Dernier jour de la VirusBulletin localhost

Dernier jour de la VirusBulletin localhost

Cette dernière journée concluait cette édition de la Virus Bulletin et nous a permis de découvrir notamment la localisation de la dernière conférence. Retour sur cette dernière journée !

Planning de la journée

Le planning de la journée était le suivant :

  • Graphology of an exploit – hunting for exploits by looking for the author’s fingerprints – (Timestamp : 00:36:09) Itay Cohen (Check Point Research) & Eyal Itkin (Check Point Research)
  • ML Security Evasion Competition 2020 – (Timestamp : 01:03:58) – Zoltan Balazs (CUJO AI) & Hyrum Anderson (Microsoft)
  • Hunting for malware with command line logging and process trees – (Timestamp : 01:32:32) – Ivan Vanja Svajcer (Cisco Talos)
  • Tonto Team: exploring the TTPs of an advanced threat actor operating a large infrastructure – (Timestamp : 02:17:50) – Daniel Lunghi (Trend Micro) & Jaromir Horejsi (Trend Micro)
  • XDSpy: stealing government secrets since 2011 – (Timestamp : 02:47:16) – Matthieu Faou (ESET) & Francis Labelle (ESET)
  • InvisiMole: first-class persistence through second-class exploits – (Timestamp : 03:32:17) – Zuzana Hromcová (ESET)
  • Clippy left some traces – (Timestamp : 04:05:25) – Christiaan Beek (McAfee)

 

Graphology of an exploit – hunting for exploits by looking for the author’s fingerprints

– Itay Cohen () & Eyal Itkin ()  – Check Point Research

Dans cette conférence proposée par des chercheurs de CheckPoint Research, ces derniers retracent une analyse qu’ils ont réalisée lors d’une réponse à incident pour attribuer la création d’un exploit à Volodimir via des patterns retrouvés dans le code.

Cette conférence a été l’occasion de mettre en lumière la subtile différence entre les développeurs d’exploits et ceux de malware ainsi que les techniques utilisables pour attribuer des fragments de code provenant du même développeur.

Paper : https://vblocalhost.com/uploads/VB2020-Cohen-Itkin.pdf

Slides : https://vblocalhost.com/uploads/VB2020-04.pdf

 

ML Security Evasion Competition 2020

– Zoltan Balazs () (CUJO AI) & Hyrum Anderson (Microsoft)

Cette présentation par Zoltan Balazs commence par présenter les résultats du concours evademalwareml.io (ayant eu lieu en 2019), destiné à améliorer les modèles d’antivirus basés sur le Machine Learning. Les participants du concours devaient par n’importe quel moyen, parvenir à tromper 3 modèles de Machine Learning sur 50 échantillons fournis par les organisateurs.

Sur 70 participants, 11 ont réussi à bypass au moins un modèle. Le présentateur a donc présenté les approches qui ont été utilisées et notamment celles ayant porté leurs fruits.

Cette année les organisateurs ont proposé mlsec.io, avec deux challenges. Pour les défenseurs, il était de créer un modèle de Machine Learning pour détecter les malwares. Pour les attaquants, il fallait développer des solutions de contournement en blackbox.

Slides : https://vblocalhost.com/uploads/VB2020-44.pdf

 

Dans cette conférence de Vanja Svajcer, le focus était porté sur les LoLBins (Living of the Land Binaries), des binaires légitimes du système d’exploitation, qui sont détournés par les attaquants pour réaliser une action malveillante (Ex: certutil, powershell, BITSAdmin, etc.).

Cette conférence était également l’occasion de mener une étude de cas sur deux acteurs malveillants abusant de ces binaires légitimes : Prometei et AZORult.

Paper : https://vblocalhost.com/uploads/VB2020-Svajcer.pdf

Slides: https://vblocalhost.com/uploads/VB2020-05.pdf

 

Tonto Team: Exploring the TTPs of an advanced threat actor operating a large infrastructure

– Daniel Lunghi (Trend Micro) & Jaromir Horejsi (Trend Micro)

Cette conférence de Trend Micro, a été l’occasion de présenter leurs recherches sur le groupe d’attaquants baptisé Tonto Team. Cette présentation détaille en profondeur les mécanismes des backdoors, des outils de post-exploitation, ainsi que l’infrastructure et notamment comment des erreurs de configuration ont permis aux chercheurs d’obtenir des nouveaux samples et une liste des cibles exploitées.

Paper: https://vblocalhost.com/uploads/VB2020-Lunghi-Horejsi.pdf

Slides : https://vblocalhost.com/uploads/VB2020-06.pdf

 

XDSpy: stealing government secrets since 2011

– Matthieu Faou (ESET) & Francis Labelle (ESET)

Les chercheurs d’ESET ont présenté une conférence  sur une APT non documentée de 2011 à 2020 qui ont ciblé plusieurs Ministères de pays d’Europe de l’Est (Belarus, Moldaivie, Serbie, Ukraine, Russie).

Étant donné le peu d’informations présent dans le code et le modus operandi des attaquants, les chercheurs d’ESET indiquent qu’il est plausible que ce groupe d’attaquants soit un groupe étatique.

Une partie est dédiée à leurs campagnes de Spearphishing avec des PPTs « réalistes » pour endormir la méfiance des utilisateurs et la présence de campagnes de désinformations.

L’architecture de leur malware est non usuelle et le groupe est enclin à utiliser des vulnérabilités dites 1-Day (c’est-à-dire corrigées récemment) comme la vulnérabilité CVE-2020-0968.

Un focus est ensuite réalisé sur les souches XDDown, XDList, XDMonitor et XDUpload, démontrant qu’un des objectifs principaux du groupe est de réaliser des opérations d’espionnage et d’exfiltration de données sensibles.

Slides : https://vblocalhost.com/uploads/VB2020-07.pdf

 

Cette deuxième conférence d’ESET était dédiée à un deuxième groupe d’acteurs étatiques : InvisiMole.

Ces acteurs réalisant également des opérations d’espionnage contre des organisations militaires et diplomatiques d’Europe de l’Est a pour particularité d’avoir coopéré avec le groupe Gamaredon.

Les chercheurs ont montré l’inventivité du groupe via leurs techniques d’exploitation de fonctionnalités Windows natives mais non documentées (notamment la bibliothèque wdigest.dll) qui permet d’exploiter une vulnérabilité de validation des entrées datant de Windows XP.

Slides : https://vblocalhost.com/uploads/VB2020-47.pdf

 

Clippy left some traces

– Christiaan Beek () – McAfee

Cette dernière conférence de cette édition 2020 de la VirusBulletin a été l’occasion de faire une étude en profondeur du format OOXML.

Ce format de Microsoft permet d’embarquer des fichiers XML dans une sorte d’archive. Ce format est notamment utilisé dans les documents Office (docX, xlsX, pptX…).

Christiaan Beek démontre comment via ce format, il a réussi à rapprocher les paramètres de certains fichiers OOXML et de les attribuer à une même campagne d’attaque (Operation North Star).

Slides : https://vblocalhost.com/uploads/VB2020-48.pdf

 

Ceci conclut ces 3 jours de conférences passionnantes. Ces dernières ont été l’occasion de découvrir de nouvelles techniques d’analyse et des cas concrets et variés d’attaques. Cette édition de la VirusBulletin est accessible librement à l’adresse suivante : https://vblocalhost.com/

Nous retrouverons la prochaine édition de la Virus Bulletin 2021 à Prague et en attendant, nous vous donnons rendez-vous dans le prochain numéro de l’ActuSecu pour un résumé et bien plus encore !

 


Aurélien Denis