement : contournement d’authentification, Cross-Site Scripting, inclusion de fichiers, listing de répertoires…
En conclusions, les botnets de serveurs Web sont une réalité et sont très lucratifs pour leurs contrôleurs.
Pour en savoir plus : une publication concernant le rootkit ebury https://www.cert-bund.de/ebury-faq
DNS Analytics, Case Study – Osama Kamal (Q-CERT)
Slides : https://www.botconf.eu/wp-content/uploads/2014/12/2014-3.3-DNS-Analytics-Case-Study.pdf
La conférence a présenté un système permettant de détecter les infections dans une entreprise uniquement à partir d’une analyse des logs DNS. En effet, l’auteur nous rappelle que les noms de domaine sont largement utilisés pour les contacts entre malware et C&C ainsi que dans la distribution des malwares, d’où l’importance de surveiller ce type d’évènements.
Ce système est illustré par un cas concret, une collecte de 72 millions de logs DNS est effectuée où seuls les noms de domaine sont conservés. Un tri des noms de domaine est ensuite réalisé pour ne garder que des noms de domaines uniques. Dans ce cas précis, cela permet de ne garder que 460 000 domaines. Les noms de domaines locaux sont ensuite retirés, faisant arriver le total à 270 000. Ensuite, chaque nom de domaine est comparé avec une liste blanche. Chaque nom de domaine présent dans cette liste et retiré du total. Ce tri permet de ne garder que 14 000 domaines. Enfin, des vérifications automatiques sont réalisées sur les motifs des noms de domaine notamment et des recherches de mots clefs dans le domaine. Cette dernière étape permet de réduire le total de domaines à 500. Enfin, pour réduire ces domaines, des vérifications manuelles sont réalisées via des filtres sur les heures des requêtes, des recherches sur Google / Virus Total, Domains Tools, etc.
À l’issue de la vérification manuelle, 70 domaines sont identifiés comme malveillants et ont été requêtés par 44 hôtes indiquant ainsi la probable compromission de ces hôtes.
Cependant, ce système n’est pas encore terminé, le temps dépensé en vérification manuelle n’est pas considéré comme satisfaisant et des recherches sont en cours pour réduire ce travail.
Malware and botnet research at LORIA – Jean-Yves Marion (Directeur du LORIA)
Le conférencier présente un tour d’horizon des méthodes d’analyse de malwares appliquées au sein du LORIA ainsi que les sujets de recherche en cours.
Une des problématiques est la difficulté présentée par les techniques anti-analyse : obfuscation du code, cryptographie, code automodifiable, instructions superposées… L’exemple de Telock est cité, qui comporte 18 couches de chiffrement entre le binaire initiale et la charge malveillante. Pour répondre à ces techniques, une approche dynamique est appliquée. L’exécution du malware est tracée dans une sandbox. A chaque itération, le binaire est sauvegardé pour analyse ultérieure et des heuristiques sont appliquées pour différencier le code des données.
Pour traiter le cas spécifiques des instructions superposées, un projet est en cours de développement au LORIA : Codisasm.
Un autre sujet abordé est l’identification de fonctionnalités spécifiques dans les malwares par analyse morphologique. Décrite simplement, la méthode consiste à construire des signatures (des graphes d’exécution abstraits) et d’identifier des sous-graphes dans ces signatures. Par exemple, en construisant les signatures de fonctions de chiffrement connues (extraites d’OpenSSL), il a été possible de trouver des correspondances avec dans Waledac, connu pour utiliser des primitives cryptographiques.
Operation Emmental – David Sancho – @dsancho66 (Trend Micro FTR)
La conférence présente un retour d’expérience sur DNSChanger, qui a commencé à se propager en 2007 pour être démantelé en 2011.
L’infection se faisait par des documents .rtf malveillants envoyés par e-mail. La charge malveillante n’effectuait que deux actions simples avant de se déinstaller : modifier les adresses des serveurs DNS de la machine et installer un certificat comme autorité de confiance.
Les attaquants ciblaient des banques spécifiques. Lorsqu’une requête DNS vers ces banques était reçue par les serveurs contrôlés par les attaquants, une fenêtre pop-up était présentée à l’utilisateur. Prétextant un renforcement des mesures de sécurité, la pop-up demandait à l’utilisateur de fournir son identifiant, mot de passe et d’installer une application Android pour servir de mécanisme d’authentification forte. Il s’agit évidemment d’une application malveillante dont le but est de donner accès au terminal aux contrôleurs du botnet. Si un utilisateur est piégé, les attaquants contrôlent alors tous les éléments pour réaliser des transactions frauduleuses.
Le conférencier s’attarde sur la crédibilité de l’attaque. Les opérations techniques réalisées par le malware sont relativement simples, et le mode d’opération transparent peut tromper la confiance d’utilisateurs, même avertis : les noms de domaine vus par l’utilisateur restent authentiques, son navigateur indique que le site est chargé en HTTPS avec un certificat de confiance…
L’analyse des attaques n’était pas aisées, les campagnes lancées par les attaquants étant de courte durée. Les premières progrès ont pu être effectués quand les serveurs hébergeant les applications Android malveillantes ont été identifiés, permettant de remonter la trace des différents serveurs en cherchant les domaines enregistrés par la même entité. Faisant écho à la conférence sur les botnets de serveurs Web, l’orateur indique que les interfaces de contrôle des serveurs DNSChanger présentaient des failles qui ont permis d’identifier les connexions des contrôleurs.
ZeuS meets VM – Story so far – Maciej Ktowicz (CERT-PL)
Slides : https://www.botconf.eu/wp-content/uploads/2014/12/2014-3.6-ZeuS-Meets-VM-%E2%80%93-Story-so-Far.pdf
La Botconf s’est terminée par une présentation sur le malware ZeuS et plus précisément sur tous ses enfants qui se sont développés après la publication du code source de ZeuSv2 en 2009-2010 :
- ZeuSv2
- ICEX
- Citadel
- PowerZeus
- KiNS
- ZeuSVM (ressemble à KiNS)
Tous ces malwares sont des trojans bancaires qui ont pour but de voler des identifiants généralement relatifs aux comptes en banque mais tendent à diversifier le type d’identifiants qu’ils sont capables de subtiliser.
Chaque version diffère dans les méthodes d’injection utilisées, l’organisation du code et la cryptographie utilisée. En effet, si au départ ZeuSv2 utilisait simplement RC4, par la suite les autres versions ont ajouté d’autres systèmes de chiffrement comme AES.
Ensuite, l’auteur nous présente la récupération des fichiers de configuration utilisés par les malwares et introduit aussi une bibliothèque python développé par l’auteur contenant tous les outils qu’il a développés pour aider dans l’analyse des malware bancaires : libzpy.
Libzpy : https://github.com/mak/libzpy
Bilan de ces trois jours de conférences : une trentaine d’interventions pour la plupart très intéressantes et une organisation bien préparée qui donnait de nombreuses opportunités pour rencontrer et discuter avec les participants.
La journée s’achève par une petite cérémonie de clôture animée par Eric Freyssinet où il remercie son équipe, les conférenciers, et donne rendez-vous à tout le monde à Paris en 2015, où la 3e édition de la Botconf aura lieu du 2 au 4 décembre 2015.
