C’est à Londres que se tenait cette nouvelle édition de la fameuse conférence Virus Bulletin. Cette 29ème édition, dirigée pour la dernière fois par Martijn Grooten, a regroupé pas moins de 400 personnes sur 3 jours, autour de sujets liés à la Threat Intelligence.
Le programme, structuré sur 3 tracks, était constitué de plus de 50 conférences. L’événement était rythmé par une première soirée dans un bar londonien à l’ambiance jazzy, l’occasion d’échanger et de découvrir également une partie de la capitale anglaise. Un second social event prenant la forme d’un dîner de gala a eu lieu le second soir, précédent une soirée de divertissement autour d’un thème casino.
Au cours de cette soirée était attribué le prix Péter Szőr Aaward qui récompense la meilleure publication de recherche technique. Cette année, les nominés étaient :
- DNS Hijacking Abuses Trust In Core Internet Service, Cisco Talos
- Matrix : a low-key targeted ransomware, Sophos
- LOJAX First UEFI rootkit found in the wild, courtesy of the Sednit group, ESET Research
Cette récompense a été remportée par l’équipe Cisco Talos que nous félicitons chaleureusement.
Retrouvez ci-dessous un résumé des premières présentations ayant eu lieu. L’ensemble des conférences auxquelles nous avons assisté seront disponibles dans le prochain numéro de l’ActuSécu.
An inside look at a cybercriminal investigation (NHTCU)
C’est avec deux speakers du NHTCU que j’ai pu attaquer la première matinée de conférence. Ce talk revient sur l’arrestation du créateur des outils Rubella et Dryad qui permettaient la création de documents Office malveillants.
L’histoire commence par la réception de plusieurs rapports d’activité, dont l’un met en avant l’utilisation d’une version néerlandaise de Word. Il n’en fallait pas plus pour motiver les forces de l’ordre à se pencher sur la question, en visant une action « rapide » et non une investigation de longue haleine. Les investigations ont été assez courtes, puisqu’il a été possible de remonter jusqu’à un étudiant vivant chez ses parents rapidement. La collecte d’un faisceau d’indices n’étant pas suffisante, les policiers avaient pour objectifs de saisir le PC du suspect déverrouillé. Il a donc été décidé d’intervenir dans son école, en plein cours, avec l’aide de policier sous couverture.
Le talk ne s’arrête pas à l’arrestation puisque nous avons eu droit à une partie juridique intéressante et trop rarement présentée. Le matériel saisi a bien permis de rassembler de nouvelles preuves : parmi elles, le suspect détenait plusieurs données de cartes bancaires, constituant un second chef d’accusation.
Enfin, nous terminons sur la présentation du projet Hack Right, une alternative ou un complément à la peine de prison qui se divise en 4 étapes :
- la prise de conscience des dommages causés
- la présentation du cadre légal
- l’utilisation de leurs talents au profit de la justice
- le coaching pour éviter une récidive
Inside Magecart the history behind the covert card-skimming assault on the e-commerce industry (Yonathan Klijnsma – @ydklijnsma)
Magecart n’est pas un groupe à part entière, mais une dénomination pour évoquer les attaquants dérobant les informations bancaires sur les sites de paiement : il s’agit de card-skimmer numérique. Nommée par RiskIQ, cette menace existe depuis 2014. Elle se compose essentiellement de 15 groupes d’attaquants connus, et potentiellement plus à découvrir.
Par exemple, le Groupe 6 s’est fait connaitre par l’attaque de British Airways et New Egg. Ceux-ci prennent le temps d’analyser leur cible avant de lancer leur attaque. On peut noter une erreur dans la réalisation de l’attaque à l’encontre de New Egg,puisque bien que patients, ils ont réalisé leur attaque bien avant le Black Friday, passant ainsi à côté d’un grand nombre de victimes potentielles. Le Groupe 5 est quant à lui plus simpliste. En effet, ils se concentrent sur la compromission de fournisseurs de services tiers pour réaliser leur attaque et vont au plus simple.
On constate une différence de technique et de complexité entre la compromission directe de la cible et la compromission de la chaine d’approvisionnement. Dans ce dernier cas, la meilleure des sécurités ne pourra suffire, le maillon faible se trouvant hors du périmètre direct : analytics, CDN, publicités ou encore hébergeur cloud.
Enfin, un focus sur AWS a été fait. La sécurisation est trop souvent défaillante, donnant des droits trop larges. En conséquence, une campagne est toujours en cours pour exploiter les buckets Amazon vulnérables en injectant du code malveillant.
Domestic Kitten: an Iranian surveillance program (Aseel Kayal – @CurlyCyber & Lotem Finkelstein – @Lotemfi)
Tout commence par la détection d’une application au nom suspect : « The State of the Islamic Caliphate », en arabe. Il s’agit d’une application permettant uniquement de changer son fond d’écran par diverses images en rapport avec l’état islamique. En vérifiant le fichier manifeste de l’application, il apparait que celle-ci demande bien plus de droits que nécessaire : il s’agit en fait d’une backdoor classique permettant l’exfiltration de toutes les données, ainsi que d’espionner via le micro et l’appareil photo.
Les métadonnées de l’application ont alors permis d’identifier plus de 200 autres applications malveillantes. Il apparait qu’il s’agit « simplement » d’application officielle repackagée avec la backdoor.
