JOUR 2
Titre : Ransomware & Beyond
Les ransomware sont maintenant bien connus mais leur nombre ne cesse d’augmenter. Christiaan Beek partage dans cette conférence son expérience sur les recherches qu’il a menées. Il explique d’abord pourquoi les ransomware sont si répandus et comment, avec peu de connaissances informatiques, il est possible d’utiliser des ransomware.
Il détaille ensuite les différentes techniques qu’il a employées pour étudier et parer les ransomware, comme :
- le machine learning
- les analyses statiques/dynamiques
- l’analyse mémoire
- etc.
Il présente ensuite « Ransomware Interceptor », un projet visant à stopper les infections des ransomware en détectant le chiffrement des fichiers, tout en concluant sur leurs possibles futures évolutions.
Titre : Attacking Linux/Moose 2.0 Unraveled an EGO MARKET
Linux/Moose est un ver visant l’IoT, notamment les systèmes Linux avec BusyBox. Afin de traquer les agissements de ce ver, les chercheurs de GoSecure, en partenariat avec l’ESET, ont mis en place plusieurs honeypots qui ont servi à étudier les connexions ouvertes par le botnet.
Masarah Paquet-Clouston et Olivier Bilodeau de GoSecure nous présentent comment le bot met en place une attaque de type MITM sur les connexions HTTPS en imitant une inspection TLS afin de viser les réseaux sociaux. Ils nous expliquent que le but de ce bot est donc de rester le plus discret possible tout en ne faisant pas de ‘victime directe’ afin de ne pas attirer d’attention. La finalité étant de générer des ‘Like’ ou de suivre des personnes sur les réseaux sociaux.
En conclusion, les orateurs nous présentent comment ils sont remontés jusqu’au site qu’ils supposent être la source d’achat des actions sur les réseaux sociaux, mais aussi que, malgré leurs efforts, les autorités et les hébergeurs ne s’intéressent pas à ce botnet par manque de ‘victime directe’.
Slides : https://www.botconf.eu/wp-content/uploads/2016/11/PR08-MOOSE-BILODEAU-PAQUET-CLOUSTON.pdf
Titre : Tracking Exploit Kits
John Bambenek de Fidelis Cybersecurity nous présente sa méthode pour pister les Exploit kits. En effet, les Exploit kits est l’une des méthodes les plus répandues pour distribuer des virus, ainsi surveiller les Exploit kits permet de diminuer grandement les infections.
Les priorités de John Bambenek sont d’assurer la détection des Exploit kits pour protéger les utilisateurs mais aussi développer l’intelligence de surveillance des Exploit Kits.
Ainsi, Fidelis Cybersecurity a mis en place des machines virtuelles vulnérables à certains sets d’exploitation afin de suivre les Exploit Kits en fonctions des vulnérabilités exploitées. Couplé à un crawler (le bot de Bing par exemple), il est possible de détecter les URLs malveillantes.
En conclusion, la méthode de John Bambenek permet de surveiller un grand nombre d’Exploit Kits, qu’il relie ensuite à des familles de malware ou groupes de hacker.
Sildes : https://www.botconf.eu/wp-content/uploads/2016/11/PR09-Tracking-exploit-kits-Bambenek.pdf
Titre : Improve DDoS Botnet Tracking With Honeypots
Cette conférence de Ya Liu, chercheur chez Qihoo 360, nous montre comment traquer les DDoS provenant des botnets afin de savoir :
- Qui est attaqué
- Quelle famille de botnet attaque
- Quel Comand & Control gère l’attaque
- Quels sont les paramètres de l’attaque
L’équipe de Qihoo 360 a commencé sa surveillance depuis 2014 pour traquer plus de 30 familles de botnet. Ils exposent donc leurs stratégies avec plus d’une dizaine de honeypots. Afin de catégoriser les familles, Ya Liu et ses collègues se basent sur la signature PGA (Packet Generation Algorithm). Trois types d’attaques sont supportées, les TCP SYN-ACK, les DNS réponses et les messages ICMP inaccessibles.
Qihoo 360 a ainsi détecté 2,333 SYN-ACK et 1,835 DNS d’aout 2015 à Octobre 2016.
