botconf

Botconf 2015 - Jour 2

g4l4drim

g4l4drim

— 2 min read

Allez hop, on se réveille 😉 les bars autour de chez Google ont connu une fréquentation inattendue.

DGArchive

Comment distinguer les DGA des différents botnets ? L’idée de DGArchive, c’est de reverser l’algo du DGA, et de lui faire générer tout les DNS possibles. Et par la suite de suivre des updates DNS globales à la recherche des DNS correspondants. Ainsi, on peut remonter et suivre les serveurs de C&C qui changent moins souvent d’IP que les DNS d’un botnet derrière un algo de génération de noms.  L’orateur nous présente ainsi son analyse de nombreux botnets et le suivis des domaines enregistrés par les cybercriminels au fur et à mesure de la vie de leur botnet (mise en place, découverte par les spécialistes, etc…).

Andromeda

Présentation sur le malware Andromeda, créé en 2011 (première diffusion) qui récupère régulièrement ses tâches auprès d’un C&C. on y retrouve les fonctionnalités classiques : modules de spam, de vol d’info dans les formulaires web, spam etc… Le malware essaye de tromper l’analyste avec de faux plugins et de fausses URLs de C&C et utilise quelques méthodes d’anti-debug et d’anti-sandbox. Le bot dispose d’un système de licence assez poussé avec pas mal de modules en option. Malgré qu’il ait été « cracké », il est toujours utilisé et activement développé. Andromeda sert souvent à déposer d’autres malwares chez les victimes.

What phone is in your pocket

Une présentation sur un malware Android qui affiche des publicités indésirés pour générer des profits. Plus le criminel à d’agents, plus il diffuse des pubs, plus il a d’argent. Souvent ces trojan essayent après exécution d’augmenter leurs privilèges via une vulnérabilité dans l’OS afin de s’installer de façon pérenne. L’orateur détaille ensuite l’enchaînement de ces actions faite par le malware. Une fois le botnet suffisamment large, les cybercriminels ont pu monter leur propre réseau publicitaire et augmenter leur marges. Toujours dans une logique financière, le malware installe d’autres adwares et autres systèmes publicitaires, rendant les téléphone quasiment inutilisables.

Botnet DGA Mousetrap

Analyse et classification de DGAs

[…]

Box Botnet

Histoire d’une compromission d’une application WEB avec du code PHP injecté sur le CMS. Le code est injecté depuis une image hébergée sur le CMS, une bonne vieille LFI. Ce type de code PHP est souvent offusqué avec pas mal de base64, zip etc… (L’orateur à utilisé http://ddecode.com/phpdecoder/ ). Une fois installée, le malware PHP se connecte à un serveur IRC. Le malware à pignon sur rue quand on google son nom (toolb0x). Et quand on regarde le site de l’outil sur web archive on découvre le CEO de l’entreprise qui fournis du support depuis l’Indonésie (préfixe téléphonique). On a même sa photo sur le site…

Malware Instrumentation: Application to Regin Analysis

Regin est un malware qui à reçu beaucoup de presse l’année dernière. L’orateur nous fait des rappels sur le fonctionnement de Regin (installation, & réseau P2P utilisé pour le C&C). Regin est capable de router les communications de proche en proche au dessus de son réseau P2P de C&C pour atteindre une victime. Regin marche un peu comme un SIEM avec des collecteurs, des concentrateurs et des points d’exfiltration. L’orateur décrit en suite le mode d’analyse traditionnel d’un malware lorsqu’on souhaite reverser le C&C et s’y introduire pour analyser le botnet. Ce que propose l’auteur, c’est de hooker ou d’instrumenter les points intéressants du malware qui gèrent le C&C et de les utiliser tel quels pour communiquer sur le C&C et analyser le botnet.

Read more