VirusBulletin localhost : Retour sur cette première journée à distance !

VirusBulletin localhost : Retour sur cette première journée à distance !

Cette édition de la Virus Bulletin aura décidément été remplie de surprises et ce, dès le début !

Pour le 30e anniversaire de la conférence, ce n’est pas à Dublin que se tenait cette nouvelle édition mais sur Youtube en distanciel.

Au lieu d’avoir 3 tracks en parallèle, cette édition a préféré privilégier une track unique diffusée en live chaque jour de la conférence (du 30 septembre au 2 octobre) et une track en vidéo à la demande. Les replays seront disponibles publiquement, permettant à chacun d’assister à l’intégralité des conférences.

Animée par Angela Lemont, cette Virus Bulletin a été l’occasion d’assister à des conférences liées aux sujets de la Threat Intelligence.

Planning de la journée

Le planning de la journée était le suivant :

  • A new Chinese APT ‘Evasive Panda’ group targets India and Hong Kong using a new variant of MgBot malware (Timestamp : 00:35:54) – Hossein Jazi (@h2jazi) & Jérôme Segura (@jeromesegura) (MalwareBytes)
  • The eye on the Nile: Egypt’s civil society under attack (Timestamp : 01:06:00) – Aseel Kayal (@CurlyCyber) (CheckPoint Research)
  • The fall of Domino – a preinstalled hostile downloader (Timestamp : 01:34:20) – Lukasz Siewierski (@maldr0id) (Google)
  • The days before R-Day: ransomware toolsets (Timestamp : 02:18:10) – Gabor Szappanos (@GaborSzappanos)& Vikas Singh (Sophos)
  • To catch a Banshee: how Kimsuky’s tradecraft betrays its complementary campaigns and mission (Timestamp : 02:49:00) – Sveva Vittoria Scenarelli (@cyberoverdrive)(PwC)
  • Attribution: a puzzle (Timestamp : 03:33:10) – Paul Rascagneres (@r00tbsd) & Vitor Ventura (@_vventura) (Cisco Talos)
  • Why the security world should take stalkerware seriously (Timestamp : 04:03:10) – David Ruiz (@davidalruiz) (MalwareBytes)

The eye on the Nile: Egypt’s civil society under attack

-Aseel Kayal (@CurlyCyber) – CheckPoint Research

Cette conférence était dédiée à l’étude d’une attaque par phishing ayant ciblé des défenseurs des droits de l’homme en Egypte.

Cette dernière reposait sur l’utilisation d’applications tierces afin de récupérer un accès complet à la boîte mail de la victime. Google avait même mis en place un message d’alerte spécifique pour prévenir les victimes. Cette attaque avait par ailleurs fait l’objet d’une publication par Amnesty International.

Départ de l’analyse

Au démarrage de l’analyse par la chercheuse, cette campagne d’exploitation était déjà terminée. Parmi les domaines malveillants partagés par l’association, un thème se dégageait : Tous semblaient vouloir se faire passer pour des services de validation  de mail légitimes (signin-verify[.]user-members[.]pro, outlook[.]live[.]com[.]mail-verify[.]live, mail[.]yahoo[.]com[.]mailverify[.]live, etc.).

Seul un domaine ne suivait pas cette convention de nommage (el7rkaelsha3bea.adminmail.online).

D’après la chercheuse, les chiffres peuvent être liés à des lettres en arabe, ce qui a pu être converti en une chaîne de caractères lisible signifiant « Le mouvement populaire ».

Day_1_-_VB2020_-_Join_us_for_the_best_kept_secret_of_the_infosec_industry_

Conversion du nom de domaine en une chaîne de caractères en arabe

Cette chaîne de caractère a mené la chercheuse à un groupe Telegram lié à un mouvement social en Egypte incitant les membres à se rebeller et transmettre leurs informations personnelles aux administrateurs.

Les domaines étant liés à une adresse IP, la chercheuse a pu récupérer une liste plus exhaustive de domaines et d’IP associées à l’attaque. L’un de ces domaines (maillogin[.]live) présentait le contenu sous la forme d’un directory listing qui a permis de récupérer l’entièreté du code source du site contenue dans une archive zip hébergée sur le site.

VB2020-10

Aperçu du directory listing

Ce site était visiblement un centre de contrôle avec un panneau d’administration qui permettait notamment de récupérer des statistiques, supprimer des mots de passe récupérés etc.

Dans la configuration du site, la timezone (Afrique/Le Caire) était présente ainsi que les identifiants de base de données en clair.

Day_1_-_VB2020_-_Join_us_for_the_best_kept_secret_of_the_infosec_industry_

Extrait de la configuration du site

Une étude plus poussée du code a mis en lumière un mécanisme de « protection » du site contre les analystes.