Titre: Function Identification and Recovery Signature Tool (FIRST)
A 12h30 Angel Villegas (Talos) présenta « Function Identification and Recovery Signature Tool (FIRST) », un plugin IDA qui permet de faciliter le reverse engineering de binaires inconnus.
Le but du plugin est de stocker et de centraliser sur un serveur partagé différentes informations pour une suite d’opcodes donnée (nom de la fonction, commentaires, source, etc.). Ainsi, lors de l’analyse d’un nouveau programme, il est possible de récupérer des métadonnées associées à l’ensemble des fonctions du programme si elles sont présentent sur le serveur FIRST. Talos a mis en place un serveur FIRST public qu’ils ont alimenté en compilant de nombreux projets open source. Il est également possible de mettre en place un serveur FIRST privé (« on-premise ») comme décrit dans la documentation disponible ici: http://first-plugin-ida.readthedocs.io/en/latest/.
La source du projet est disponible sur Github: https://github.com/vrtadmin/FIRST-plugin-ida
Titre : Advanced Incident Detection and Threat Hunting using Sysmon (and Splunk)
Après une rapide introduction de « sysmon », outil de la suite sysinternals, Tom Ueltschi nous présente son approche pour améliorer la détection sur les postes de travail.
Le but étant de proposer une méthode se basant sur « sysmon » et Splunk afin de générer des alertes en cas de compromission des postes de façon automatisée et modulable. Pour générer ces alertes, Tom Ueltschi a créé des règles basées sur les comportements suspects et non usuels.
Ainsi, il nous présente des règles pour détecter l’exécution de commandes PowerShell comme le téléchargement d’un fichier ou les arguments qui ne sont pas usuels lors de l’exécution des programmes. Certaines règles de détection sont basées sur les actions des outils classiques de test d’intrusion afin de détecter les mêmes comportements que ceux produits pendant ce type d’intervention.
Titre: How Does Dridex Hide Friends?
De 14h40 à 15h, Alexandra Toussaint (OpenMinded) et Sébastien Larinier (Sekoia) ont présenté une investigation qui a eu lieu suite à un transfert bancaire frauduleux de 800,000€ depuis un compte disposant d’une authentification multi-facteurs. L’investigation a été réalisée à partir d’une image disque de la machine infectée. Les fichiers identifiés (VBS) ont permis de déduire qu’il s’agissait du malware Dridex. Cependant, d’autres fichiers non liés à Dridex (notamment un fichier nommé « j.bat » contenant du PowerShell obfusqué) ont été identifiés sur le disque.
La présence de ces fichiers lève l’hypothèse de la revente de bots Dridex à d’autres acteurs qui auraient réalisé le transfert bancaire via l’outil d’administration à distance RemoteUtilities.
Titre: A Tete-a-Tete with RSA Bots
A 15h, Jens Frieß a présenté « A Tete-A-Tete with RSA Bots », une présentation orientée sur le reverse de bots utilisant la cryptographie asymétrique lors de la communication avec le C&C. Son approche consiste a mettre en place une architecture client-serveur similaire à celle utilisée par le botnet, mais en remplaçant les pairs de clés. Le remplacement de la clé publique du bot est réalisé en injectant une DLL qui « hook » les API Windows liées à la gestion des clés et certificats. La communication avec le faux C&C est rendue possible via du spoofing DNS. Sa méthode s’est prouvée efficace contre Panda Banker (clone du Zeus) et URLZone. Cependant, elle présente quelques limitations :
- S’applique uniquement dans le cas d’analyse dynamique
- Fonctionne uniquement si le bot utilise les bibliothèques standard et si aucun mécanisme contre l’injection de DLL n’est présent
- Requiert la connaissance de la structure des messages transmis entre les clients et le serveur.
Titre: Takedown client-server botnets the ISP-way
Après une courte pause café, Quảng Trần Minh du groupe Viettel a présenté « Takedown client-server botnets the ISP way » en commençant par énumérer les forces et possibilités dont un fournisseur d’accès dispose pour lutter contre les botnets (DNS, contrôle du trafic, DPI, etc.). Le groupe Viettel a mis en place un serveur C&C fictif vers lequel il redirige le trafic de ses utilisateurs en cas d’infection. Plusieurs méthodes de redirection ont été mises en place :
- Changement de l’entrée DNS sur le serveur DNS du FAI pour pointer vers le serveur d’analyse
- Modification des réponses/requêtes DNS dans le cas où les utilisateurs n’utilisent pas le serveur DNS du FAI
- Redirection directe du trafic IP, si la connexion s’effectue directement via une adresse IP.
