Article

Après avoir réalisé le résumé de la première et de la deuxième journée, voici les conférences qui nous ont le plus marqués en cette troisième journée à la conférence de la Botconf.

Red Teamer 2.0: Automating the C&C Set up Process

(par Charles IBRAHIM)

Charles IBRAHIM, consultant sénior chez Wavestone, a débuté la présentation en définissant le terme « Red Team » et plus précisément en quoi une opération de Red Team consistait. Une mission de Red Team a pour but d’évaluer le niveau de sécurité d’une entreprise en utilisant toute sorte de moyens différents (physiques, informatiques et humains).

Pour mener à bien ce type de mission, l’approche suivante est en général utilisée. Elle consiste, dans un premier temps, à préparer méticuleusement la mission (c.-à-d. comprendre la demande du client et définir les objectifs). Par la suite, il y a la phase d’analyse qui consiste à poser tout le cadre (infrastructure notamment). Enfin, la troisième et dernière phase consiste à restituer les faiblesses identifiées.

La partie d’analyse constitue la plus importante phase d’une mission de Red Team et se découpe en 5 sous-parties :

  1. Reconnaissance (sélection des cibles et identification de vulnérabilités)
  2. Weaponization (implémentation d’outils nécessaires pour les besoins de la mission)
  3. Delivery (outil de distribution – mails, sites web)
  4. Exploitation (communication avec le serveur de contrôle – C&C)
  5. Post-Exploitation (accès aux informations recherchées initialement – but final)

De nombreux outils sont disponibles pour assister les missions de Red Team, mais aucun ne semble proposer une solution qui intègre plusieurs outils à la fois (et qui communiquent entre eux). L’outil proposé, Abaddon, permet, entre autres, de :

  • réduire le temps d’implémentation de l’infrastructure (serveur de contrôle, etc.)
  • faciliter l’exécution d’actions prédéfinies
  • réaliser des tâches complexes (en quelques clics)
  • réaliser et maîtriser l’organisation de missions longues (plusieurs mois)

À la suite de cela, le consultant a présenté l’architecture du serveur de contrôle déployé. Celle-ci se base en grande partie sur une infrastructure Cloud (instances EC2 d’Amazon, serveurs SES SMTP, Route53 DNS). Les briques suivantes ont également été ajoutées :

  • gestion de l’authentification des utilisateurs (manque le cloisonnement des données entre les consultants en mission)
  • gestion des fichiers de journalisation (pour avoir toutes les traces de la campagne)
  • gestion de l’administration et le déploiement d’agents à distance (agents Empire)
  • implémentation de techniques de communication furtive

La seconde partie de la présentation explicitait un peu plus les différentes étapes d’une opération Red Team et montrait comment Abaddon permettait de couvrir l’ensemble de ces points.

  1. Reconnaissance : ils ont développé une interface Web qui interagissait avec l’outil reconnu « recon-ng »
  2. Weaponization : ils ont automatisé la compilation d’un RAT (qui n’est actuellement pas encore reconnu par les antivirus), l’exécution d’un agent Empire obfusqué depuis le RAT et ont généré un site Web permettant de spécificier les propriétés (compilation, etc.) via un formulaire HTML.
  3. Delivery : ils ont automatisé la création d’instances EC2 d’Amazon (groupe de sécurité, profil, les clefs cryptographiques), le déploiement d’instances Gophish (incluant l’utilisation de serveurs SES SMTP) et la création de serveurs bucket S3.
  4. et 5. Exploitation et post-exploitation : ils reçoivent et gèrent les connexions des RAT, lancent des commandes de découvertes de réseau et exécutent des commandes arbitraires sur les systèmes infectés depuis l’interface graphique.

Le présentateur a fait un petit aparté en insistant sur le fait qu’il était important de tout journaliser (incidents techniques ou monitorer l’équipe bleue du client, par exemple savoir combien de temps ils ont mis pour détecter l’intrusion, etc.).

Pour clôturer cette présentation, l’orateur a rappelé que les missions de Red Team étaient techniquement complexes, mais également politiquement sensibles. L’automatisation de toutes ses tâches facilite le processus et fait surtout gagner beaucoup de temps. Enfin, l’outil permet aussi de réaliser des tâches séparées, comme par exemple uniquement la phase de reconnaissance (pour un pentest classique) ou des campagnes de Phishing.

Abaddon n’est malheureusement pas disponible, car, d’après le présentateur, il reste encore beaucoup de choses à développer pour le rendre optimal. En outre, il pourrait être utilisé par des personnes malintentionnées.

Mirai: Beyond the Aftermath

(par Rommel JOVEN)

Cela fait maintenant deux ans que Mirai a fait parlé de lui. Beaucoup de choses se sont passées depuis, tout d’abord le créateur de ce malware s’est fait arrêter, puis le code source a été divulgué et puis les organisations ont sérieusement pris conscience des risques des malwares et ont commencé à se préparer à se défendre aux futures attaques similaires. Qu’en est-il aujourd’hui ?

Rommel JOVEN est un chercheur de malwares chez Fortinet. Il a tenté de répondre à cette question. Pour cela, il est parti de l’origine et a succinctement rappelé l’histoire de ce malware et ce à quoi il était destiné. Tout a commencé par une attaque DDoS sur le site KrebsOnsecurity. Une seconde attaque a suivi sur l’infrastructure managée de DNS du fournisseur Dyn affectant par conséquent des sites Web à forte fréquentation tels que Twitter, Spotify ou Reddit.