La présentation s’intéresse à présent aux C&C, qui ont le bon gout de présenter un directory listing. Les chercheurs ont alors pu accéder aux nombreuses données récoltées par les attaquants. Au total, plus de 100 000 numéros de téléphone ont été identifiés, ainsi que près de 400 000 messages (SMS) rédigés dans différents dialectes. Cette masse de données et leur diversité en termes de dialectes utilisés impliquent d’importantes ressources pour en tirer parti.
Cette attaque présente un degré de sophistication faible, mais avec un impact très important. On constate une disproportion entre le faible investissement sur les vecteurs d’attaque, la technique et la sécurisation de l’opération, et les profits en termes de données récoltées et les hauts profils des victimes.
Enfin, le talk se termine sur le sujet de l’attribution de cette attaque. Bien que rien ne soit certain, un faisceau d’indices et de concordances pointe vers l’Iran.
DNS On Fire (Warren Mercer – @SecurityBeard & Paul Rascagnères – @r00tbsd)
Au cours de cette présentation, nous sommes revenus sur deux grandes attaques DNS ayant fait les gros titres au cours de l’année écoulée : DNSpionage et Sea Turtle.
La première prend la forme d’un malware distribué par des techniques de Spear Phishing via Linkedin et de faux sites de recrutement, et tirant parti de document malveillant. Enfin, il utilisait des redirections DNS pour rediriger le trafic de la cible vers une infrastructure contrôlé par les attaquants. En se penchant sur les modifications DNS, il est apparu que plusieurs IP avaient servi à recevoir le trafic de sites gouvernementaux pour de courtes périodes. Également, des certificats Let’s Encrypt étaient émis pour ces noms de domaines. Il semble enfin que cette attaque existe depuis 2 ans, avec un pic d’activité sur la fin de l’année 2018.
La seconde attaque, Sea Turtle, visait les registrars ainsi que les registrys. Aucune faille 0-day n’a été utilisée dans la phase de compromission, rappelant l’importance du patch management. Étonnamment, les attaquants n’ont pas ralenti la cadence suite à la révélation de leur existence, ce qui est inhabituel et mérite d’être souligné. Toutefois, leur manipulation des DNS semble maîtrisée et ciblée : des dommages bien plus importants pourraient être faits en touchant à l’infrastructure DNS. Un retour a été remarqué en juillet 2019, avec des modifications durant moins de 24h, rendant très difficile la détection.
Les speakers concluent ce talk par l’importance de monitorer ses résolutions DNS à l’aide de résolveurs externes.
Geost botnet : the story of the discovery of a new Android banking trojan from an OpSec error (Sebastian Garcia – @eldracote & Maria Jose Erquiaga – @maryjo_e & Anna Shirokova – @anshirokova)
La découverte du botnet Geost provient de l’analyse d’un autre réseau nommé HtBot. Ce dernier transforme ses victimes en proxy Internet, et c’est en analysant le trafic réseau que des échanges suspects ont été découverts. Il s’agit en fait des communications C&C du botnet Geost. Il est à noter que ce trafic n’était pas chiffré, permettant d’exfiltrer un grand nombre d’informations, et de visualiser les pages du panneau de contrôle. Il apparait alors que de nombreuses informations sont récupérées des victimes, dont l’IMEI, l’opérateur, la version d’Android. Plus de 7 500 appareils apparaissent comme infectés. Ce botnet se concentre sur quelques banques ainsi que sur la plateforme Qiwi.
Un fait inhabituel a été l’identification d’un historique de conversation Skype entre les développeurs du malware. Celui-ci comptait 6 000 lignes sur une période de 11 mois, incluait 28 personnes de langue russe. Ce fichier a permis un aperçu intéressant de l’organisation des attaquants et de leur fonctionnement.
Pour conclure, nous pouvons noter que l’utilisation d’un mauvais canal de communication a été à l’origine de l’identification de cette menace.
Operation Soft Cell – a worldwide campaign against telecommunication providers (Amit Serper – @0xAmit & Mor Levi & Assaf Dahan)
Cette présentation revient sur une série d’attaques ciblant des entreprises de télécommunication. L’activité de cette menace a commencé au début de l’année 2018 et il a été mis en évidence de nombreuse évolution, tous les 4 mois environ.
Les opérateurs téléphoniques représentent une cible de choix, puisqu’à partir des données de connexion aux antennes relais, il est possible d’obtenir de nombreuses informations sur une personne : lieu d’habitation, de travail, les lieux visités, etc …
Plusieurs outils connus ont été utilisés au cours de cette attaque, comme NBTscan, ou encore Mimikatz, mais dans des versions personnalisées. Après avoir gagné un accès dans le système, les attaquants procédaient à des mouvements latéraux, puis exfiltraient les données via une archive. Le groupe à l’origine était également méticuleux au niveau de l’infrastructure utilisée puisque chaque cible était liée à un ensemble unique de domaines et d’adresses IP, rendant l’utilisation d’IOC inutile.
Enfin, l’orateur revient sur le contact obtenu avec les entreprises ciblées. Celles-ci refusaient d’admettre la menace qui est d’origine étatique. En effet, une telle attaque représente un acte de guerre et n’est donc pas couverte par les assurances. Également, il a été mentionné le cas d’une entreprise refusant de se pencher sur la menace en raison de l’absence d’IOC, bien que tous les éléments techniques permettant de détecter la menace étaient donnés.
Nous vous donnons rendez-vous dans le prochain numéro de l’ActuSécu pour un résumé complet et détaillé de cette édition !
