Botconf 2016 – première journée

Comme l’année dernière, Intrinsec était présent cette année à la Botconf –  https://www.botconf.eu/

Cette 4ème édition  s’est déroulée à Lyon, au sein de l’université Lyon 2 du 30 Novembre au 2 Décembre.

JOUR 1

(Liens vers les comptes-rendus des autres jours : jour 2 & jour 3)

 

Titre: Locky, Dridex, Necurs: the evil triad

La première conférence intitulée « Locky, Dridex, Recurs: the evil triad » est présentée par Jean-Michel Picot (Google), qui présente les différents malware du point de vue de Gmail, en expliquant les difficultés à les identifier sur la plateforme. En effet, les attaquants utilisent une multitude de vecteurs différents afin d’infecter leurs victimes, tels que les fichiers « doc », « docx », « MSO », « RTF »,  etc. De plus, le fait que seuls les droppers (et non les malware entiers) soient transmis par email rendent leur classification difficile. Il est également possible d’obfusquer le même dropper plusieurs fois ou via différents outils.

Le conférencier présente un retour d’expérience sur les campagnes de phishing ayant eu lieu vers Mars 2015. Il explique que les attaques ont lieu par vague, avec de fortes montées le weekend. D’après les informations que Google a pu collecter et analyser, il n’est pas impossible que Locky et Dridex partagent une même infrastructure. Aujourd’hui, le botnet Necurs a été fermé et l’opérateur principal arrêté.

La dernière partie de la présentation est focalisée sur les méthodes d’évasion utilisées par les malware, telles que :

  • l’utilisation de commandes JScript en commentaire, afin de provoquer l’arrêt des antivirus
  • l’obfuscation de différents mots-clés (notamment ‘eval’)
  • l’utilisation des composants COM, qui ne sont pas sensibles à la casse en JScript, mais le sont en Javascript
  • l’utilisation de la commande ‘sleep’ afin de détecter la présence de sandbox

 

Titre : Visiting the Bear’s Den

Cette présentation a pour but d’expliquer la méthodologie du groupe de hacker Sednit (aussi connu comme APT28, fancy bears, etc). Après un court rappel de l’historique de ce groupe ainsi que de ses cibles classiques (ambassades et ministères), Jessy Campos nous présente la façon d’opérer de ce groupe.

La phase d’infection du groupe est classique, avec l’utilisation du spear phishing et l’imitation d’URL connues afin de diriger la victime vers une page comprenant un Exploit Kit (nommé SEDKIT). L’exploit compromet alors le poste via différentes CVE afin d’y déposer SEDUPLOADER qui permettra au groupe de pouvoir télécharger d’autres binaires, comme SEDRECO, XAGENT, DOWNDELPH, mimikatz ou autres.

Une fois les actions de persistance et les déplacements latéraux effectués, les attaquants extraient les mots de passe des victimes via des keyloggers ou des captures d’écran.

Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR01-Visiting-Bears-Den-CAMPOS.pdf

 

Titre: Lurk: the story about five years of activity

Reprise des conférences à 14h00 après la pause déjeuner avec « Lurk: the story about five years of activity » présenté par Vladimir Kropotov et Fyodor Yarochkin (Trendmicro). La conférence fut focalisée sur le groupe LURK, dont l’activité remonte à 2011. Les recherches menées par Trendmicro sont basées sur des journaux de proxy qui mettent en évidence que l’infrastructure utilisée n’a que peu changé depuis le début des opérations : URL simplistes « [A-Z0-9]{4} », noms de fichiers inchangés (indexm.html), etc. Certaines de ces spécificités sont similaires à celles de l’exploit kit Angler (telles que l’injection de payloads directement en mémoire), ce qui laisse penser que les deux groupes sont étroitement liés.

Le groupe LURK se base sur l’exploitation directe de sites et l’ajout d’iframes malveillantes, ou des réseaux publicitaires afin de répandre leurs malware en exploitant principalement des vulnérabilités Flash et Java. Tout comme Necurs, le groupe avait pour habitude de lancer leurs campagnes le weekend, ou la veille de vacances.