Avant cela, il était nécessaire d’expliquer pourquoi certaines catégories de malwares se focalisent sur l’IoT (internet des objets). La réponse à cette question peut se résumer aux cinq points suivants :

  • facilité d’exploitation (via des identifiants faibles et des codes d’exploit publics)
  • disponibilité (24/24h et 7/7j)
  • puissance suffisante pour réaliser des attaques par déni de service distribué (DDoS)
  • rarement surveillés et très souvent pas mis à jour
  • code source de malwares précédent existant (réutilisation facile)

À titre d’exemple, plusieurs malwares ont vu leur code source divulgué :

  • Hydra (2008)
  • Aidra (2012)
  • Wifatch (2014)
  • Bashlite (2014)
  • Mirai (30 septembre 2016)

Il y a une forte recrudescence de malwares IoT en 2018 (plus du double de l’année précédente) et il s’avère qu’il y a 49% des botnets qui se basent sur le code source de Mirai (d’après le chercheur).

Les composants principaux de Mirai sont :

  • le serveur de contrôle (C&C)
  • le serveur de rapports
  • le « loader »
  • le bot (installé sur l’équipement IoT)

Après avoir exposé les composants de ce malware, l’orateur a montré le processus de fonctionnement de celui-ci. Les équipements infectés par Mirai recherchent en permanence sur Internet des adresses IP qui correspondent à d’autres objets connectés et tentent de les infecter (via l’utilisation de mots de passe par défaut). Ces équipements infectés continueront de fonctionner normalement, modulo quelques lenteurs. Une fois infecté, l’équipement contacte le serveur de rapport pour lui communiquer l’IP et les identifiants valides utilisés. La seconde étape consiste au serveur de contrôle (ayant pris le contrôle de l’équipement infecté) d’envoyer des directives pour réaliser une attaque de déni de service distribué sur une cible bien définie.

L’administrateur du botnet dispose d’un accès à l’ensemble des serveurs (rapport, C&C), mais le créateur a également développé une fonctionnalité qui permettait à des utilisateurs de botnet d’accéder au serveur de contrôle (pour monétiser son travail, il fait payer les utilisateurs).

L’autre partie de la présentation consistait à s’intéresser aux noms des malwares et aux portions de code / fonctionnalités de Mirai qui ont été réutilisées. Le chercheur en a recensé 7 qui sont :

1. NewAidra (novembre 2016)

  • utilisation de la même liste d’identifiants de connexion

2. Hajime (octobre 2016)

  • utilisation de la même liste d’identifiants de connexion
  • réseau P2P

3. IoTReaper (septembre 2017)

  • utilisation de 9 exploits
  • intégration d’un environnement Lua

4. Persirai/Http81 (avril 2017)

  • copie du scanneur de ports
  • copie de fonctions utiles (chaîne de caractères « Mirai » retrouvée des les noms de fichiers)
  • focus sur les caméras IP sans fil (P2P)

5. Bashlite with MiraiScanner (août 2017)

  • utilisation de la même liste d’identifiants de connexion
  • scanneur Mirai

6. HideNSeek (janvier 2018)

  • exfiltration de données
  • copie de fonctions utiles (consume_pass_prompt() et consume_user_prompt())
  • utilisation d’exploits (RCE)
  • focus sur les équipements de domotique (dernière version en date)

7. ADB.miner (février 2018)

  • copie du scanneur de ports
  • utilisation de la même liste d’identifiants de connexion
  • cible les équipements Android avec les ports de debug (adb) accessibles
  • mineur de Monero

Quels sont les principaux changements apportés au sein des malwares nés après Mirai (variantes) ?

  • Scanner (nouvelle liste d’identifiants, cible de nouvelles architectures, utilisation d’environ 40 nouveaux codes d’exploitation récents)
  • Attack (8 nouvelles méthodes d’attaques de déni de service)
  • Anti-analyse (Vanilla UPX)
  • C&C (Domain Generation Algoritgms – DGA et Blockchain-DNS)

Voici le récapitulatif des malwares nés après Mirai :

 

 

Ecrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Catégories
Twitter

TeamViewer bans your ID if you will try to connect with the wrong password and close the connection 10 times, but if you don't finalization a connection (on the screen "Cancel" button), you can brute 4-digit PIN-code.
cmd "C:\PF\TeamViewer\TeamViewer.exe" -i %ID% -P %PIN%

Le 26/09 l'EBG remettra à l'ensemble de la communauté le livre blanc "Cybersécurité et Confiance Numérique" réalisé en partenariat avec @AFNOR, @Certigna et @CESIN_France Pour vous inscrire à la conference @ebg https://t.co/fWQSZHf7Jy … #cybersécurité #EBG

BSSI continue son développement et recherche des compétences en cybersécurité sur Paris et Toulouse. https://t.co/hj4uJ53EVM

La Californie possède sa version du RGPD. #rgpd #privacy #europefirst https://t.co/CtJilpW0z3

Load More...

© 2017 Blog BSSI, inc. All rights reserved.