Botconf 2013 - Jour 2
lMobile Botnet Honeypot
Zitmo était un zeus version mobile qui à couté quelque millions d’euros aux utilisateurs. D’autres botnets mobiles font du spam sms, ou du ddos sur mobile.
La propagation se par l’accès ssh des téléphones rooté aux rogue apk. D’où l’intérêt de travailler sur un honeypot dédié aux mobiles.
Le problème, c’est que les botnets mobiles remontent beaucoup d’informations à caractère personnel, et il faut gérer cet aspect là lorsqu’on accède à son c&c, car les aspects privacy sont à prendre en compte vis à vis des victimes.
Les utilisateurs de téléphones mobiles peuvent servir de honeypots sous forme participative par l’installation d’une application de monitoring. Pourquoi utiliser un vrai utilisateur ? Parce que les malwares mobiles détectent les appuis aléatoires sur l’écran ou les mouvements du téléphone et reste dormant dans ce cas, privant l’analyste d’informations intéressantes.
My name is hunter, ponmocup hunter (twitter)
Ponmocup est un botnet sous-estimé, découvert chez un client de l’orateur en 2011. Le malware vérifie la présence de proxy, et effectue diverses requêtes sur l’internet après infection, ce qui permet de l’identifier sur un réseau en analysant les logs des pare-feux. De même certains patterns dans les urls permettent d’identifier les clients infectés au travers de leur requêtes.
L’analyse de ce botnet à pris beaucoup de temps libre à l’orateur, qui propose une collaboration ouverte pour lutter contre ce botnet.
Reputation-based life course trajectories of illicit forum members
C’est pas le tout de se focaliser sur la technique, il ne faut pas oublier les cybercriminels derrière ces botnets. Ces plateformes d’échanges illicites comme silkroad, ou les forums spécialisés proposent des services au travers de formulaires pour régler des conflits, ou demander des services ou des mises en relation.
En utilisant des techniques de web-scraping et divers scripts pour croiser les informations sur les notations de réputation des membres de ces forums. Ainsi on peut identifier des profils d’acteurs et leur progression sociale sur les plateformes de cybercrime.
La réputation n’est pas le seul moyen de faire du business pour ces cybercriminels, certains gardent un niveau de réputation bas volontairement et proposent des essais de « services » gratuitement pour prouver leur « bonne foi » et faire affaire.
APT-1 Technical Backstage
Après un hommage à MalwareMustDie, l’orateur explique comment il à identifié les hôtes hébergeant des daemon poisonIvy en développant un script spécifique. La majorité des machines accessibles étaient localisés sur Hong-Kong. Et lorsque les daemon n’étaient pas utilisés, ils éteignaient les serveurs. Ainsi, les horaires de travail des attaquants ont pu être identifiés.
PoisonIvy utilise un chiffrement Camellia, et offre une fonction « echo » qui à permis de casser le mot de passe du protocole PoisonIvy et communiquer avec les daemon. 300 serveurs sont gérés par le groupe de cybercriminels via RDP.
Europol and European law enforcement action against botnets
La discrétion des forces de polices quand à leurs informations est un frein parfois à la coopération avec les acteurs privés, mais assure aussi la confidentialité des informations qui leur sont confiés. La coopération entre organisations anti-malware et forces de police, La coopération entre pays pour lutter contre les cybercriminels et les botnets font parti des défis à relever.
L’arrestation du botherder ne suffit pas à mettre à terre un botnet, et dans certains cas il faut y associer des actions techniques pour éviter que le botnet ne soit récupéré.
Europol s’intéresse à l’écosystème cyber-criminel et pas juste au botherder. Certains sont spécialisés en création de bot, de malwares, de packers, d’autres dans le blanchiment d’argent, le scam ou l’intermédiation. Tout ceci s’échangeant sur des plateformes de communication: forums, messageries instantanées etc.
S’attaquer à ces Infrastructures, ces services permet d’affaiblir le cybercrime, et Europol étudie les points faibles de cet écosystème. Il faut lutter contre les cybercriminels et pas seulement contre leurs outils.
A General-purpose Laboratory for Large-scale Botnet Experiments
Problématiques et usages d’un gigantesque labo pour étudier des botnets.
DNS Resolution Traffic Analysis Applied to Bot Detection
domaintrap: détection de domaines généré par des algo pour assurer la robustesse d’un botnet et de sa communication avec le C&C. Ils ont donc mis en place divers classifieurs pour identifier si la chaîne est composé de mots ou de caractères random, s’il s’agit de mots français ou anglais ou autre, etc..
Entropie de shanon, filtres bayesiens, phonetic distance were explored to find new ways to distinguish between generated domain names and real domain names.
Exploit Krawler: New Weapon againt Exploits Kits
L’objectif de l’outil est de collecter les exploits & malwares renvoyés par des exploit kits comme BlackHole EK. Pour trouver des exploit-kits, il suffit d’aller sur des sites blacklistés dans des malwares lists avec une VM et de collecter le malware.
Mais les auteurs d’EK mettent en place un très grand nombre de contre-mesures pour s’assurer qu’un simple curl ne sera pas capable de récupérer les malwares.
Les orateurs ont créé un framework qui pilote des navigateurs via Selenium dans des VM avec un proxy d’interception SSL (honeyproxy). Les urls sont collectées à partir de twitter, de spams etc…
Les requêtes http enregistrées par le proxy sont rejouées depuis différents endroits du globe pour déjouer les vérifications géographiques.
bladerunner adventures tracking botnets