Ce dernier comptait le nombre d’accès sur une heure et si plus de 30 requêtes avaient été envoyées dans l’heure, un mail était envoyé à l’adresse devd[.]logaana[@]gmail[.]com.

Enfin, ce serveur possédait une fonctionnalité de réducteur de liens dont la correspondance était stockée en base de données. Ce réducteur de liens était notamment utilisé pour masquer les paramètres d’identification des victimes à l’utilisateur.

Day_1_-_VB2020_-_Join_us_for_the_best_kept_secret_of_the_infosec_industry_

Exemple de liens offusqués via le réducteur de liens

La première entrée en base de données mentionnait l’adresse devd[.]logaana[@]gmail[.]com (probablement dû à un test). Cependant, les entrées suivantes désignaient des adresses mail liées à de nouvelles personnes. Ces dernières étaient toutes situées en Egypte et étaient des professeurs, journalistes et défenseurs de droits de l’homme. Certaines de ces personnes ont fait l’objet d’une arrestation depuis.

Enfin, trois dossiers du site étaient des applications Gmail/Outlook destinées à récupérer des informations sur les boîtes mail voire exfiltrer les données stockées dans Google Drive.

Day_1_-_VB2020_-_Join_us_for_the_best_kept_secret_of_the_infosec_industry_

Aperçu des applications proposées ainsi que les informations liées au développeur

On notera la présence à nouveau du développeur devd.logaana@gmail.com. Le nouveau site mentionné (drivebackup.co) était vide au moment de l’analyse. Cependant ce site était référencé dans un fichier APK (application Android) uploadé sur VirusTotal.

Analyse de l’application mobile iLoud200%

Cette application (nommée iLoud200%) demandait les permissions suivantes :

  • Accès à Internet (android.permission.INTERNET)
  • Accès à la localisation GPS (android.permission.ACCESS_FINE_LOCATION)
  • Pouvoir être démarré au redémarrage du système (android.permission.RECEIVE_BOOT_COMPLETED)

Lors de son utilisation, l’application envoyait la localisation GPS, l’heure locale et le pourcentage de batterie du téléphone sur le site drivebackup[.]co.

L’application était disponible au téléchargement sur un site nommé indexy[.]org. Ce dernier contenait également un directory listing qui a permis à Aseel Kayal de retrouver une image avec la mention « iFish », faisant ainsi écho à la configuration du site maillogin.live.

Une recherche sur le site indexy[.]org a permis à l’analyste de retrouver une application nommée IndexY disponible sur le Google Play Store. Cette dernière avait été téléchargée plus de 5 000 fois et proposait un service d’annuaire.

Cette application demandait un accès aux journaux d’appels et aux contacts du téléphone (ce qui semble légitime pour cette utilisation). Cependant, l’application exfiltrait ces informations vers le site indexy[.]org.

Day_1_-_VB2020_-_Join_us_for_the_best_kept_secret_of_the_infosec_industry_

 

La chercheuse a prévenu Google qui a retiré l’application de son store.

En regardant de plus près le site hébergeant le site d’administration de l’application iLoud, l’analyste a retrouvé une carte (à l’image de Google Maps) contenant des localisations, qui devait être initialisée sur des coordonnées par défaut définies par le développeur.

Ces coordonnées pointaient sur un bâtiment inconnu du Caire. Après quelques recherches complémentaires, ce bâtiment correspondrait au quartier général des Services de Renseignements Généraux d’Egypte (GIS).

Cette conférence était passionnante, notamment sur le cheminement réalisé par Aseel Kayal. On remarque que les défauts dans la sécurité opérationnelle des attaquants ont permis de relier leurs opérations de phishing (grâce à des applications tierces Google et Outlook) à leurs opérations liées aux publications d’applications malveillantes sur les smartphones Android.

VB2020-10

Graphique de la présentation liant les activités de l’attaquant

Bien qu’il soit impossible pour le moment d’attribuer avec certitude ce scénario d’attaque, cette analyse fine affiche un faisceau d’indices convaincant. L’analyste a notamment indiqué que cet acteur utilisait un outillage unique bien que certaines de ces techniques (notamment la compromission par application tierce) rappelaient le groupe APT32 Ocean Lotus.

Paper : https://vblocalhost.com/uploads/VB2020-Kayal.pdf

Conférence : https://vblocalhost.com/conference/day-1/ (Timestamp : 01:06:00)

Why the security world should take stalkerware seriously

-David Ruiz (@davidalruiz) – MalwareBytes

Cette conférence a permis de clôturer cette première journée de conférences. Cette dernière était donnée par David Ruiz, de MalwareBytes. Cette dernière avait pour thème la sensibilisation face aux applications de surveillance domestiques, les stalkerware. Ces derniers peuvent récupérer les SMS, mails, journaux d’appel, historique de navigation, photos/vidéos/localisation GPS sans le consentement de l’utilisateur.

