Botconf 2016 – troisième journée

JOUR 3

Titre : Nymaim Origins, Revival and Reversing Tales

Alberto Ortega de Fox-IT présente Nyamaim, une famille de virus découverte en 2013. Le but de cette famille est principalement de bloquer les postes et d’y déposer des ransomwares. En 2015, Nyamaim commence à télécharger Gozi IFSB, puis celui-ci est obfusqué avec les mêmes mécanismes que Nyamaim.

Nyamaim a attiré l’attention des chercheurs car il est hautement obfusqué et utilise de nombreuses techniques d’anti-analyse. Alberto Ortega nous présente donc ces techniques, comme l’anti-sandboxing utilisé, le chiffrement des communications, etc.

Finalement Alberto Ortega nous explique comment ce virus met en place une attaque de type MITB (Man-In-The-Browser) pour effectuer des transactions bancaires frauduleuses.

Slide : https://www.botconf.eu/wp-content/uploads/2016/11/PR18-Nymaim-ORTEGA.pdf

 

Titre : ISFB, Still Live and Kicking

IFSB est l’un des virus à visée financière les plus populaires. Maciej Kotowicz nous présente donc dans cette conférence les caractéristiques de ce virus.

Apparu en 2014, IFSB utilise des techniques d’anti-analyse, avec entre autres les fameuses techniques d’anti-virtualisation ou le chiffrement des chaines de caractères, le but étant de s’injecter dans le navigateur du poste infecté. En plus d’exploiter du DGA (Domain Generation Algorithm), IFSB utilise le réseau Tor pour ‘cacher’ ses serveurs de Command & Control.

Pour conclure, Maciej Kotowicz rappelle qu’IFSB est l’un des plus vieux virus à visée financière qui est encore en cours de développement et qui utilise des méthodes de communication complexes.

Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR20-ISFB-Kotowicz-.pdf

 

Titre: Challenges for a cross-jurisdictional botnet takedown

À 12h20, Margaritta Louca a présenté les différentes problématiques qu’Europol a rencontré durant son investigation contre le botnet Avalanche. En effet, l’absence de cadre légal universel rend les investigations difficiles et oblige à se conformer aux lois et juridictions des différents pays. Dans certains cas, les lois n’imposent aucune obligation de rétention des données menant ainsi à une perte des preuves potentielles.

Les techniques d’espionnage utilisées autrefois, notamment le wiretapping, se sont montrées inefficaces en raison des outils technologiques disponibles aujourd’hui (chiffrement des communications, utilisation de réseau anonymisants, crypto-monnaies, etc.)

Après 5 ans d’investigation, le botnet a finalement été fermé et 5 personnes liées à l’activité du botnet ont été arrêtées.

Plus d’information sur le site d’Europol: https://www.europol.europa.eu/newsroom/news/%E2%80%98avalanche%E2%80%99-network-dismantled-in-international-cyber-operation

 

Titre: Preventing File-Based Botnet Persistence and Growth

Après la pause déjeuner, Kurtis Armour (eSentire) a présenté quelques bonnes pratiques pour la sécurisation d’un parc Windows afin de se protéger contre les malware et les ransomware, en commençant par restreindre les droits attribués aux utilisateurs sur leur poste de travail. Concernant l’administration du parc, Kurtis rappelle l’existence de LAPS (Local Administration Password Solution), un outil Microsoft qui permet de gérer les comptes d’administration locaux de manière sécurisée (https://technet.microsoft.com/en-us/mt227395.aspx).

La plupart des infections se faisant via l’ouverture d’une pièce jointe (Excel, Word, JavaScript, VB, HTA, etc.) reçue par mail, l’approche de Kurtis consiste à bloquer l’exécution de ces scripts et macros via GPO. Deux méthodes sont proposées :

  • Désactivation totale du langage de script (via une clé de registre)
  • Modification de programme en charge de l’exécution des scripts (un double clic sur un script reçu par pièce jointe sera alors ouvert avec Notepad)

Concernant PowerShell, il recommande de désactiver totalement le langage, car il est difficile de bloquer uniquement certaines fonctionnalités. De plus, les anciennes versions de Powershell (inférieures à 5) contiennent peu de fonctionnalités de sécurité. Il est recommandé de supprimer les anciennes versions installées sur les postes.

L’utilisation d’Applocker et de Device Guard permet également de restreindre l’exécution de programmes inconnus sur le poste, et de se protéger contre les utilisations illégitimes d’outils spécifiques tels que MSBuild.exe.

Slides: https://www.botconf.eu/wp-content/uploads/2016/11/PR21-Preventing-File-Based-Botnet-Growth-and-Persistence-ARMOUR.pdf

 

Titre : Dridex Gone Phishing

Magal Baz et Gal Meiri de IBM Security’s Trusteer ont découvert en janvier 2016 un nouveau ‘Modus Operandi’ mis en place par l’équipe derrière Dridex. En utilisant la plateforme d’Andromeda, celui-ci ne s’injecte plus directement dans le navigateur (MITB).

Dridex utilise depuis janvier 2016 des redirections malveillantes vers un faux site répliquant le site original tout en proposant le bon certificat. Le principal de cette conférence est une démonstration du nouveau ‘modus operandi’ utilisé par Dridex.

 

Closing

En conclusion de ses trois jours de conférences, nous retiendrons l’implication de l’équipe organisatrice qui, cette année encore, a rondement bien mené l’organisation de l’événement, mais aussi les sponsors pour leurs aides, et bien sûr la qualité des conférenciers qui ont su proposer du contenu varié et intéressant.

La prochaine édition de la Botconf se tiendra à Montpellier du 5 au 8 décembre 2017.

 

(Liens vers les comptes-rendus des autres jours : jour 1jour 2)