Botconf - J1
Edit: comme j’ai manqué la matinée, vous trouverez un autre write-up sur le blog de @xme
Havex RAT – Full story
Havex est un rat connu pour rechercher des ICS, des systèmes de contrôle industriel, et il est désigné comme le nouveau Stuxnet à l’époque ou ça a été découvert. Bon, en fait, il a pas grand chose de nouveau, c’est juste un RAT avec des modules. Le module le plus intéressant, c’est le scanner OPC qui effectue la recherche de serveurs OPC contrôlant des automates. Le C&C utilise des pages testlog.php comme porte d’entrée sur le canal C&C ou sont déposés les données exfiltrées. Havex dépose aussi un webshell pour l’administration du canal de c&c et la récupération des données exfiltrées par les bots. La récupération provoque la suppression des fichiers sur le serveur de dépot. A partir des logs, les analystes ont pu déterminé que la première « sortie » d’Havex datait du 29/12/2011, plus de 22k IP, 80 serveurs de C&C pour 4k identifiants uniques environ. Ce malware cible diverses entreprises, fournisseurs d’accès, labos de recherche, etc… Un site pour vérifier si votre IP est infectée par Havex.
The many faces of Mevade
Mevade, un malware pas très intéressant à priori, fonctionnalités classiques, rien qui sorte du lot. Jusqu’a ce qu’on constate un pic de connexions sur TOR. Connexions remontées jusqu’au botnet Mevade qui embarquait un composant TOR et était à l’origine d’une surcharge du réseau d’anonymisation. Sur une variante de Mevade, quelques DNS remontent à un Dr avec le même numéro NPI. L’analyse des échanges du c&c correspondent au protocole « stratum » qui sert à miner des bitcoins (en plus du détournement des recherches utilisateurs et la fraude au click).
Splicing and Dicing 2014: Examining this Year’s Botnet Attack Trends
Cloudflare fournit des serveurs DNS et des reverse-proxy HTTP permettant d’encaisser des attaques DDOS en filtrant les attaques et en laissant passer les requêtes légitimes. 25% des réseaux autorisent de faire du spoofing IP (absence d’egress filtering). Les attaques DDoS font souvent appel à de l’amplification. Récemment une attaque à 400Gbps à utilisé NTP avec des paquets UDP dont la source était usurpée, ce qui offrait un effet multiplicateur de 200 paquets générés pour un paquet usurpé.
Cloudflare enregistre des attaques DNS régulièrement. L’attaque consiste à requêter des noms de domaines foireux pour un domaine donné comme www1.n0secure.org, et de faire tourner les requêtes pour forcer le serveur à les résoudre. Certains DDoS HTTP sont pas très subtils et utilisent des urls aléatoires, d’autres utilisent toujours la même url, d’autres ont toutes le même user-agent ce qui facilite le filtrage. D’autres utilisent des user-agent légitimes, mais avec une distribution linéaire, donc pas très réaliste comparé à la répartition statistique des user-agent issues d’un traffic légitime.
Le reverse-proxy de Cloudflare à aussi bloqué pas mal d’attaques (WAF) lié à shellshock, et les attaques commences juste après la release de la vulnérabilité, les admin web ont donc très peu de temps pour réagir.
Virus Tracker
(streaming live disponible)
Virustracker surveille des botnets et fait du sinkholing en récupérant les noms de domaines utilisés dans les canaux de C&C de divers botnets. Ce qui permet d’obtenir des statistiques et de savoir si une IP est infectée ou pas à partir du moment ou elle requête ces domaines spécifiques. C’est une approche couteuse, et parfois les forces de l’ordres dans des opération de takedown de botnets viennent frapper à la porte. Ce n’est pas le tout de traiter les noms de domaines, il faut aussi s’interfacer avec le canal de C&C du botnet pour pouvoir comprendre ses communications et les analyser.
How to dismantle a botnet
Une présentation sur les aspect légaux du takedown de botnets. L’analyse technique, beaucoup savent faire, analyser le botnet, voir trouver les IP des responsables, ça se fait, mais lorsque les faits sont rapportés aux forces de l’ordre, le takedown prend beaucoup de temps, voir n’aboutit pas.
Exemple avec gameover zeus, ou le FBI collectait les données depuis 2 ans sur ce botnet. La taille du botnet et le nombre de pays impactés était tellement énorme, pourquoi les américains ont réussi leur takedown ? D’abord l’arsenal législatif et la flexibilité du mandat du FBI dans ses enquêtes facilite énormément la collecte d’information, ce qui facilite l’analyse et l’identification des cybercriminels. Le choix de l’état dans lequel la plainte est déposé influe sur la capacité pour les forces de l’ordre à poursuivre un cybercriminel en dehors des frontières de l’état ou des US.
Il faut aussi pouvoir notifier le criminel qu’une plainte contre lui à été déposée, lui permettant de se défendre. Le contact à une adresse physique est parfois complexe, et certains juges choisissent d’utiliser des contacts par e-mail ou d’autres moyens électroniques comme notification. Le fait d’utiliser des techniques intrusives pour la notification est très discutable. La solution c’est bien entendu la coopération internationale au travers de traités permettant la saisie simultanée sur plusieurs pays de serveurs hébergeant les C&C.
Le cas de bredolab est intéressant parce qu’en plus du takedown, les forces de l’ordre ont affiché un message d’information sur le postes des victimes, ce qui à été perçu comme intrusif par certaines victimes. La police néerlandaise à la possibilité d’agir sur un pc présent sur le territoire et impliqué dans l’affaire (dur de traduire l’explication).