VirusBulletin localhost : Résumé du jour 2 !

VirusBulletin localhost : Résumé du jour 2 !

La deuxième journée de cette édition « localhost » de la VirusBulletin a été notamment l’occasion d’apprécier un retour d’expérience passionnant sur le groupe SilentFade ainsi que de découvrir un nouveau type de malware ciblant les systèmes Mac OS X.

Planning de la journée

Le planning de la journée était le suivant :

  • Hunting for Android 1-days: analysis of rooting ecosystem  –  (Timestamp: 00:31:02) – Eugene Rodionov (Google), Richard Neal (Google) & Lin Chen (Google)
  • Who stole my 100,000 dollars’ worth of Bitcoin wallets – catch them all with new deceptive bait – (Timestamp: 00:59:28) – Tan Kean Siong (The Honeynet Project)
  • SilentFade: unveiling Chinese malware abusing Facebook ad platform- (Timestamp: 01:29:30) – Sanchit Karve (Facebook) & Jennifer Urgilez (Facebook)
  • LATAM financial cybercrime: competitors in crime sharing TTPs – (Timestamp: 02:14:58) – Jakub Souček (ESET) & Martin Jirkal (ESET)
  • Hello from the OT side!- (Timestamp: 02:46:18) – Daniel Kapellmann Zafra (FireEye)
  • Growth and commoditization of remote access trojans- (Timestamp: 03:29:06) – Veronica Valeros (Czech Technical University in Prague) & Sebastian García (Czech Technical University in Prague)
  • A true virus on macOS – (Timestamp: 03:59:14) – Patrick Wardle (Jamf)

 

Hunting for Android 1-days: analysis of rooting ecosystem

– Eugene Rodionov (Google), Richard Neal (Google) & Lin Chen (Google)

Cette conférence, présentée par des chercheurs de Google, a été l’occasion de faire un focus sur les différents « rooting providers ». Ces entités proposent aux utilisateurs d’obtenir un contrôle total sur leur smartphone en exploitant des vulnérabilités du système d’exploitation.

L’intérêt principal pour ces utilisateurs est de pouvoir obtenir un contrôle total sur leur téléphone et de le personnaliser à souhait. Cependant ce genre de pratique laisse également le téléphone sans protection face à d’autres types d’attaques (applications malveillantes, destruction du cloisonnement entre les applications, etc.).

De plus l’installation de ce genre de solutions amène souvent à l’installation d’autres outils non nécessairement maîtrisés.

Les analystes ont décidés de s’intéresser à l’une des solutions les plus populaires : KingRoot.

A travers cette présentation, nous découvrons le fonctionnement de KingRoot et comment l’étude de cette solution a amené l’équipe d’Android à découvrir de nouvelles vulnérabilités (0-Days) exploitées.

Paper : https://vblocalhost.com/uploads/VB2020-Rodionov-etal.pdf

Slides : https://vblocalhost.com/uploads/VB2020-08.pdf

 

Who stole my 100,000 dollars’ worth of Bitcoin wallets – catch them all with new deceptive bait

Tan Kean Siong (@gento_)- The Honeynet Project

Dans cette présentation, Tan Kean Siong du Honeynet Project a présenté une expérience qu’il a réalisé ainsi qu’un outil développé spécialement pour l’occasion : HoneyBag.

Ce dernier permet de créer une archive « piégée » notifiant le propriétaire à l’ouverture de cette dernière.

Pour mettre à l’épreuve son nouvel outil, ce dernier a créé dix portefeuilles Bitcoin avec un BTC TESTNET (n’ayant donc aucune valeur monétaire) puis a laissé ses archives sur des serveurs mal configurés.

Les résultats sont univoques : Les 10 portefeuilles ont été volés ! 9 d’entre eux ont alerté le chercheur avec les informations du poste ayant ouvert les archives. Le vol le plus rapide s’est fait en une minute juste après avoir posté la localisation du fichier sur PasteBin.

L’outil HoneyBag est disponible à l’adresse suivante : https://github.com/honeybag

Slides : https://vblocalhost.com/uploads/VB2020-49.pdf

 

SilentFade: unveiling Chinese malware abusing Facebook ad platform

Sanchit Karve (Facebook) & Jennifer Urgilez (Facebook)

Dans cette présentation, Sanchit Karve fait un retour d’expérience sur une attaque ciblant les utilisateurs de Facebook nommée SilentFade.

