Botconf 2013 - Jour 1
La botconf, c’est parti 🙂
Intro – Eric Freyssinet
Eric tenait à remercier les sponsors pour leur soutien sans qui l’event n’aurait pas pu avoir lieu, ils ont été très réactifs et sont arrivés très tôt sur le projet ce qui a grandement facilité son organisation. je vous passe les détails 😉
Le streaming de la botconf est ici: http://www.dailymotion.com/botconf
Le twitter: @botconf
L’irc #botconf sur freenode
ACDC – Advanced Cyber Defense Center
Une plateforme centrale de détection et de partage d’informations ou différents partenaires européens travaillent à la détection et à la lutte contre les botnets.
www.check-and-secure.com est un outil permettant de vérifier la sécurité du navigateur et d’identifier si votre PC a pris part à un botnet connu et identifié par ACDC.
www.acdc-project.eu – botfree.eu pour plus d’informations
Advanced techniques in Banking Trojan (slides)
L’objectif d’un banker moderne, c’est de mettre en place un man-in-the-middle au niveau du navigateur en bidouillant les certificats SSL puis, le banker introduit son code javascript dans le navigateur pour cacher les transferts frauduleux et effectuer des actions sur les comptes bancaires de l’utilisateur.
L’orateur nous fait un topo complet sur les techniques employés par les banker pour effectuer divers hooking du browser, en javascript ou directement dans le navigateur lui même.
Spam and all things Salty – Spambot (slides)
Beaucoup de spambots infectent des serveurs web via des failles connues dans des CMS comme Joomla. Des stats ont été collectées sur 3 sites infectés en analysant leurs access log, 1000+ ip / jour envoie du spam via les scripts des spambots installés sur les serveurs compromis. Principalement d’Amérique du nord et d’Asie. Les serveurs de C&C sont déplacés d’un site compromis à un autre, et leurs botherders améliorent constament le fonctionnement de leur scripts.
Distributed Malware Proxy Networks
Pour cacher les C&C web, les cybercriminels utilisent des réseaux de reverse-proxy pour brouiller les pistes. Les serveurs actifs vérifient régulièrement leur présence sur les blacklists, et lorsqu’ils sont détectés, ils sont déplacés sur une autre ip (vps compromis ou bulletproof hosting).
Le repas était bon 😉
Legal limits of proactive actions – Coreflood botnet example (slides)
C’est compliqué de remonter un botnet, on doit d’abord demander la permission aux hotes & serveurs infectés avant d’entreprendre des actions offensives ou une quelconque collecte active d’informations. Sinon on enfreint les droits des propriétaires. L’orateur prend en exemple les actions qui ont eu lieu contre le botnet coreflood.
Back to life, Back to correlation
La corrélation nécessite d’abord la centralisation de logs et d’autres sources d’informations (alertes d’ids etc…) il faut en suite analyser les évènements temporellement mais aussi spatialement.
On peut en suite rechercher les comportement anormaux, de la machine à 100% de CPU, à l’host envoyant un % de SYN flag bien plus élevé que sa moyenne habituelle.
Using cyber-intelligence to detect and localyze botnets (slides)
Talk d’analyse de données basé sur un dev python de collecte d’information, de stockage et d’analyse. Un gros boulot de dev avec une vraie problématique big-data pour traiter des tas de PCAP avec des protocoles dont les standards sont pas toujours respectés, et beaucoup de doublons dans les données à éliminer. Avec toutes ces données l’orateur explique comment il parvient à détecter des botnets. L’orateur a entre autre regardé l’évolution des taux de détection des AV face à ces trafics bruts dans le temps. 40% de taux de détection en moyenne.
Zombies in your browser
Etude sur les techniques compromission d’un navigateur pour en faire un zombie à la beef.
Spatial Statistics as a metric to detect c&c server
Le but est de détecter le trafic lié à un botnet sans connaissance préalable de façon rapide, légère et adaptable. En regardant le trafic DNS de plus près, il est possible d’identifier les Fast-Track DNS. Ils ont en suite regardé le positionnement des IP et AS liés aux entrées DNS du fastflux sous la forme d’une grille subdivisée en sous-grilles sur le globe. Puis ils ont utilisé une mesure de distance spatiale appliquée à cette grille. L’orateur à joué avec des techniques statistiques d’auto-corrélation comme l’Index de Moran.
The Home and CDorked campaigns : Widespread Malicious Modification of Webservers for Mass Malware Distribution (slides)
Les Exploit Kits sont des ensembles de scripts qui cherchent à compromettre un navigateur cible en envoyant des exploits spécifiques à ce dernier. Pour déployer ces EK, les cybercriminels exploitent des failles dans les CMS populaires ou des login/pass triviaux sur des serveurs FTP d’administration de sites web. Ces Exploits Kits évoluent d’un ensemble de scripts PHP vers des codes tournant sous linux comme la modification d’Apache.
Ex: lorsque la lib JQuery est requêtée, un petit bout de code JS est ajouté. En suivant les redirections provoqués par ce code JS, on peut remonter jusqu’aux landing page qui envoient les exploits au navigateur.
L’orateur détaille le fonctionnement d’un module apache darkleech basé sur mod_proxy qui effectue l’injection de l’iframe malicieuse dans les réponses HTTP du serveur. la conf est stockée dans une zone mémoire partagée posix, ce qui permet à la conf de survivre à un redémarrage du daemon apache.
Malware Calling
Un talk sur powerzeus
Disass (sources)
Disass est un framework python pour le reverse-engineering de malwares. avec quelques lignes très simples on peut ainsi ouvrir un binaire, sauter sur une fonction spécifique et récupérer les paramètres d’une fonction donnée. Le but est de ré-utiliser ces scripts spécifiques sur d’autres malwares ou d’autres variantes de ce malware pour récupérer l’ip du serveur c&c, des clefs, des configs etc…
Efficient program exploration by input fuzzing (slides)
Il n’est pas toujours évident de déclencher tout les comportements possibles d’un malware lors d’une analyse dynamique. La méthode consiste donc à utiliser le fuzzing pour réussir à réunir les conditions de branchements nécessaires pour passer dans une autre condition et donc déclencher un autre comportement dans le malware.
The power of a team work
Une collaboration entre MalwareMustDie et OpenDNS. En regardant les IP reliés aux domaines fast-flux relié à kelihos, et en suite en reliant les domaines qui pointent vers ces IP, ils ont pu mapper tout le fast-flux de kelihos. Forcément on élimine les domaines qui sont sinkholé ou dont le TTL ne correspond pas à un fast-flux. Après analyse des IP des machines infectés se connectant au botnet kelihos, il semblerais que l’infection soit principalement présente sur les pays de l’est, l’inde et l’asie. En réponse aux blacklists et takedowns de domaines, les cyber-criminels re-enregistrent des nouveaux domaines. C’est un combat incessant.
Kelihos est un bot très communiquant, qui génère une sacré pelleté de connexions vers ses peers car il utilise un c&c p2p et un c&c fastflux. Le malware utilise RC4/blowfish/blowfish/RC4 avec une clef de chiffrement dans le malware. Le malware ne dispose que de 11 bytes pour les noms de domaines et de 11 bytes pour les noms de malwares. Chaque client de Kelihos est donc identifiable au travers de ces 2 chaines.