Hack.lu 2011 - Human after all

Human after all

Un talk par Pierre-Marc Bureau de l’ESET, sur le reversing de malware avec un focus sur les concepteurs des malwares et comment les comprendre.

Pourquoi écrire des malware en 2011 : l’argent.
En fonction de votre pays d’origine, c’est vraiment ça qui poussent les créateurs de malware. Leurs décisions sont basées sur différents axes stratégiques et ils emploient diverses tactiques pour satisfaire leurs objectifs stratégiques.

Ils sont soumis aux mêmes problèmes que les développeurs de nos entreprises. Ils sont sous pression, et ils sont tout aussi fainéant. Du moment que ça fonctionne, ça leur convient, ce qui explique les divers défauts que l’on retrouve dans certains malwares.

D’en suis un topo sur la société ESET, et une étude de plusieurs malwares.

Win32/Kelihos :

Un malware fait par un noob qui apparemment à du mal avec l’anglais au nombre de fautes qu’il peut faire dans les noms de ses fonctions (un peu comme moi en français 😉 ). En regardant de près les évolutions du malware, on sent bien que son auteur y apporte régulièrement des améliorations. Coté packing il s’agit d’un packer custom fait pour faire croire qu’il s’agit d’un programme normal (pas d’IAT détruite etc…). Coté réseau, il utilise un réseau P2P qui à l’origine n’était pas chiffré, puis l’auteur à ajouté un chiffrement bizarre : blowfish + DES + blowfish ! Le tout utilisant la même clef à chaque passe (crypto fail ?). Kelihos ressemble à une 3ème version de Storm Worm, et en comparant les deux malwares, des pattern comportementaux se ressemblent, les nommages DNS, leur comportement, leur langage de conception.

Win32/Delf.QCZ :

Un horrible malware écrit en Delphi (si si…), qui essaye d’obtenir un max d’argent de chaque machine infectée, il se propage via Facebook et utilise des url-shorteners pour masquer son approche. Il propose tous les services monnayable d’un malware (DDOS, Pay per install)

Win32/LockScreen :

Un malware spécifiquement créé pour cibler la Russie, probablement à cause du modèle économique de l’Internet en Russie. (j’ai raté un bout là :/ )

Win32/Induc.C :

3ème version d’un malware infectant les compilateurs Delphi. La première version ressemblait à un POC, la seconde version était un peu plus efficace, et cette dernière est clairement faite pour supporter le cybercrime.

OSX/MacDefender :

Un faux antivirus Mac très esthétique, visant à convaincre l’utilisateur qu’il est infecté et qu’il serait bien de sa part de payer pour des mises à jour. Il se propage uniquement via des URLs d’installation et du black SEO. Bien sûr, il est plus facile de vendre quelque chose en usant d’images porno (pratique pour capter l’attention de l’assistance). Il ouvre donc au démarrage de la session quelques pages de pr0n en mode random, et quand on regarde de près, il s’avère que quasiment toutes les pages web sont controlés par le même gars en Ukraine !

Bonus :
On à le droit à quelques messages privés cachés dans les binaires insultant les créateurs d’anti-virus, allant même jusqu’a proposer d’utiliser le pseudo du créateur du malware comme signature (lol).