Botconf : Résumé du 27 avril

Botconf : Résumé du 27 avril

Après 2 ans d’absence, la Botconf, conférence anglophone qui, comme son nom l’indique, couvre les sujets sécurité autour des Botnets, est de retour !
Plus de 300 participants étaient rassemblés à la Cité des congrès de Nantes.

La Botconf est présentée par Eric Freyssinet, Général de Brigade, commandant
en second de la gendarmerie dans le cyberespace

Nous publions au sein de notre blog une synthèse quotidienne des sujets abordés.

JOUR 1

JOUR1.1 – Behind the Scenes of QBot – Berk ALBAYRAK (@brkalbyrk7) – Ege BALCI (@egeblc)

La conférence étant TLP AMBER, nous vous invitons à vous rapprocher des conférenciers afin d’obtenir des informations sur leur travail concernant leur analyse technique du botnet QBot.
Une diffusion publique a été évoquée, sans pour autant évoquer de date de publication.


JOUR1.2 – RTM: sink-holing the botnet – Rustam Mirkasymov (@Ta1ien), Semyon ROGACHEV

La conférence avait pour objectif de nous présenter le botnet RTM, son fonctionnement et la méthode utilisée par les services de police de 5 pays afin de le stopper. La compromission initiale est généralement réalisée via une attaque de phishing. Une découverte de la machine compromise est ensuite réalisée par le malware afin d’y chercher des indicateurs financiers (ex : présence d’une URL bancaire dans l’historique de navigation, Wallet de cryptomonnaie, etc.).

Dans le cas où un indicateur est identifié, le malware télécharge une série de modules lui permettant d’investiguer et de récupérer les informations bancaires. L’agent malveillant tente ensuite un mouvement latéral afin de prendre le contrôle d’autres machines. Ce réseau contenant plus de 3700 bots a pu être démantelé, car l’adresse IP d’un serveur de contrôle était diffusée aux bots via des attributs publics exposés via l’API bitcoin. L’IP du serveur de contrôle a pu être modifiée via une transaction Bitcoin spécifique, vers un serveur contrôlé par les conférenciers.


JOUR1.3 – Private Clubs For Hackers : How Private Forums Shape The Malware Market – Olivier Beaudet-Labrecque • Luca BRUNONI • David Décary-Hétu (@ddhetu) • Sandra Langel

Cette présentation couvre une étude faite grâce à la collaboration entre l’Institut de Lutte contre la Criminalité Économique basée en Suisse et l’Université de Montréal.

Les chercheurs ont analysé deux forums proposant à la vente des binaires malveillants : un forum public et un forum d’accès privé. Une série de statistiques / comparaison de solutions vendues a été présentée. Les chercheurs ont pu ainsi prouver que la vente et le business autour des logiciels malveillants sur les deux forums étaient différents, étant donné la visibilité différente qu’il existe entre un forum facile d’accès et un forum où l’entrée y est contrôlée.


JOUR1.4 – Insights and Experiences from Monitoring Multiple P2P Botnets – Leon BÖCK (@spin_TUDa/@CYSEC_Darmstadt), Shankar Karuppayah, Dave Levin et Max Mühlhäuser

Cette conférence avait pour objectif d’expliquer le fonctionnement des botnets utilisant le protocole P2P, ainsi que la méthode utilisée par l’intervenant pour les traquer. Celui-ci nous a notamment présenté des statistiques sur les botnets Mozi et Hajime.


JOUR1.5 – TA410 : APT10’s distant cousin – Alexandre Côté Cyr et Matthieu Faou (@matthieu_faou)

Les conférenciers nous ont présenté l’analyse de 4 malwares associés au groupe TA410, ciblant des Universités, des corps diplomatiques et armées, dans des objectifs de cyberespionnage.
Les codes malveillants présentent des niveaux de complexité différents (obfuscation / résilience / fonctionnalités). L’exploitation est généralement initiée via du phishing et des documents RTF spécifiquement conçus ou via des scripts qui exploitent des serveurs vulnérables à des n-day (vulnérabilité sur Microsoft Exchange, ProxyLogon, ProxyShell, etc).
Une fois l’exécution obtenue, les charges malveillantes finales sont récupérées via certutil.
Les backdoors présentent alors différentes fonctionnalités, allant de l’exécution de commande à la capture de l’activité de l’utilisateur (captures d’écran, contrôle de la souris, etc.).

Une publication complète est prévue sur le sujet dans les prochains jours, accompagnée de règles de détection.


JOUR1.6 – Operation GamblingPuppet: Analysis of a multivector and multiplatform campaign targeting online gambling customers – Jaromir HOREJSI (@JaromirHorejsi) et Daniel Lunghi (@thehellu)

Cette conférence a présenté l’étude effectuée par deux intervenants de l’entreprise TrendMicro. L’exploitation initiale est réalisée par une application backdoorée (application de Chat) ou via un scénario Phishing couplé à une vulnérabilité d’injection de code JavaScript, durant lequel l’utilisateur est invité à installer une version à jour de Flash Player.

Les cibles sont multi-plateforme : Windows, MacOS et Linux.

La post-exploitation et une partie de l’infrastructure d’exploitation ont été présentées.

Enfin, une approche d’attribution du malware à un groupe d’acteurs malveillants a été évoquée.
Une première publication est disponible à l’adresse suivante : https://www.trendmicro.com/pt_br/research/22/d/new-apt-group-earth-berberoka-targets-gambling-websites-with-old.html

Un Blogpost complet sera publié sur le sujet sous deux semaines.


JOUR1.7 – Fingerprinting Bot Shops: Venues, Stealers, Sellers – Ian Gray, Bryan OLIVER et Austin Turecek

Le fonctionnement et l’évolution des marketplace de revente d’identifiants (logs) ont été présentés durant la conférence. Auparavant, les attaquants spécialisés dans le recel d’identifiants vendaient ces identifiants sur des plateformes telles que Raidforums, mais cela a évolué. Actuellement, des attaquants se sont mis à vendre des malwares spécialisés dans le vol d’identifiants (stealer malware). Ces stealers créent des réseaux de botnets qui remontent les identifiants contenus dans les navigateurs de leurs bots (ainsi que leurs cookies). Il est ensuite possible d’acheter ces identifiants sur des plateformes telles que Genesis. Les chercheurs ont notamment effectué une analyse afin d’identifier les pays les plus touchés, le nombre de logs en vente au fil du temps sur les différentes plateformes, ainsi que la possibilité de réutiliser ces identifiants afin de mener des campagnes sur les réseaux sociaux.


JOUR1.8 – How to Eavesdrop on Winnti in a Live Environment Using Virtual Machine Introspection (VMI) – Philipp BARTHEL (@cyberustech), Sebastian EYDAM, Werner Haas et Sebastian Manns (@Vapemon)

Les deux conférenciers de l’entreprise Cyberus nous ont présenté une méthode permettant de faire de l’analyse de malware en exécutant celui-ci à l’intérieur d’une machine virtuelle. Cette méthode permet de lire et de manipuler directement des processus (ainsi que leur zone mémoire) en temps réel sans être intrusif ni risquer de modifier leur comportement. Un cas concret basé sur l’analyse du RAT Winnti nous a également été exposé.


JOUR1.9 – Evolution of the Sysrv mining botnet – György LUPTÁK, Dorka PALOTAY et Albert Zsigovits

Cette conférence avait pour but de présenter l’évolution du botnet Sysrv. Une publication détaillée de cette évolution est disponible sur le site des chercheurs à l’adresse suivante : https://cujo.com/the-sysrv-botnet-and-how-it-evolved/.


Théophile

Analyste CERT-XMCO