XMCO a assisté à la BotConf 2017

XMCO a assisté à la BotConf 2017

Pour la 5ème édition de la BotConf, XMCO a à nouveau eu la chance de participer à ce rassemblement ayant pris de l’ampleur au fil des ans. Voici notre retour sur cette édition 2017, qui se déroulait au Corum de Montpellier.

Une fois encore, un programme chargé nous a accueillis. Nous vous proposons de revenir sur 5 présentations, tandis qu’un retour exhaustif sera effectué dans notre prochain numéro de l’ActuSécu.

Get Rich or Die Trying, par Mark Lechtik et Or Eshed

SLIDES

Les orateurs se sont intéressés à un email de phishing faisant mention de la société ARMACO. Cette dernière faisant à ce moment-là l’actualité, il était possible qu’une attaque ciblée et potentiellement sophistiquée soit à l’oeuvre. L’analyse commence alors et les analystes nous décrivent pas à pas les différentes découvertes. Parmi elles, nous découvrons alors l’utilisation de différents malwares bien connus tels que NetWire.

L’analyse se termine par l’accès à la boite mail utilisée pour l’exfiltration des données. En effet, les données de connexion étaient incluses au sein du malware. C’est ainsi que nous découvrons des screenshots de machines compromises, dont … celle  de l’attaquant ! Celui-ci avait également compromis sa machine, ce qui a permis d’identifier un jeune Nigérian grâce à sa page Facebook.

En conclusion, celui-ci a pu, à lui seul, réaliser des dommages ainsi que des profits en utilisant des techniques peu élaborées. Alors qu’en est-il d’une réelle équipe supportée par un état ?

Hunting Down Gooligan, par Elie Bursztein et Oren Koriat

PAPER

La première journée s’est achevée par la présentation d’une nouvelle espèce de malware Android. Représenté par le dénommé Gooligan, ce malware a pour but de voler les jetons d’authentification OAuth. Ce dernier, particulièrement vicieux, obtient les droits d’administration et assure la persistance en infectant la partition Recovery. Il s’injecte ensuite dans l’application Play Store et exfiltre le jeton désiré. Il est alors utilisé afin de simuler l’installation d’applications, ou encore afin de poster de faux commentaires sur des applications malveillantes.

Les chercheurs ont signalé qu’une difficulté inattendue a été d’avertir les utilisateurs, situés sur différents continents, et de traduire convenablement les procédures de support.

Malpedia: A Collaborative Effort to Inventorize the Malware Landscape, par Daniel Plohmann; Martin Clauß; Steffen Enders; Elmar Padilla

SLIDES

La conférence se poursuit avec une présentation du projet collaboratif Malpedia qui a muri durant plus de 2 années (https://malpedia.caad.fkie.fraunhofer.de/). Il s’agit d’une collection accessible à tous de samples de malwares unpackés (pour simplifier le processus d’identification et de classification). Le maitre mot de cette présentation était « qualité » en opposition aux autres inventaires misant souvent sur la « quantité ». L’idée est ainsi de mettre à la disposition de chacun des samples et familles de malwares clairement identifiés (labels clairs pour chaque échantillon et documentation).

La problématique qui revient dans tous ces projets est « comment classifier et comment caractériser une famille de malwares ? ».

Après quelques explications sur la méthodologie de classification, des statistiques sont venues appuyer le projet (à l’heure actuelle, 2491 samples pour 669 familles sont répertoriés).

Formatting for Justice: Crime Doesn’t Pay, Neither Does Rich Text, par Anthony Kasza

SLIDES

Présentation autour du format de fichier Rich Text Format (RTF) de Microsoft et des possibilités offertes par ce dernier dans le cadre d’attaques (ex. CVE-2017-0199). Après un rappel sur la syntaxe usuelle du format et des structures existantes, Anthony Kasza a présenté les attaques possibles basées sur des techniques relativement simples permettant notamment d’utiliser du contenu hexadécimal ainsi que des fonctions spécifiques ou encore d’obfusquer du code :

  • Abus d’espaces entre les entités ;
  • Headers ;
  • « Nesting » (abus des balises {})
  • Default ignore (balises malformées ou non interprétées) ;
  • Jeu sur l’extension (RTF en .doc pour les exploits RFT OLE) ;
  • etc.

Les outils d’analyse (rtfdump, rtfobj, pyrtf, pyrtf-ng, règles yara, etc.) ont également été abordés tout comme les solutions de génération de RTF malveillants (monsoon, MWI, sofacy, ancalog, ak builder, etc.).

Enfin, afin de faciliter le travail des équipes pour détecter des documents malveillants, Anthony a mis en avant quelques mots clés régulièrement en lien avec des comportements malveillants (\info, \object, DDEAUTO, \pict, etc.).

Hunting Attacker Activities – Methods for Discovering, Detecting Lateral Movements, par Keisuke Muda et Shusei Tomonaga

PAPER

Keisuke et Shusei ont présenté leur méthodologie pour identifier les « Lateral Movements » utilisés par les attaquants après avoir compromis une machine au sein d’un environnement Windows (pivot, purge, etc.). Cette dernière a fait ressortir des patterns qui se répètent dans chacune des APT étudiées (les commandes et outils utilisés sont d’ailleurs rarement audités par défaut via les mécanismes de journalisation d’évènements).

Difficile de résumer avec efficacité cette présentation tant le travail accompli est conséquent. Le document publié sur www.jpcert.or.jp sera davantage parlant pour toute personne intéressée souhaitant des détails (outils, méthodologies, scripts, schémas recherchés, etc.).

Pour faire court, inutile d’utiliser un grand nombre d’outils. Les deux intervenants ont démontré qu’à l’aide des journaux d’évènements (si présents) + Sysmon ainsi que de bonnes techniques de forensic, il était possible d’avoir avec exactitude les actions réalisées lors de ces « Lateral Movements ».

Une nouvelle fois, cette présentation a mis en avant l’importance des logs et du facteur souvent omis de centralisation vers un autre serveur (exemple en cas de purge). D’autres astuces pourraient également servir aux entreprises afin de renforcer leurs processus d’audit d’évènements Windows malveillants souvent non détectés par les antivirus & co.

 

L’équipe a XMCO a particulièrement apprécié cette nouvelle édition de la BotConf, et c’est avec impatience que nous attendons la prochaine édition qui se tiendra cette fois-ci dans la ville de Toulouse, du 4 au 7 décembre 2018.

Retrouvez tous nos résumés dans la prochaine édition de l’ActuSécu !


Jean-Yves Krapf

Consultant Cert-XMCO