Retour sur l’édition 2018 de la Botconf par le CERT-XMCO

Retour sur l’édition 2018 de la Botconf par le CERT-XMCO

Le CERT-XMCO a participé à la 6e édition de la Botconf qui s’est déroulée à Toulouse, au début de ce mois de décembre 2018.

L’université Toulouse Paul Sabatier accueillait pour cette occasion les participants, venus des quatre coins du monde.

Vous trouverez ci-dessous un extrait des conférences, en attendant la publication de l’intégralité des résumés au sein du prochain numéro de notre ActuSécu.

Pour la première fois de son histoire, la Botconf a presque dépassé les 400 participants (398 !) pour 27 présentations et 2 Keynotes. Preuve, si besoin était, de l’importance de cette conférence sur la scène actuelle. Toujours conduite par Eric Freyssine et son équipe, c’est sans accroc et avec beaucoup de plaisir que cette édition s’est déroulée.

Swimming in the Cryptonote Pools, by Emilien LE JAMTEL

SYNOPSIS / SLIDES

C’est sur une conférence dédiée aux crypto-mineurs que cette 6ème édition de la BotConf s’est ouverte. Le speaker nous présente ici le résultat de son étude de ce type de malware.

La majorité d’entre eux utilisent des monnaies basées sur Cryptonote comme Monero, ou encore Aeon ou Sumokoin. Celles-ci ont de multiples avantages. Elles permettent de conserver son anonymat, puisque les blockchain ne sont pas explorables librement. De plus, n’importe quel hardware peut être utilisé pour miner, même les smartphones. En outre, afin d’améliorer le rendement, les attaquants se joignent à des agrégations de mineurs, appelés mining pools.

La première étape nécessaire à toute analyse est la récolte d’échantillons. L’utilisation de règle YARA couplée à des regex a permis l’élimination de faux positifs, notamment via la validation d’adresses de portefeuille. L’analyse des souches a été complexifiée par l’obfuscation du code, le besoin de décompiler et d’utiliser des sandbox. Toutefois, le protocole Stratum, qui est utilisé par les mining pools, se basent sur JSON et n’est pas chiffré. Ceci facilitant grandement les études et permet d’extraire sans difficulté les adresses de portefeuille utilisées.

Enfin, la majorité de ces mining pools exposent une API, généralement documentée et expose les informations nécessaires à la connexion. Toutes permettent la récupération de statistique concernant un portefeuille. D’après l’analyse conduite, la pool monero.crypto-pool.fr est actuellement la plus utilisée.

 

APT Attack against the Middle East: The Big Bang, by Aseel KAYAL

SYNOPSIS / SLIDES

Aseel KAYAL a présenté une APT visant les autorités palestiniennes (une campagne similaire avait été identifiée par Talos en juin 2017). Cette nouvelle campagne a été nommée « The Big Bang » en référence aux noms des personnages de la série « The Big Bang Theory » utilisés pour définir les noms des commandes du C&C (une série turque est également utilisée « Resurrection: Ertugrul »). Voici quelques exemples :

 

  • Penny : pour la prise de screenshots sur la machine infectée ;
  • Wolowitz_Helberg : pour l’énumération des processus en cours d’exécution ;
  • Celal_Al : pour l’énumération de documents avec une extension spécifique (doc, docx, odt, xls, xlsx, ppt, pptx, accdb, accde, mdb, pdf, csv, etc.)
  • Koothrappali : récupération d’informations techniques sur le système de la machine ;
  • Bialik_Gokhan : redémarrer le système ;
  • Hofstadter : stopper un processus ;
  • Parsons_Sheldon : supprimer les charges sur le système ;
  • etc.

L’APT (lancée par « Gaza Cybergang » ?) semble avoir évolué et a étendu son « arsenal » (sites contrefaits, applications mobiles, emails de phishing reprenant les marqueurs de messages officiels, variantes intégrants des liens vers des sites ou encore des pièces jointes malveillantes, etc.). En l’état, l’ensemble des outils de compromission n’a pas encore été identifié mais le modèle suit le scénario suivant :

  • un email de phishing est envoyé ;
  • ce mail contient une pièce jointe malveillante (icône d’un document Office avec extension en .exe) ;
  • il s’agit d’un exécutable qui va extraire deux fichiers :
    • un document Word (.doc) faisant office de leurre reprenant les codes des documents officiels « Palestinian Political and National Guidance Commission » présentés sous forme de communiqué de presse ;
    • un exécutable permettant d’installer le malware est ensuite lancé en tâche de fond.

