botconf

Botconf 2015 - Jour 1

g4l4drim

g4l4drim

4 min read

C’est reparti pour une 3ème Botconf !
Cette année, c’est à Paris chez Google, et l’auditorium est superbe. Tout est à plat, du coup, cette année les orgas n’auront pas les marches à monter et redescendre les marches pour les questions 🙂

On peut suivre la conf sur le compte YouTube de la Botconf (modulo murphy, et l’autorisation du speaker de diffuser en live).

Keynote par Europol.

Europol est habitué à gérer des coopérations au niveau européen entre les forces de l’ordre. Le cybercrime pour Europol, à commencé majoritairement avec la lutte contre la pédopornographie, et la cybercriminalité telle que nous la connaissons en SSI, botnets, malwares, arnaques, phishing. Mais la lutte contre l’exploitation des enfants reste le cœur de leur travaux contre la cybercriminalité.

Un exemple de coopération gérée par Europol: la lutte contre le Trojan Shylock qui visait les donnés bancaires des victimes.

La synchronisation des acteurs académiques, industriels et forces de l’ordre lors d’opérations de takedown est un aspect sensible et critique des efforts d’Europol dans la lutte contre les botnets, et ils sont ouverts aux discussions pour aider à mettre en place de telles coopérations.

Ponmocup

Ponmocup est un malware modulaire qui est suivis par la communauté de la Botconf. Tous les détails dans leur white paper.

Domain Generation Algorithm

Premier talk diffusé en live sur le stream.

Les DGA servent aux malwares pour contacter leur serveur de C&C tout en nous compliquant la tâche lorsqu’on cherche à identifier les serveurs de C&C pour les takedown. Les orateurs nous présentent donc ce qu’est un DGA. Leur blacklisting pose problème du fait du grand nombre de domaines qu’il génèrent. Du coup, pour sinkholer les botnets utilisant un DGA, c’est la galère. Les auteurs proposent donc un nouvel outil d’analyse de ces DGA: DGALAB.

Il s’agit d’une version ultra-custom de cuckoo sous vmware avec plein de patchs sur l’environement de la sandbox pour améliorer l’émulation.

Désolé, mais je ne suis plus en mesure d’assurer le liveblogging cet après midi malgrès toute ma bonne volontée. J’espère pouvoir le reprendre demain.

Pour boucher les trous, je vous invite à aller consulter le blog de @xme.

The missing piece in Threat Intelligence

Chez OVH, l’orateur est chargé de trouver les trucs moisis qui traînent sur leur réseau, dont les malwares & cie qui pourrais y avoir élu domicile induement. OVH c’est un très gros opérateur, et qui du coup a beaucoup de choses à surveiller. (Heureusement qu’il y a le stream 😉 ).

Du coup, pour les trouver, l’orateur utilise combine pour recouper les IP issuent de flux d’information de « threat intelligence » avec les IP d’OVH.  Bon forcément, quand on est hébergeur, on peut pas se permettre de shooter les serveurs des clients alors qu’ils se sont fait compromettre, ou voir même que le feed de blacklist tape trop large, ou carrément ne pointe pas un hôte compromis ou malicieux. En plus, si on fait n’importe quoi avec ces infos, on peut carrément bloquer des usages légitimes (VPN, Tor, sinkholes d’autres chercheurs). On voit parfois des IP bloquées par certains produits parce-que plusieurs années plus tôt, ils ont été pwné, et ont hébergé du malware (un exploit kit ou un wordpress pourri c’est très classique).

Et du coup, il n’y a pas de gestion de temporalité sur la nocivité d’une IP. C’est un vrai problème DUR: comment savoir si c’est le cybercriminel qui à juste changé deux-trois urls pour plus de furtivités, ou si l’host à été nettoyé ? L’orateur classe donc les typologies d’attaques en fonction de leur durée de vie, et donc la temporalité manquante. Et il propose en suite une organisation des « événements de sécurité » dans les flux de « threat intelligence » capable de venir confirmer, ou infirmer l’information quand à la nocivité d’une IP, ET d’associer une durée de vie de la menace par un mécanisme de TTL (le evil TTL ? comme le evil flag <3 ). Et non content de proposer une organisation, l’orateur l’a implémenté dans une API!

Honey, where is my POS ? 

Un malware « Point of Sale » à pour but de voler des informations bancaires à une victime. Beaucoup de ses comportements sont liés à l’utilisation d’éléments bancaires. L’orateur décrit donc comment il a bossé sur un honeypot instrumenté, avec les classiques fonctions de collecte en mémoire etc… et l’a laissé tourner 3j jusqu’a l’infection. Une fois infecté il a suivi le travail de l’attaquant à la recherche de numéros de cartes de crédits. Il a ainsi assisté à un enchaînement de malwares installés via la vulnérabilité exposée par le honeypot.

Takedown: case studies and what we can do better

Le Takedown, c’est le touchdown de la lutte contre les botnets… bon parfois ça suffit pas à gagner la partie. Un takedown n’aide pas à sécuriser les gens, mais ça génère de la bonne presse. Les cyber-criminels s’adaptent aux actions & règles prises par les défenseurs, et ces règles sont la plupart du temps publiques. Peu-importe l’impact, ils s’adaptent. Dans le cas d’un ransomware, si on fait un takedown sur le C&C, on peut perdre les clefs ou empêcher les victimes de récupérer leur clefs crypto, et donc leurs fichiers. Il faut donc être très prudent. Le must c’est que le cybercriminel soit arrêté. Du coup, la coopération avec les forces de l’ordre est essentielle pour que l’impact soit conséquent. Ce qui pose plein de problèmes légaux (juridiction, coopération internationale etc ?). L’orateur bous rpésente des exemples de Takedown foireux, ou plus ou moins réussis.

L’orateur propose ensuite d’autres moyens pour pourrir les cybercriminels, par exemple en détruisant les liens de confiance entre les cybercriminels. Ou encore en trouvant des solutions pour que les acteurs légaux coopèrent sous une forme ou une autre, ou pour faire coopérer des acteurs privés là ou les gouvernements n’y arrivent pas.

Read more