botconf

Botconf 2015 - Jour 3

g4l4drim

g4l4drim

— 3 min read

Dur dur ce matin, pour beaucoup de monde… 😉 Du coup l’auditorium est clairsemé, On à tous bien profité du social event à la BNF.

[…]

Powered by JavaScript

Une présentation de Renaud Bidou sur les menaces liées à JavaScript et ses nouvelles capacités. On ne devrait plus dire JavaScript mais ECMAScript et ses dérivés. En effet, on retrouve même du JScript dans cryptowall (un ransomware, présenté précédemment). Quand aux vecteurs d’infection des sites via XSS, on observe des variantes originales via FTP par exemple. L’orateur détaille comment un navigateur peut être compromis de façon permanente via une extension écrite en JS que l’on charge au lancement. Du coup la compromission consiste à modifier les liens de lancement du navigateur. Pour cacher le code JS, on peut utiliser un PNG qui sera interprétable via la fonction eval(). Pour le C&C, il suffit d’utiliser un site avec une API de communication comme Twitter. L’orateur détaille en suite comment remplir les fonctions « traditionnelles » d’un botnet (capture d’écran, récupération de formulaires etc…).

DarkComet

DarkComet est un outil d’administration à distance (RAT) qui à priori est légitime est quand on y regarde de près. Il comprend de nombreuses fonctionnalités d’espionnage des utilisateurs. Exécution à distance de code, vol de donnés, prise de vue/son à l’insu de l’utilisateur etc…

DarkComet est en deux morceaux, un serveur de C&C en deux parties: le builder qui fabrique le bot, l’outil d’administration, et le bot en lui même. Lorsque le binaire du bot est créé, il est fait via un fichier de configuration. L’orateur nous présente en suite l’ensemble du fonctionnement de DarkComet.

L’orateur à analysé le protocole de C&C, et a trouvé pas mal de moyens pour récupérer les données du serveur, notamment la liste des victimes et leurs informations, ce qui lui à permis d’établir ses statistiques.

Air Gap Limitations

Passage en revue des problèmes de sécurisation du Air-Gap, et comment éviter qu’un attaquant utilise des canaux de communication auxiliaires pour contourner cette protection. Toutes les porteuses accessibles par un PC et qui peuvent être générée par un PC peuvent servir à ça. Exemple : un KVM connecté aux sorties VGA des deux PC. De même le son et les micros du PC peuvent servir à contourner l’Air Gap. Les vibrations générées par le son peuvent aussi être captés par le gyroscope d’un téléphone portable par exemple. La présentation montre aussi une technique de side-channel par induction electro-magnétique qui vient affecter le capteur de température du PC voisin.

Traffic Exchange Botnets

Les traffers ont pour but de rediriger des victimes pour générer des visites et faire monter les pagerank. ça c’est le coté « friendly ». En fait, les bots qui sont capables de rediriger des victimes sur des sites donnés échangent du temps de présence. Ce qui permet de génerer beaucoup de fausses visites qui vont en suite faire monter les revenus publicitaires des sites. Les cybercriminels sont soit payés pour augmenter la fréquentation d’un site, soit carrément pour gagner de l’argent via des régies publicitaires en leur faisant croire que leur publicités sont très diffusés. Certains utilisent des VM sur des fournisseurs « cloud » pour faire tourner leur bots.

[…]

A moose once bite my honeypot.

Histoire d’un bot qui infecte les Linux embarqués. Les systèmes linux embarqués sont souvent présents dans les petits routeurs domestiques, etc.. avec du mips ou de l’arm, plein de versions différentes de la libc et beaucoup de binaires linké statiquement. Bon du coup, c’est très peu sécurisé, sans interface, ce qui rend difficile la détection de sa compromission, et on parlera pas du patch de vulnérabilités. Du coup il existe un très grand nombre de bots qui tente d’infecter ces engins sur le port telnet. L’orateur détaille comment il a fait pour s’en sortir avec des binaires embarquant la libc dans IDA sans que ça rame. Ces scripts d’aide à l’analyse sont disponibles sur github (quelques slides ici).Il embarque un proxy socks que l’auteur à malheureusement passé quelques jours à reverser avant de s’en rendre compte. Il n’a pas de DGA, les adresses du C&C sont hardcodés, et il fournis un système d’aide à la traversée de NAT. Pour sa propagation, le malware scan les ports telnet et les bruteforce avec une wordlist publique.

Behavior driven development in malware analysis

L’extraction de comportement dans un binaire est déclaré comme académiquement faisable, mais dans la réalité, ça ne fonctionne pas toujours. L’idée est de permettre au reverser d’exprimer les fonctionnalités qu’il observe dans un langage naturel, et d’en faire des « tests » sur ces fonctionnalités. (low battery dsl).

Read more