Enfin, la présentation s’est terminée par une vidéo de l’arrestation du groupe par les forces de l’ordre russes.

Slides: https://www.botconf.eu/wp-content/uploads/2016/11/PR02-LURK-KROPOTOV.pdf

 

Titre : Browser-based Malware: Evolution and Prevention

Présentée par Yandex Security, cette conférence nous montre les techniques permettant d’effectuer des attaques de type MITB (Man-In-The-Browser), d’abord via des techniques basiques, puis via de nouvelles techniques utilisées par les virus.

Le principe du MITB est donc d’injecter du code malveillant directement dans le navigateur du poste infecté pour insérer du JavaScript sur les pages intéressantes, souvent les pages des banques, de mails ou des réseaux sociaux. Cependant, cette technique peut rencontrer des problèmes, notamment avec la mise à jour des navigateurs qui peut rendre les virus inopérants, les ‘app container’ qui complexifient les injections ou encore le nombre important d’IOC présents sur le poste, etc.

Les chercheurs de Yandex Security nous expliquent donc comment les MITB ont évolué pour utiliser les extensions des navigateurs, ou les proxies WFP (Windows Filtering Platform) qu’ils explicitent à travers des exemples.

La conférence se conclut sur quelques moyens de détecter ces MITB ainsi que les résultats obtenus par l’équipe sécurité de Yandex.

Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR03-Browser-based-Malware-Evolution-and-Prevention-KOVALEV-SIDOROV.pdf

 

Titre : Language Agnostic Botnet Detection Based on ESOM and DNS

Deux chercheurs de Ruag nous proposent dans cette conférence une façon de détecter les Botnet via une méthode agnostique. Pour cela, les chercheurs ont développé ESOM (Emergent Self-organizing Maps), qui est un réseau de neurones artificiel.

Les chercheurs nous présentent donc cet outil, l’architecture utilisée, mais aussi les botnets utilisés pour ‘entrainer’ l’algorithme. Ainsi la méthode permet de catégoriser les botnets en fonction du DNS utilisé.

Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR04-ESOM-DNS-MANDRYSCH.pdf

 

Titre : Vawtrak Banking Trojan : A Threat to the Banking Ecosystem

Pour cette présentation, deux chercheurs de Blueliv, Raashid Bhat et Victor Acin nous présentent le cheval de Troie Vawtrak. Anciennement connu sous le nom de Neverquest, ce cheval de Troie est apparu en novembre 2013 et fait maintenant partie du top 5 des chevaux de Troie à visée financière.

Après une présentation sur les spécifications techniques de Vawtrak, comme son packer ou la configuration des bots, les deux chercheurs nous montrent les communications avec le serveur de Command & Control, notamment le chiffrement employé.

Les chiffres du botnet sont aussi explicités, comme le nombre d’infections, les pays les plus touchés ou encore le nombre d’IOC détectés, et l’infrastructure des deux groupes opérant ce botnet : Moskalvzapoe et Vawtrak Group.

Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR05-Vawtrak-ACIN-BHAT.pdf

 

Titre : Snoring Is Optional: The Metrics and Economics of Cyber Insurance for Malware Related Claims

Wayne Crowder nous présente dans cette conférence les assurances ayant pour but de couvrir les risques numériques. Il remarque que les coûts des fuites de données augmentent radicalement d’année en année. Ainsi, il liste ce que les assurances peuvent couvrir sur les risques numériques :

  • Fuite de données
  • Virus
  • DDoS
  • Etc.

La suite de la présentation vise à expliquer quels sont les avantages des assurances ainsi que les points à vérifier afin d’être sûr d’avoir une bonne couverture en cas de compromission.

En conclusion, il nous explique que les assurances dans le domaine du numérique vont se développer pour complémenter la sécurité opérationnelle.

Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR06-SnoringOptional-WC-Botconf2016.pdf

 

(Liens vers les comptes-rendus des autres jours : jour 2 & jour 3)