Botconf 2015 - Jour 3
Dur dur ce matin, pour beaucoup de monde… đ Du coup l’auditorium est clairsemĂ©, On Ă tous bien profitĂ© du social event Ă la BNF.
[…]
Powered by JavaScript
Une prĂ©sentation de Renaud Bidou sur les menaces liĂ©es Ă JavaScript et ses nouvelles capacitĂ©s. On ne devrait plus dire JavaScript mais ECMAScript et ses dĂ©rivĂ©s. En effet, on retrouve mĂȘme du JScript dans cryptowall (un ransomware, prĂ©sentĂ© prĂ©cĂ©demment). Quand aux vecteurs d’infection des sites via XSS, on observe des variantes originales via FTP par exemple. L’orateur dĂ©taille comment un navigateur peut ĂȘtre compromis de façon permanente via une extension Ă©crite en JS que l’on charge au lancement. Du coup la compromission consiste Ă modifier les liens de lancement du navigateur. Pour cacher le code JS, on peut utiliser un PNG qui sera interprĂ©table via la fonction eval(). Pour le C&C, il suffit d’utiliser un site avec une API de communication comme Twitter. L’orateur dĂ©taille en suite comment remplir les fonctions « traditionnelles » d’un botnet (capture d’Ă©cran, rĂ©cupĂ©ration de formulaires etc…).
DarkComet
DarkComet est un outil d’administration Ă distance (RAT) qui Ă priori est lĂ©gitime est quand on y regarde de prĂšs. Il comprend de nombreuses fonctionnalitĂ©s d’espionnage des utilisateurs. ExĂ©cution Ă distance de code, vol de donnĂ©s, prise de vue/son Ă l’insu de l’utilisateur etc…
DarkComet est en deux morceaux, un serveur de C&C en deux parties: le builder qui fabrique le bot, l’outil d’administration, et le bot en lui mĂȘme. Lorsque le binaire du bot est crĂ©Ă©, il est fait via un fichier de configuration. L’orateur nous prĂ©sente en suite l’ensemble du fonctionnement de DarkComet.
L’orateur Ă analysĂ© le protocole de C&C, et a trouvĂ© pas mal de moyens pour rĂ©cupĂ©rer les donnĂ©es du serveur, notamment la liste des victimes et leurs informations, ce qui lui Ă permis d’Ă©tablir ses statistiques.
Air Gap Limitations
Passage en revue des problĂšmes de sĂ©curisation du Air-Gap, et comment Ă©viter qu’un attaquant utilise des canaux de communication auxiliaires pour contourner cette protection. Toutes les porteuses accessibles par un PC et qui peuvent ĂȘtre gĂ©nĂ©rĂ©e par un PC peuvent servir à ça. Exemple : un KVM connectĂ© aux sorties VGA des deux PC. De mĂȘme le son et les micros du PC peuvent servir Ă contourner l’Air Gap. Les vibrations gĂ©nĂ©rĂ©es par le son peuvent aussi ĂȘtre captĂ©s par le gyroscope d’un tĂ©lĂ©phone portable par exemple. La prĂ©sentation montre aussi une technique de side-channel par induction electro-magnĂ©tique qui vient affecter le capteur de tempĂ©rature du PC voisin.
Traffic Exchange Botnets
Les traffers ont pour but de rediriger des victimes pour gĂ©nĂ©rer des visites et faire monter les pagerank. ça c’est le cotĂ© « friendly ». En fait, les bots qui sont capables de rediriger des victimes sur des sites donnĂ©s Ă©changent du temps de prĂ©sence. Ce qui permet de gĂ©nerer beaucoup de fausses visites qui vont en suite faire monter les revenus publicitaires des sites. Les cybercriminels sont soit payĂ©s pour augmenter la frĂ©quentation d’un site, soit carrĂ©ment pour gagner de l’argent via des rĂ©gies publicitaires en leur faisant croire que leur publicitĂ©s sont trĂšs diffusĂ©s. Certains utilisent des VM sur des fournisseurs « cloud » pour faire tourner leur bots.
[…]
A moose once bite my honeypot.
Histoire d’un bot qui infecte les Linux embarquĂ©s. Les systĂšmes linux embarquĂ©s sont souvent prĂ©sents dans les petits routeurs domestiques, etc.. avec du mips ou de l’arm, plein de versions diffĂ©rentes de la libc et beaucoup de binaires linkĂ© statiquement. Bon du coup, c’est trĂšs peu sĂ©curisĂ©, sans interface, ce qui rend difficile la dĂ©tection de sa compromission, et on parlera pas du patch de vulnĂ©rabilitĂ©s. Du coup il existe un trĂšs grand nombre de bots qui tente d’infecter ces engins sur le port telnet. L’orateur dĂ©taille comment il a fait pour s’en sortir avec des binaires embarquant la libc dans IDA sans que ça rame. Ces scripts d’aide Ă l’analyse sont disponibles sur github (quelques slides ici).Il embarque un proxy socks que l’auteur Ă malheureusement passĂ© quelques jours Ă reverser avant de s’en rendre compte. Il n’a pas de DGA, les adresses du C&C sont hardcodĂ©s, et il fournis un systĂšme d’aide Ă la traversĂ©e de NAT. Pour sa propagation, le malware scan les ports telnet et les bruteforce avec une wordlist publique.
Behavior driven development in malware analysis
L’extraction de comportement dans un binaire est dĂ©clarĂ© comme acadĂ©miquement faisable, mais dans la rĂ©alitĂ©, ça ne fonctionne pas toujours. L’idĂ©e est de permettre au reverser d’exprimer les fonctionnalitĂ©s qu’il observe dans un langage naturel, et d’en faire des « tests » sur ces fonctionnalitĂ©s. (low battery dsl).