Fun facts qui permettaient d’identifier le “phishing” de manière assez flagrante :

  • le niveau d’anglais utilisé durant la campagne ;
  • Monthly vs Daily press report : le titre ne correspond pas au contenu transmis ;
  • Faux document Word avec une extension “.exe”.

Code Cartographer’s Diary, by Daniel PLOHMANN

SYNOPSIS / SLIDES

Suite du talk initié lors de la Botconf 2017 dédié au lancement du projet collaboratif gratuit Malpedia, il s’agit d’une collection accessible à tous de samples de malwares unpackés (pour simplifier le processus d’identification et de classification). L’idée était ainsi de mettre à la disposition de chacun des samples et familles de malwares clairement identifiés et triés (labels clairs pour chaque échantillon et documentation, règles YARA associées, etc.) afin de faciliter l’analyse. Cette présentation se structure sur autour d’un retour sur l’année qui s’est écoulée (nouvelle API, etc.) et la présentation de quelques statistiques (cf. 850 utilisateurs et ~ 2900 contributions).

L’exploitation de l’API Windows par les logiciels malveillants a ensuite été abordée à travers l’utilisation de l’outil ApiScout. Cela a mis en avant la façon dont les informations peuvent être utilisées pour identifier et caractériser les familles de programmes malveillants (ex. via 3 critères : import PE, import dynamique cf. GetProcAddress, obfuscation cf. XORed, etc.).

SMDA, une bibliothèque désasembleur minimaliste, a ensuite été présenté. La sortie de SMDA permet de créer un index de fonctions qui, in fine, peut être utilisé pour générer des graphs et identifier des codes similaires.

L’orateur a essayé de comparer des familles de malwares an appliquant des filtres multi-critères afin d’obtenir des clusters par famille.

Quid des prochaines années ?

  • Amélioration continue de l’API ;
  • Ajout de nouveaux samples dans la base de données ;
  • Intégration avec d’autres outils ;
  • etc.

Cutting the Wrong Wire: how a Clumsy Attacker Revealed a Global Cryptojacking Campaign, by Renato MARINHO

SYNOPSIS

Renato MARINHO a tout d’abord rappelé dans les grandes lignes comment fonctionnaient les attaques de Cryptojacking (logiciels qui utilisent les ressources de la machine compromise pour « miner » des cryptomonnaies) et quelles en étaient les conséquences (techniques et financières).

L’idée était ici de présenter le processus d’investigation après compromission par un cryptomalware. Le premier constat faisait état d’une forte altération des performances d’une application métier d’un grand groupe.

L’investigation visant à identifier la cause de ces ralentissements a mis en avant la compromission d’un serveur WebLogic via la vulnérabilité référencée CVE-2017-10271. En poussant davantage les recherches, des fichiers JSON ont été identifiés dans le répertoire « /tmp » (ex. config.json), l’étude du binaire (utilisé pour déployer le miner xmrig) a également mis en avant la présence d’une adresse de portefeuille codée en dur dans le binaire. In fine, environ 200 000$ avaient ainsi pu être obtenus en 2 mois.

L’erreur principale des attaquants ?

  1. Le script kill les processus consommant trop de CPU (dont ses propres instances) afin d’en avoir le plus possible pour miner (sauf les légitimes pouvant rendre le système instable : java, bash, sh, etc.) ;
  2. Le processus se renomme en « java » afin de se « dissimuler » parmi les légitimes ;
  3. Le malware tue ensuite le processus « java » et donc aussi l’application WebLogic ;

Bilan : tuer le processus WebLogic sur un serveur WebLogic n’est pas la meilleure solution pour rester invisible…

Chess with Pyotr, by Tillmann WERNER et Brett STONE-GROSS

SYNOPSIS

Cette présentation est revenue sur le démantèlement du botnet Kehlios. Celui-ci a la particularité d’être le premier botnet à utiliser une structure P2P à grande échelle, et descend du très connu Storm Worm de 2007. A sa chute, il a été remplacé par Waledac, un botnet à l’architecture hybride, tombé en septembre 2010. La première génération de Kehlios apparait alors.

