Botconf 2017 – troisième journée

Liens vers les comptes rendus de chaque journée :

Formatting for justice: crime doesn’t pay, neither does rich text

Anthony Kasza • @anthonykasza • Palo Alto Networks

L’orateur présente le format texte riche (RTF) développé par Microsoft en 1987. Il explique que du contenu hexadécimal ainsi que des fonctions peuvent être interprétés directement et met en évidence les techniques utilisées pour insérer du code obfusqué dans certains objets RTF.

Il présente par la suite certains outils de génération de fichiers RTF embarquant du code à exécuter ainsi que des suites d’analyses comme rtfdump, rtfobj, pyRTF. Au-delà de l’analyse manuelle, il est possible d’identifier des motifs suspects avec de simples règles Yara surveillant les valeurs telles que insrsid, rsidtbl, ddeauto, etc.

Il termine sur l’utilisation de la fonctionnalité DDEAUTO, à laquelle nous avons déjà consacré un article.

Support de présentation.

PWS, common, ugly but effective

Paul Jung • @__Thanat0s__ • Excellium

Le conférencier présente un tour d’horizon des malwares voleurs de mots de passe (PWS, pour PassWord Stealer). Ces malwares peuvent en général aller subtiliser les informations suivantes :

  • Identifiants dans le navigateur
  • Fichiers de configuration
  • Base de registre
  • Wallets de cryptomonnaies
  • Numéros de série
  • Captures d’écran
  • Frappes clavier
  • etc.

Ces malwares sont distribués de manière assez visible sur des forums ; la situation est telle que les auteurs soignent la présentation du logiciel et fournissent des vidéos de publicité comparative pour mettre en avant leur produit. Une vraie économie parallèle…

Nyetya malware & MeDoc connection

Paul Rascagnères • @r00tbsd • Talos, Cisco

L’orateur revient sur l’incident Nyetya/NotPetya et présente comment Talos a pu remonter à la source de l’infection. Plusieurs de leurs clients rapportaient des infections alors que les systèmes honeypots de l’équipe n’enregistraient aucune nouvelle infection. Les analystes se sont donc tournés vers les S.I. de leurs clients pour finalement identifier M.E. Docs comme le point commun.

Le reste de la conférence présente une analyse détaillée du malware qui rappelle des informations déjà publiées, et compare au passage les caractéristiques de Nyetya et BadRabbit :

Math + GPU + DNS = cracking Locky seeds in real time without analyzing samples

Yohai Einav • Nominum, Akamai
Yuriy Yuzifovich • Nominum, Akamai

Les orateurs font un bref rappel de la popularité des ransomwares, qui tient a une raison simple : on a tous des données auxquelles on tient sur notre appareil. Ils présentent ensuite le mode de fonctionnement habituel d’un ransowmware, qui interroge son serveur C&C pour obtenir une clé de chiffrement utilisée dans l’infection. De ce fait, si les requêtes sont bloquées au niveau du DNS, il est possible de bloquer le fonctionnement du malware.

Le problème et que la grande majorité des ransomwares s’appuient sur des DGA (Domain Generation Algorithm) et utilisent donc des domaines éphémères pour les communications. Comme les générateurs de nombre pseudo-aléatoires, ces algorithmes restent prédictibles du moment qu’on connaît la « graine » avec laquelle ils ont été initialisés. Les chercheurs sont partis d’un principe simple : en connaissant l’algorithme utilisé et en observant des noms de domaines utilisés en direct, il est possible de retrouver la graine et donc de connaître tous les domaines qui seront utilisés par une campagne d’infection.

En utilisant le flux DNS accessible à Nominum (50 millions de domaines uniques par jour) et en connaissant le DGA utilisé par Locky, les orateurs ont pu mettre en place une plateforme de calcul parvenant à retrouver les graines utilisées dans des campagnes, en un temps raisonnable.

Hunting attacker activities – methods for discovering, detecting lateral movements

Keisuke Muda • JPCERT/CC
Shusei Tomonaga • @shu_tom • JPCERT/CC

Les orateurs présentent les méthodes de détections employées pour identifier les mouvements latéraux au sein d’un environnement Windows. Les travaux s’appuient sur des analyses concrètes de cinq APT ayant ciblé le Japon, en constatant que des motifs répétés apparaissent toujours.

Pour cela, ils s’appuient sur les journaux internes de Windows et ceux générés par l’utilitaire Sysmon, qui peut fournir des informations complémentaires. L’intérêt de cette démarche et de détecter les motifs s’appuyant sur des outils légitimes ou n’étant pas directement associés à des malwares (comme PsExec), qui ne seront donc pas détectés par un antivirus.

Le résultat des recherches a été publié sous forme de site Web, décrivant chaque outil et comportement testé et les traces associées.

Malware, penny stocks, pharma spam – Necurs delivers

Jaeson Schultz • @jaesonschultz • Talos, Cisco

L’orateur présente l’historique du botnet Necurs. Repéré pour la première fois en décembre 2012, il est responsable de la diffusion de 90% des e-mails de spam observés par Cisco. Parmi les caractéristiques intéressantes liées à ce botnet, on peut noter les points suivants :

  • Très peu d’adresses IP sont réutilisées, rendant ce type de marqueur inutile pour le suivi ou le blocage du spam
  • La distribution semble se faire sur des adresses issues de fuites de données et sur des « alias » communs (ex. admin, webmaster, info, sales)
  • La diffusion de Locky se fait principalement par ce botnet

Thinking outside of the (sand)box

Łukasz Siewierski • @maldr0id • Google

L’orateur présente les nouvelles mesures de sécurité implémentées dans les dernières versions d’Android, notamment le sandboxing d’application qui permet une granularité dans le système de permissions.

Face à cette situation, les auteurs de malware s’appuient sur trois méthodes principales :

  • L’ingénierie sociale : mettre en avant des messages laissant penser à l’utilisateur que les permissions requises sont légitimes.
  • Exploiter un composant déjà présent : Xposed est un framework permettant de « hooker » les appels système, généralement utilisé par les « modeurs » pour altérer le comportement de leur appareil. Si le composant est actif, le malware n’a qu’a se greffer aux demandes de permissions pour les accorder automatiquement. A noter que Xposed est un composant assez « bas niveau » doit être installé manuellement et ne concerne donc pas la majorité des cibles potentielles de malwares.
  • Rooter le terminal : exploiter une vulnérabilité sur l’appareil s’agit en définitive de la méthode la plus directe pour contourner les protections en place.

Advanced threat hunting

Robert Simmons • @MalwareUtkonos • Threat Connect

L’orateur commence par rappeler qu’il y a plusieurs types de Threat Intelligence, chacune avec ses méthodes et ses applications :

  • Tactique
  • Technique
  • Opérationnelle
  • Stratégique

La présentation se concentre sur le côté tactique. Considérant que la plupart des équipes ont effectif restreint, il faut faire avec des ressources limitées et un flux constant de données et d’informations. Il est donc impératif de rationaliser les tâches au maximum. Quelques exemples sont donnés :

  • Automatiser au maximum les tâches sans valeur ajoutée (analyse de malware de premier niveau)
  • Faciliter le partage et la traçabilité des indicateurs (centraliser et versionner toutes les règles de détection)
  • Ordonner le traitement des alertes pour se concentrer sur les évènements les plus pertinents (importance haute, fiabilité de l’indicateur haute)
  • Définir des indicateurs de performance pour évaluer l’efficacité du système et identifier les points d’amélioration