Botconf - J3
Bon, la fin de soirée fut mouvementée 🙂 me voici de retour un peu à la bourre :s
Je vous invite donc à aller regarder le compte rendu d’@xme sur son blog
a tour in the analysis of x86 [email protected]
Dans l’analyse des bots d’un botnet, plusieurs questions se posent. Comment récupérer le protocole de communication ? Comment identifier ses fonctionnalités ? Comment classifier ce malware ? Comment détecter les comportements malicieux ?Pour répondre à ces problèmes qui sont difficiles (comprendre NP complet), L’orateur propose une sémantique de haut niveau permettant de travailler sur le comportement du malware à partir du binaire: CFG + info. La décompilation se heurte aux techniques d’obfuscation et de packing qui rendent difficile l’analyse. Nottament dans le cas de code auto-modifiant avec des instructions qui se supperposent ou interragissent entre elles (overlapping code). L’unpacking du malware provoque des vagues de code, chaque vague est transformée en un PE par exécution dans une sandbox. Par analyse du CFG obtenu, on peut détecter les zones de codes qui interragissent entre elles et donc qui « écrasent » ou « protègent » une partie du code. Typiquement un jump au milieu d’une instruction, ce qui fait qu’on à deux interprétation pour la ligne de code en fonction d’ou on atterrit. Bien entendu, le reverse est un problème indécidable. Pour la classification et la détection, la technique visée est l’analyse morphologique. L’idée c’est de retrouver un sous-graphe dans un binaire, le sous-graph étant une signature du malware.Par exemple avec waledac, l’orateur arrive à retrouver les fonctions correspondantes à OpenSSL, donc la crypto du malware. De même avec regin (le malware, pas la chanteuse) on retrouve un driver UART8sys dedans (ou un truc qui y ressemble).
Finding Holes in Banking Two Factor Authentication: Operation Emental
Retour sur une campagne d’attaque sur des clients de banques dont l’authentification se fait aussi au travers d’une application android pour un OTP (one time password). Les attaquants « exploitent » la victime en modifiants les réglages DNS et en installant un certificat, sans laisser d’exécutable sur la machine ou le téléphone. Du coup l’anti-virus n’a pas de fichiers à analyser. L’attaquant en suite demande au client sont login/pass et OT¨P quand il consulte le site de sa banque, et les opération frauduleuses sur son compte ont lieu juste après. Les faux sites restent ouverts très peu de temps, et les campagnes d’attaque sont très limités dans le temps.
Zeusology
la suite d’un talk sur les variantes de Zeus http://securityblog.s21sec.com . Zeus est un malware dont le code à leaké qui sert de proxy, pour du vol de données et qui peut cacher partiellement des dossiers sur le poste de la victime.Zeus à été décliné en plusieurs versions par divers groupes qu’analyse l’orateur. Il a créé un outil pour décompresser et analyser les fichiers de conf de Zeus ici.