Il s’agit d’un malware bénéficiant de nombreux plugins, mais dont l’utilisation première était l’envoie de SPAM. Son design P2P, l’utilisation de chiffrement, et également l’utilisation d’obfuscation ont rendu le travail de reverse compliqué.

Le takedown d’un botnet classique passe généralement par la prise de contrôle des serveurs C&C. Il est cependant plus compliqué de neutraliser un botnet sous architecture P2P. Le réseau P2P se base sur la notion de proximité avec une information désirée. Grossièrement, un pair demande à un autre s’il possède l’information ou s’il peut lui indiquer qui est susceptible de savoir où elle se trouve, qui en est le plus proche. En infiltrant les pairs, il est possible de faire croire que l’on possède l’information et ainsi détruire le botnet.

Malheureusement, le takedown d’une version de Kehlios entrainait l’apparition d’une nouvelle version, plus robuste. A la 4e itération, en mars 2013, il a fallu moins de 20 minutes pour que la nouvelle version soit en ligne. Cette approche n’était donc pas la bonne, il était nécessaire d’arrêter le responsable. Il faudra alors attendre jusque avril 2017, pour une action conjointe de CrowdStrike et des forces de l’ordre, entrainant l’arrestation d’un ressortissant russe en vacances en Espagne.

Cybercrime fighting in the Gendarmerie, by Colonel Jean-Dominique NOLLET

SYNOPSIS

Le Colonel Nollet de la gendarmerie nationale a présenté la seconde Keynote de cette 6e édition. Sa présentation s’est axée sur le rôle du C3N, le centre de lutte contre la cybercriminalité de la gendarmerie, et la présentation des enjeux de leur travail. Coupant court aux idées reçues, il a été rappelé que la gendarmerie n’était pas un « acteur étatique » et n’avait pas pour mission d’espionner et d’attaquer des citoyens, bien au contraire. En effet, le rôle de la gendarmerie est inchangé entre la vie « réelle » et sur Internet, puisqu’ils travaillent dans les deux cas à la sécurité des citoyens.

Cette tâche au combien compliqué dissimulent de nombreuses embûches. Afin de pouvoir répondre au mieux aux plaintes, il faut que les gendarmes soient formés et puissent expliquer et comprendre les problèmes d’une victime. En parallèle de cette relation de proximité, le C3N a pour but d’assurer aux équipes traitant de risques liés à la cyber soient convenablement outillés.

Cette présentation a également pris la forme d’une invitation à la collaboration. Il est primordial que la communauté de chercheurs partage les informations qu’ils ont pu accumuler. L’apport de cette intelligence est primordial pour mener à bien leur mission. Il est également rappelé, comme chaque année, que les poursuites judiciaires sont limitées par le cadre strict qu’est la loi. De fait, l’acquisition de preuves est encadrée, et il n’est pas possible de mener des actions de « hack back » pour collecter de nouvelles preuves. En ce sens, il a été souligné l’importance des preuves permettant d’accuser un acteur. Il est facile dans le cadre d’attaque cyber de se laisser aller à des suppositions. Il est important pour la communauté de ne plus simplement si fier aux faisceaux d’indices, mais de rechercher de réelles preuves.

Enfin, lors de la séance de questions, il a été abordé l’importance des bonnes relations entre les chercheurs et les forces de l’ordre. Bien que les événements découlant de l’apport d’information ne peuvent pas toujours être communiqués directement, il n’est que plus important de faire comprendre que l’information a été valorisée et prise en compte.


banner-botconf-2018-4
Et comme toujours, pour clore cette édition, les organisateurs ont annoncé les principales informations sur la tenue de la 7e édition de la Botconf !

L’évènement se déroulera du 3 au 6 décembre 2019, à Bordeaux.

Nous vous donnons rendez-vous dans le prochain numéro de l’ActuSécu pour un résumé complet et détaillé de cette édition !


Jean-Yves Krapf

Consultant Cert-XMCO