Cette présentation commence par son objectif : déconstruire certaines idées reçues sur ce type d’application :

  • Les stalkerwares sont des phénomènes connus aux capacités limitées ;
  • Ces applications sont dures à obtenir, à utiliser à installer ;
  • Ces stalkerwares peuvent être vaincus juste avec des solutions technologiques (antivirus/antimalware).

L’expérience

Les chercheurs de MalwareBytes ont mené l’expérience suivante : Pendant 2 semaines, ils ont installé un stalkerware sur un téléphone (choisi spécifiquement pour l’occasion) afin d’étudier les capacités de ce type d’application.

Les éléments suivants étaient particulièrement étudiés :

  • Risque de fuite des informations pour les victimes ;
  • Niveau technique nécessaire pour installer l’application ;
  • Le temps nécessaire pour installer l’application ;
  • Paiement nécessaire pour obtenir l’application.

Pour cette expérience un Google Pixel a été utilisé avec une carte SIM prépayée, un compte Google et Signal créés à l’activation du portable.

L’installation a pris moins de 10 minutes.

5 participants ont donné leur consentement pour :

  • Avoir leur numéro de téléphone stocké dans le téléphone compromis avec des initiales masquées ;
  • Que leurs conversations téléphoniques soient enregistrées par le logiciel ;
  • Pour échanger des SMS qui pourraient être récupérés par le malware ;
  • Échanger des messages via l’application Signal.

Résultats de l’expérience

Sans titre

Mockup d’un panneau d’administration de Stalkerware

Après l’installation du logiciel, de nombreux éléments étaient disponibles immédiatement : le pourcentage de batterie du portable, la version de l’OS Android, le numéro de téléphone, la dernière application utilisée, si le portable est en cours d’utilisation, la localisation, le réseau Wifi connecté (pouvant être désactivé), et le nom de l’opérateur.

Les notifications étaient récupérées par le stalkerware. Si les paramètres autorisaient l’affichage de contenu (notamment pour Signal), il était possible de récupérer ce contenu via le stalkerware.

La localisation du téléphone était légèrement incorrecte mais ceci est un risque acceptable pour quelqu’un souhaitant surveiller l’activité de son conjoint.

Il a été possible de récupérer l’ensemble des photos sur le portable ainsi que les photos supprimées. Les dates de création et suppression des photos étaient également récupérées.

Les SMS et appels étaient également récupérés par le stalkerware et il était aisé de les télécharger depuis le portail web du stalkerware.

Il était possible d’observer l’écran à distance. Cependant cette action n’était pas totalement silencieuse. A la première activation, une notification est affichée sur l’écran de la victime indiquant que l’enregistrement d’écran est activé. Ensuite, tant que l’écran est partagé, une icône est affichée dans la barre de notifications.

Day_1_-_VB2020_-_Join_us_for_the_best_kept_secret_of_the_infosec_industry_

Solutions de remédiation

La remédiation semblait être triviale puisqu’en exécutant un antimalware, les chercheurs ont été en mesure de retirer l’application. Cependant, cette solution ne peut pas convenir à tous.

Déjà tout le monde ne sait pas nécessairement que ce genre de solutions existe et cette dernière n’est probablement pas adaptée à tous ces types de logiciels.

De plus, le stalkerware n’est qu’un symptôme du problème qu’est la violence conjugale. Désinstaller le stalkerware ne suffit pas à résoudre ce problème. De plus, le stalkerware retient quelle est la dernière application exécutée et pourrait donc révéler le téléchargement de l’anti-malware. Cela pourrait causer un comportement violent de l’abuser.

Ceci peut enfermer les victimes de ces relations dans un faux sens de sécurité.

En résumé, les stalkerwares sont des applications aisément téléchargeables par des attaquants n’ayant pas nécessairement un fort niveau technique. Ces applications peuvent globalement enlever toute possibilité d’avoir une vie privée sur l’appareil compromis et le retrait de cette application ne nécessite pas seulement une solution technique mais également un processus pour permettre aux victimes d’échapper à ces comportements abusifs.

David Ruiz appelle à une collaboration entre les entreprises de cybersécurité et les avocats spécialisés dans les violences conjugales pour mieux comprendre comment mettre en place des produits efficaces qui puissent protéger les populations à risque.

 

Paper : https://vblocalhost.com/uploads/VB2020-Ruiz.pdf

Conférence : https://vblocalhost.com/conference/day-1/ (Timestamp : 04:03:10)

 

Vous pouvez suivre le deuxième jour de cette conférence à l’adresse suivante : vblocalhost.com.

Nous vous donnons rendez-vous dans le prochain ActuSecu pour plus de détails sur cette édition !


Aurélien Denis