Article

Cette année, la 6e édition de la Botconf se déroule du 04 au 07 décembre sur le campus de l’université Paul Sabatier à Toulouse. Plus de 400 personnes ont fait le déplacement depuis les quatre coins du monde afin d’assister aux différentes conférences dédiées aux botnets et à l’analyse de malwares. Comme pour les années précédentes, une journée de Workshop était prévue le mardi 04 décembre et les conférences ont suivi les 3 jours suivants.

BSSI propose un résumé des présentations qui ont particulièrement marqué les esprits.

Swimming in the Cryptonote Pools

(par Emilien LE JAMTEL)

Emilien est un analyste en sécurité travaillant à la Commission européenne (CERT-EU). L’objectif de sa présentation était d’expliquer l’intérêt grandissant porté par les criminels sur les cryptomalwares basés sur la technologie « cryptonote ». De plus en plus de malwares se basent sur cette technologie pour réduire les risques de se faire identifier. Le présentateur a succinctement rappelé que le Bitcoin se base sur une blockchain (livre blanc / registre) qui est accessible publiquement (via les explorateurs de blocs). Néanmoins, les cryptomonnaies se basant sur la technologie « cryptonote » ne comportent pas de livre public contenant l’ensemble des transactions réalisées sur le réseau. Ce livre est en réalité obfusqué (obfuscated blockchain). Il a pris l’exemple de la monnaie Monero (XMR). Seul le détenteur d’un portefeuille (wallet) est en mesure de déterminer le montant qu’il détient, ainsi que les transactions qu’il a réalisées. Quatre autres monnaies ont été mentionnées utilisant cette technologie notamment (Bytecoin, Dashcoin, Aeon, SumoKoin).

Le Monero est également particulièrement utilisé par les cybercriminels, car il est possible de miner du Monero sans avoir besoin de machines super-puissantes (un smartphone s’avère être suffisant). L’algorithme utilisé est Cryptonight (validation par preuve de travail – proof-of-work). De manière générale, personne ne mine seul dans son coin, car ce n’est pas vraiment rentable. Il est préférable d’utiliser des parcs collaboratifs (mining pools). Ces parcs permettent de partager les gains lorsqu’un bloc est miné.

Les attaquants sont de plus en plus créatifs et incorporent de nouveaux exploits afin de pouvoir propager leurs malwares (via par exemple des exploits publics tels que « EternalBlue« ). À titre d’illustration, le présentateur a mentionné le botnet Smominru qui a infecté plus de 520 000 machines Windows. Les plus gros botnets peuvent générer plusieurs millions de dollars en XMR.

Plusieurs méthodes sont utilisées pour analyser ces malwares :

  • Utilisation de règles Yara
  • Utilisation d’expressions régulières
  • Recherche de connexions vers des domaines de pools de minage connus (via des captures réseau)
  • Décompilation/Désassemblage

Les informations recherchées dans les binaires sont, entre autres :

  • Adresses de portefeuille Monero (des fois utilisées pour l’authentification sur le pool)
  • Domaines (et IP) de pools connus

La majorité des malwares utilise plusieurs pools en parallèle afin de diversifier et s’assurer qu’ils génèrent toujours des « revenus », car il y a un risque que les adresses de Wallet suspectent se fassent bannir.

Comment se fait l’authentification sur ces pools ? Suivant le pool de minage, elle se fait via une adresse email (par exemple le pool minergate) ou via l’adresse publique du portefeuille. De ce fait, les analystes peuvent faire de la corrélation d’informations (pour essayer de découvrir qui se cache derrière le botnet).

À la fin de la conférence il a présenté des exemples de malware (Windows & Linux) et a montré que certains malwares essayaient de tuer la concurrence. De plus, d’autres malwares plus élaborés implémentent des méthodes de persistance grâce à la création de tâches (schtasks ou wmic sous Windows ou cron sous Linux).

L’ensemble de ses outils est disponible sur son dépôt GitHub : https://github.com/kwouffe/cryptonote-hunt

APT Attack against the Middle East

(par Aseel KAYAL)

La présentatrice est une analyste de malware travaillant chez Check Point. Lors de cette présentation, Aseel a détaillé une des attaques menées par APT-C-23. Cette campagne d’attaques, toujours active, vise les autorités palestiniennes. La date de début semble être autour de mars 2018. Cette campagne est communément appelée « The Big Bang APT », car les noms des modules font allusion aux noms des acteurs de la série éponyme.

Tout a commencé par un mail de phishing comportant une pièce jointe (archive auto-extractible). Cette archive comportait un document Word et un binaire malveillant. Le document Word semblait provenir du parti politique palestinien « Palestinian Political and National Guidance Commission » et servait à leurrer la victime pendant que le malware s’installait en arrière plan.

Le document Word a été méticuleusement généré (titre de rapport de presse mensuel, métadonnées comportant le nom d’un colonel actuel, etc.). Le malware quant à lui a été découpé en plusieurs modules dont certains permettent de :

  • créer des screenshots et les envoyer au serveur de contrôle (C&C)
  • envoyer une liste de documents comportant les extensions (.doc, .odt, .xls, .ppt, .pdf)
  • envoyer des informations sur le système ciblé
  • éteindre le système
  • autodétruire le binaire

Des modules supplémentaires sont également récupérés par le serveur de contrôle. Lors de l’ouverture du document Word, le logo légitime apparaît ainsi qu’un rapport copié depuis le site Web officiel d’informations du parti.

Concernant le binaire celui-ci est une version améliorée de la version issue de la campagne de 2017 (Micropsia). Il a été programmé en C++ et s’appelle DriverInstallerU.exe.

Lors de l’exécution du malware, la première chose qu’il réalise est de s’assurer de sa persistance (via une tâche planifiée). De ce fait, celui-ci s’exécute toujours sur la machine ciblée. Par la suite il communique avec un serveur de contrôle (C&C) par défaut et dispose de plusieurs autres serveurs de secours.

Une fois la communication établie et fiable, il exfiltre les données système (nom du PC, nom de l’utilisateur, version du système d’exploitation et le nom de l’antivirus) via une requête HTTP (API) vers le C&C. Le serveur répond par une requête comportant l’ensemble des modules à activer. Les noms de ces modules font à la fois référence à la série « The Big Bang Theory » (Penny) ainsi qu’à la série turque « Resurrection: Ertugrul » (Sonmez).

Ce malware, contrairement aux RATs, ne permet pas de récupérer les touches tapées par la victime (Keylogger) ou de récupérer des mots de passe. Il se focalise plus sur la récupération de documents de type Microsoft Office.

C’est toujours une campagne en cours, mais d’après les traces laissées par les attaquants, il se pourrait qu’ils aient un lien avec le groupe « Gaza Cybergang APT« . Impossible de trouver la réelle identité des personnes derrière ces deux campagnes (2017 et 2018).

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.