Article

Hier, nous vous faisions le retour de la première journée à la Botconf se déroulant à Toulouse. Continuons aujourd’hui avec la deuxième journée où plusieurs conférences ont retenu notre attention.

Internals of a Spam Distribution Botnet

(par Jose Miguel ESPARZA)

Jose Miguel ESPARZA, responsable de la Threat Intelligence chez Blueliv, a commencé par rappeler la définition d’un botnet et ce à quoi il est destiné. Les cybercriminels utilisent différentes méthodes pour diffuser des malwares (programmes malveillants) telles que de fausses publicités, des kits d’exploitation, voire des campagnes de Spam (mails). Plusieurs types de malwares finaux existent : les dérobeurs d’identifiants, les banquers ou encore les RATs.

Le présentateur explique que les attaquants essaient d’infecter un maximum d’ordinateurs afin d’obtenir un impact plus important. Pour cela, il leur est nécessaire d’automatiser l’ensemble de leurs actions pour aboutir à leur fin. Nous pouvons discerner des familles de malwares telles que Necurs, Cutwail, Onliner ou encore Emotet.

Dans cette présentation, l’accent a été mis sur le Spambot Onliner. Son mécanisme interne (panneau de configuration) et ses modules ont été détaillés, mais avant cela une succincte présentation a été réalisée sur Necurs et Emotet.

Onliner est très modulaire. Le principal .exe télécharge des bibliothèques (DLL) qui correspondent aux modules. Chaque module a sa propre fonctionnalité :

  • Mailers
  • Brute force de serveurs SMTP
  • SMTP checker (id=2)
  • IMAP checker
  • Brute force des panneaux d’administration (admin panel)

La communication avec le serveur de contrôle (C&C) se fait via des requêtes HTTP (paramètres encodés en base64). Plus précisément, un paramètre GET permet d’identifier le module et un autre paramètre permet de récupérer le nom du module à télécharger.

Lors de son analyse, le chercheur s’est aperçu de certaines fautes typographiques (en langue anglaise), présentes sur le panneau d’administration. Ces fautes laissent à penser que le créateur est probablement russe.

Deux modules nous ont été présentés. Le premier module est le « SMTP checker » qui permet dans un premier temps d’uploader une liste conséquente d’identifiants SMTP (couple identifiant et mot de passe). Par la suite, les bots (machines infectées) vont envoyer un seul mail par identifiant testé à une adresse mail contrôlé par l’attaquant, afin de déterminer quels sont les couples d’identifiants valides.

Le second module est le “Mailer » qui utilise une liste d’identifiants qui a été vérifiée par le premier module (SMTP checker). Dans un second temps, le botnet découpe les tâches à réaliser par les bots du réseau (définir les destinataires, ajouter des liens pointant sur des fichiers malveillants (PDF, DOC) ou encore définir les en-têtes du mail).

En conclusion, les “spambots” sont utilisés pour distribuer des malwares (tout type) ou encore faire du Phishing. Le botnet Onliner continue de se développer et de nouvelles approches pour charger de nouveaux modules sont mises en place. Il est de ce fait important de porter une attention particulière à ces réseaux de bots pour comprendre comment ils évoluent et identifier les techniques employées par les attaquants.

Stagecraft of Malicious Office Documents – A Look at Recent Campaigns

(par Deepen DESAI, Tarun DEWAN et Dr. Nirmal SINGH)

Les deux orateurs qui ont animé cette présentation (Deepen et Nirmal) ont abordé le sujet de l’évolution des macros présentes dans les documents Microsoft Office. Les premières attaques via les macros sont apparues dans les débuts des années 2000. En 2007, Microsoft décide de désactiver par défaut les macros au sein des documents Office. À la suite de cela, il y a une renaissance de macros malveillantes ciblant directement les utilisateurs. Les incitations sont de plus en plus efficaces, pour cela elles prétextent par exemple à l’utilisateur que le contenu du document est chiffré et qu’il faut activer les macros pour pouvoir activer la fonction de déchiffrement.

Les statistiques actuelles montrent que les entreprises utilisent en moyenne 1 million de documents par jour (doc et xls confondus). Toujours d’après ces statistiques, les documents les plus vulnérables sont les .doc (novembre 2018).

Le cycle de vie d’une infection par un malware peut se résumer aux étapes suivantes :

  1. Campagnes de Spam
  2. Document malveillant (comportant une macro)
  3. Collection d’informations techniques
  4. Social Engineering (pour exécuter la macro)
  5. Charge malveillante (RAT, Ransomware, etc.)

 

Leur analyse s’est basée sur 1200 documents malveillants durant les deux dernières années. De plus, les documents sur lesquels ils se sont basés étaient très faiblement détectés par les antivirus. L’analyse technique employée était à la fois manuelle (statique) et dynamique (sandboxing). Au total, ils ont analysé 9 campagnes différentes (comportant des variantes différentes) :

  • 1ère campagne : AppRun (utilisation de powershell pour télécharger la charge malveillante finale, code obfusqué/chiffré)
  • 2e campagne : ProtectedMacro (3 variantes, code powershell stocké dans les propriétés de champs de texte)
  • 3e campagne : LeetMX (3 variantes, utilisation des noms de fichiers en « leet text » – Off1cc3k3yV4l1ds.exe)
  • 4e campagne : OverlayCode (2 variantes, code powershell chiffré à la fin du fichier)
  • 5e campagne : xObjectEnum (macro utilisant plusieurs champs d’objets VBA, les fichiers Excel se basaient sur des templates italiens, polonais et allemands de TVA)
  • 6e campagne : PingStatus (classe WMI Win32_PingStatus pour détecter les sandbox)
  • 7e campagne : Multiple embedded macros (fichier RTF malveillant contenant plusieurs fichiers Excel)
  • 8e campagne : HideInProperty (code powershell caché au sein des propriétés du document)
  • 9e campagne : USR-KL (utilisation de User-Agent HTTP USR-KL et TST-DC)

De plus, les analystes ont constaté l’intégration de portions de code exploitant des failles de sécurité affectant des services Microsoft (CVE-2017-0199 et CVE-2017-11882).

En conclusion, vis-à-vis de l’analyse qui a été réalisée sur ces neuf campagnes, les chercheurs ont pu montrer que :

  • les chiffrements utilisés étaient basiques
  • le powershell reste le langage préféré pour télécharger la charge malveillante finale
  • de nouvelles techniques sont employées pour essayer de détecter les sandbox (et émulation – vm)
  • les attaquants essaient de rendre furtive la charge malveillante finale par des scripts intermédiaires.

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.