SSTIC 2013 - A perspective to incident response

Par Alexandre Dulanoy
(edit: slides)

Tips n’ tricks pour les auteurs de malwares

Le CERT, c’est un peu les urgences, et toutes les merdes atterrissent sur leur boite mail. Le Luxembourg étant un tout petit pays mais avec beaucoup de société hébergés dedans, c’est pas le taff qui manque pour le CIRCL – CERT luxembourgeois.

Sur le ton de l’humour et avec un angle satirique, l’orateur nous explique certaines recommandations pour les auteurs de malwares.

Si on tire les leçons des autres criminels, il faut garder un design simple. Ex: les premiers skimmers était très compliqués, les derniers sont extrêmement simples avec un système d’enregistrement audio des piste magnétiques au lieu de machins hyper-compliqués.

La récupération et revente de certificats privés récupérés par les malwares, une bonne technique pour signer le soft. L’autre technique consiste à faire signer son malware par une autorité de certification. On peut se demander si on peut faire confiance à une autorité de certification quand à la révocation éventuelle du certificat. Bah quand on regarde, on a 230 révocations lié à des incident de sécurité touchant une autorité de certification.

Evitez de mettre des mots de passes ou des clefs par défaut dans vos binaires ! Ne faites pas comme PoisonIvy avec son pass admin par défaut. Donc si vous faites un protocole binaire, évitez les données fixes et faites le correctement.

Balancer des paquets UDP sur le port 53, c’est pas con, ya plein de traffic DNS… mais dans ce cas faites des vrais paquets DNS, les IDS ils gueulent parce que ça sature leur disques d’alertes !!!