Botconf : Résumé du 28 avril

Botconf : Résumé du 28 avril

Cet article présente le contenu de la seconde journée de la conférence Botconf ayant lieu cette année à Nantes.

Aperçu de la première conférence de la journée présentée par Max Kersten

JOUR 2

JOUR2.1 – Identifying malware campaigns on a budget – Max Kersten (@libranalysis), Rens VAN DER LINDEN (@KuiilSec)

Les deux chercheurs nous ont exposé la manière dont ils ont analysé plusieurs campagnes d’attaque par malware en partant d’un budget de 70€. La méthodologie qui nous a été communiquée s’est basée sur un Raspberry PI 3B+ afin de mener une classification par similarité entre différentes campagnes de mails malveillants. Celle-ci s’est notamment basée sur les algorithmes de distance de Levenshtein ainsi que sur un algorithme de hachage perceptuel afin d’identifier la similarité entre les images des différents mails.


JOUR2.2 – See ya Sharp : A Loader’s Tale – Max Kersten (@libranalysis)

Cette conférence avait pour but de faire découvrir l’évolution des loaders CyaX-Sharp et ReZer0. L’intégralité des recherches présentées ont été publiées sur le site du chercheur à l’adresse suivante : https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/see-ya-sharp-a-loaders-tale/


JOUR2.3 – Into The Silent Night – Yuta Sawabe, Ryuichi Tanabe

Le système exposé par le conférencier a pour but d’obtenir l’accès aux serveurs de Command & Control (C2) de campagnes utilisant le loader nommé Silent Night (anciennement Zloader). Ce système démarre par la récupération d’échantillons de malwares sur des sites tels que VirusTotal. Celui-ci extrait ensuite la configuration des malwares afin de se connecter aux serveurs C2 afin de récupérer les logs de ces serveurs. Le chercheur s’est basé sur 453 échantillons de loader provenant principalement des États-Unis. Le chercheur a également réussi à identifier la manière dont sont générés les nouveaux domaines des serveurs C2 à l’avance (ce qui lui permet d’y accéder avant même que l’attaquant s’en serve).


JOUR2.4 – A fresh look into the underground card shop ecosystem – Beatriz PIMENTA KLEIN et Lidia LÓPEZ SANZ

Durant cette présentation, plusieurs méthodes de vol de données de cartes bancaires et de revente de ces informations nous ont été exposées. Les chercheuses ont effectué une revue des prix et des fonctionnalités des marketplaces Brian’s Club, Legendary Rescator et Ferum. Une analyse des acteurs présents derrière ces sites ainsi que de certaines pages de phishing ciblant les utilisateurs des sites de carding nous a également été exposée.


JOUR2.5 – Yara: Down the Rabbit Hole Without Slowing Down – Dominika Regéciová

Le but de cette conférence était de nous présenter le langage YARA, ainsi que ses évolutions au fil du temps. Des méthodes d’optimisation des scripts de recherche à l’aide d’atomes (des chaines de caractères fixes à rechercher), la spécification de la longueur des chaines de caractères recherchées au sein des expressions régulières, et l’utilisation de modifiers ont été présentées. Des améliorations applicables aux conditions ont aussi été proposées.


JOUR2.6 – Detecting emerging malware on cloud before VirusTotal can see it – Ali Fakeri-Tabrizi, Gan Feng, Hongliang Liu, Thanh Nguyen, Andreas PFADLER, Anastasia POLIAKOVA et Yuriy YUZIFOVICH

Cette conférence nous a été présentée par deux chercheurs de l’entreprise Alibaba Cloud. La problématique de cette conférence consistait à définir une méthode permettant de classifier et d’identifier de nouveaux malwares n’ayant pas été scannés et identifiés par VirusTotal. La méthodologie qu’ils ont utilisée s’est basée sur la librairie ssdeep ainsi que sur un échantillon de 100 millions de malwares (notamment XorDDoS). Cette méthodologie a permis d’obtenir une meilleure identification des virus polymorphiques que celle fournie par l’utilisation seule de VirusTotal.

Un papier détaillé de la conférence sera disponible très prochainement.


JOUR2.7 – Warning! Botnet is in your house… – Vitaly SIMONOVICH (@CyberJoker) et Sarit Yerushalmi (@sarity85)

Cette conférence nous a été exposée par deux chercheurs de chez Imperva. Durant cette conférence, ils nous ont présenté leurs recherches et la découverte du botnet KashmirBlack. Ce botnet se propage grâce à l’exploitation de plusieurs CVE permettant la prise de contrôle d’un système à distance.

Un papier détaillé est disponible sur leur site à l’adresse suivante : https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i/


JOUR2.8 – How Formbook became XLoader and migrated to macOS – Alexey BUKHTEYEV et Raman LADUTSKA

Durant cette conférence, nous avons découvert l’évolution du loader Formbook en XLoader. En effet, celui-ci est devenu multiplateforme (incluant MacOS en plus de Windows) et son évolution en XLoader est apparue en 2021. Plusieurs améliorations de XLoader ont été publiées par son développeur au cours des derniers mois à la suite des recherches publiées par checkpoint. Ces évolutions ont été analysées et nous ont également été présentées.

Un article détaillé écrit par ces deux conférenciers est accessible sur le site de Checkpoint à l’adresse suivante : https://research.checkpoint.com/2021/time-proven-tricks-in-a-new-environment-the-macos-evolution-of-formbook/


JOUR2.9 – SandyBlacktail: Following the footsteps of a commercial offensive malware in the Middle East – Vasiliy Berdnikov, Aseel KAYAL, Mark Lechtik et Paul Rascagneres

La conférence étant TLP AMBER, nous vous invitons à vous rapprocher des conférenciers afin d’obtenir des informations sur leur travail concernant leur analyse technique du malware “KrabbyPatty”.


JOUR2.10 – Smoke and Fire – Smokeloader Historical Changes and Trends – Marcos ALVARES (@marcos_alvares)

Cette conférence nous a été présentée par un chercheur ayant analysé les différentes versions de SmokeLoader depuis son apparition en 2011. Durant cette conférence, il nous a exposé les évolutions qu’il a constatées au sein du code, ainsi que des statistiques sur l’évolution de ses modules. Une statistique intéressante qui nous a été présentée est l’évolution de l’infrastructure associée, et le passage d’une infrastructure principalement russe à une infrastructure ayant des serveurs dans le monde entier (et notamment en Allemagne et aux États-Unis).


JOUR2.11 – PARETO: Streaming Mimicry (Sponsor technical talk) – Inna V (@innavasilyeva)

Le sujet de cette conférence était le botnet PARETO, qui s’installe sur les smartphones android via certaines applications disponibles sur le store google play. Le SDK “TopTopSDK” intégré dans ces applications se connectait à des serveurs de command and control donnant des instructions aux appareils infectés pour lire des publicités (en arrière plan, sans les afficher à l’écran), afin de faire toucher aux attaquants les revenus générés par ces publicités.

Une publication détaillée est disponible à l’adresse suivante : https://www.humansecurity.com/learn/blog/disrupting-pareto


La journée s’est terminée avec une série de courtes conférences d’une durée de 3 minutes suivie d’une soirée de gala.


Théophile

Analyste CERT-XMCO