Quảng Trần Minh a expliqué les spécificités techniques du serveur qu’ils ont mis en place. Celui-ci se base sur un système de répartiteur et de modules, qui permettent de simuler plusieurs C&C différents sur un seul et même serveur suivant les protocoles utilisés, la structure des messages, etc.
Les méthodes présentées se sont montrées efficaces contre les botnets Ramnit et Andromeda, mais peuvent difficilement être appliquées pour les bots qui vérifient l’identité du C&C ou qui utilisent une couche de chiffrement asymétrique.
Slides: https://www.botconf.eu/wp-content/uploads/2016/11/PR15-Takedown-ISP-QUANG-TRAN-MINH.pdf
Titre : Detecting the Behavioral Relationships of Malware Connections
Sebastian Garcia nous présente un moyen de détection des compromissions ne se reposant non plus sur les IOC mais sur le comportement des virus. Il explique que les IOC sont le meilleur moyen de détection actuel mais ils ne sont pas suffisants.
Stratosphere IPS est un logiciel libre reposant sur les ‘intentions’ des virus, couplé à du machine learning. Cet IPS modèle le comportement des virus en fonctions de connexions établies avec un ensemble d’IP et de port destination, et du protocole afin de déterminer les comportements de chaque virus.
Bien que cet IPS soit en cours de développement et génère encore des faux positif, Sebastian Garcia explique comment améliorer la détection des malware en utilisant donc les comportements anormaux.
Titre: Analysis of free movies and series websites guided by user search terms
A 17h15, Luis Alberto Benthin Sanguino a présenté une étude qui démontre que les sites internet proposant des films et séries gratuitement font partie de ceux qui distribuent le plus de contenu malveillant. En effet, le divertissement gratuit attire de nombreux utilisateurs partout dans le monde et est par conséquent un vecteur d’attaque privilégié pour les opérateurs de botnets. L’approche utilisée par Luis Alberto est de parcourir les 20 premiers résultats retournés par le moteur de recherche Google, pour des requêtes telles que « free online movies » dans différentes langues.
L’automatisation des requêtes est réalisée avec des scripts Selenium afin de simuler le comportement d’un utilisateur légitime. Les différents noms de domaine et URL parcourus sont envoyés sur VirusTotal afin d’estimer la malveillance du contenu.
Les résultats de son étude montrent que les recherches faites en allemand comprennent le moins de résultats malveillants, alors que les recherches en espagnol en comprennent davantage.
Lightning talks
Le dernier créneau de cette 2eme journée fut consacré aux lightning talks avec 11 présentations de 3 minutes chacune :
- « Unprotect », un projet open source qui consiste à installer des artefacts de machine virtuelle (DLL, clés de registres, etc.) sur les postes de travail classiques afin de tromper les malware utilisant des mécanismes anti-virtualisation et d’empêcher les infections. http://unprotect.tdgt.org/index.php/Unprotect_Project
- Osiris, un émulateur/debugger d’exécutables Windows permettant de faciliter les analyses en appliquant des hooks via l’injection de DLL. http://os-iris.sourceforge.net/
- Un retour d’expérience de Deutsh telekom concernant les attaques sur le protocole TR-069 de certains routeurs.
- Le projet Botleg qui concerne la légitimité, la légalité et la régulation des attaques allant contre les botnets.
- Une présentation de thèse concernant les botnets Android.
- sisyphe.io, un projet similaire à Shodan utilisant massscan qui permet d’obtenir diverses informations sur une adresse IP
- « A little rent about the use of Virustotal »
- L’analyse et l’évolution du botnet TrickBot
- Malboxes, un outils d’automatisation permettant de créer des machines virtuelles pour faciliter l’analyse de malwares
- l’analyse d’un malware .NET
- Le tracking de Dridex
Enfin, la journée s’est terminée avec le social event qui a eu lieu à la chapelle de la Trinité.
(Liens vers les comptes-rendus des autres jours : jour 1 & jour 3)