Ce malware, propagé via l’installation de PUP, était utilisé afin de récupérer des comptes Facebook et d’exploiter les méthodes de paiement sauvegardés pour acheter des publicités ciblées et continuer la propagation du malware.

Le point le plus intéressant de cette conférence concerne l’exploitation d’un bug dans l’API Graph de Facebook qui permettait à l’attaquant de bannir les notifications et communications de certaines pages sans laisser la possibilité à la victime de débloquer les dites pages (il y avait une vérification qui était faite au déblocage mais pas au blocage). Cette fonctionnalité était notamment abusée pour désactiver les services d’alertes et bots Messenger servant à prévenir les utilisateurs lors d’une nouvelle connexion à leur compte.

La conférence s’est terminée sur l’attribution du malware via des recherches dans le code source et des parallèles avec des dépôts GitHub et les résultats depuis leurs actions en justice.

Paper : https://vblocalhost.com/uploads/VB2020-Karve-Urgilez.pdf

Slides : https://vblocalhost.com/uploads/VB2020-11.pdf

 

LATAM financial cybercrime: competitors in crime sharing TTPs

Jakub Souček () & Martin Jirkal – ESET

Dans cette conférence, les chercheurs d’ESET reviennent sur les attaquants ciblant les institutions financières latines-américaines.

D’après leurs recherches, ces dernières auraient formés une coallition, partageant leurs techniques et outils.

Ces similarités se manifestent dans les binaires (tous développés en Delphi, utilisation de binaires volumineux, etc.), dans la livraison de ces derniers (utilisation de ZIP/MSI), les méthodes d’exécution et le ciblage des victimes.

Paper: https://vblocalhost.com/uploads/VB2020-Soucek-Jirkal.pdf

Slides : https://vblocalhost.com/uploads/VB2020-02.pdf

 

Hello from the OT side!

Daniel Kapellmann Zafra (FireEye

Dans cette présentation, Daniel Kapellman Zafra essaye de sensibiliser la communauté aux nouveaux challenges apportés par la connexion croissante des systèmes industriels aux réseaux bureautiques.

Les attaquants commencent à s’intéresser à ces systèmes industriels comme le groupe d’attaquants SNAKEHOSE.

L’objectif de cette présentation est de sensibiliser les professionnels de la cybersécurité aux nouveaux enjeux impactant les systèmes industriels et les chevauchements avec la cybersécurité des systèmes d’information.

Paper: https://vblocalhost.com/uploads/VB2020-Kapellmann.pdf

Slides : https://vblocalhost.com/uploads/VB2020-03.pdf

 

Growth and commoditization of remote access trojans

Veronica Valeros () & Sebastian García () – (Czech Technical University in Prague)

Cette conférence présente les travaux de recherche sur l’évolution des RAT (Remote Access Trojans) sur les 30 dernières années. Les chercheurs ont été en mesure de classifier et regrouper plus de 337  familles de RAT.

Ces travaux mettent en exergue comment ce qui était développé à la base comme un outil « pour s’amuser » est devenu un véritable outil professionnel visant à réaliser des profits. Ces travaux montrent également l’évolution de l’écosystème des opérateurs de RATs ainsi que du marché associé.

Paper: https://vblocalhost.com/uploads/VB2020-Valeros-Garcia.pdf

Slides : https://vblocalhost.com/uploads/VB2020-12.pdf

 

A true virus on macOS

-Patrick Wardle (@patrickwardle) – Jamf

Cette dernière conférence par Patrick Wardle portait sur l’analyse d’un ransomware (EvilQuest) ciblant spécifiquement les systèmes d’exploitation MacOS X.

Cette présentation didactique détaille la dissection du malware de l’installation du paquet (.pkg) aux communications avec le centre de contrôle et les différentes fonctionnalités annexes au chiffrement des données.

Cette conférence a permis de plonger dans les mécanismes de sécurité de Mac ainsi que la présentation de 3 outils qui étaient adaptés dans ce cas pour bloquer l’attaque : LuLu, BlockBlock et Ransomwhere.

Slides : https://vblocalhost.com/uploads/VB2020-50.pdf

 

Ceci conclut cette deuxième journée de la VirusBulletin localhost.

Vous pouvez lire un résumé de la dernière journée et découvrir l’emplacement de la prochaine édition ici.  Nous vous donnons notamment rendez-vous dans le prochain numéro de l’ActuSecu pour bien plus encore !

 


Aurélien Denis