BOTCONF 2017 - J3

RTF

Le format rtf reprend les principes de html pour la mise en forme, avec un système de ‘balisage’ imbriqué, mais avec des accolades.  Plusieurs techniques d’obfuscation sont possibles pour virer les espaces, imbriquer a mort des propriétés, ou l’insertion de propriétés mortes.

PWS

Les password stealer sont vieux en terme de concept, mais très efficaces. Ce qu’ils volent le plus sont contenu dans les navigateurs web et les logiciels de messagerie. Ils sont autonomes, ne fournissent pas d’interactivité a l’attaquant (contrairement aux rats) et embarquent souvent un keylogger.

Les stealers sont nombreux sur le marché noir et sont codés en .NET. Facile a utiliser, ils sont populaires chez les script kiddies. En plus il y a beaucoup de vidéos youtube qui expliquent leur usage.

Nyetya et MeDoc

Retour sur l’incident qui a touché l’ukraine et les entreprises qui avaient des filiales la bas. Talos fait de la threat intel, de l’analyse de malware etc….

L’analyse a commencé avec un coup de fil disant que l’ukraine était tombé. Medoc s’est fait compromettre par leur site web, et leur appli .NET disposait d’un mécanisme de mise a jour qui a été utilisé pour propager un malware.

Le malware nyetya vole les mots de passes, se propage via eternalblue et eternalromance, et chiffre le disque.

Le vol de mots de passes se fait avec un mimikatz repacké.

Math, gpu and dns : cracking locky seeds without samples.

Les ransomwares sont un fléau, et une technique ‘simple’ et efficace pour les cybercriminels pour extorquer de l’argent aux victimes sous forme de bitcoins.

Locky utilise un nom de domaine généré algoritmiquement – un DGA – a partir d’une  graine. Si on a la graine, on peut connaitre l’adresse du c&c a un moment donné. Le dns est calculé avec une fonction de hash. D’ou l’utilisation de cartes graphiques pour bruteforcer la graine.

Hunting for attackers

Une présentation sur les techniques employés pour les mouvements latéraux par les attaquants et les méthodes de détection utilisables en se basant sur les event logs. Les éléments du talk sont ici.

Necurs Deliver

Un retour sur les campagnes de spam ballancés par le botnet Necurs.

Think outside of the sandbox

Android offre une sacrée quantité de dispositifs de sécurité: SELinux, sandbox applicative, trusted boot, (k)aslr, seccomp, etc… Ce talk va parler de la sandbox applicative. La sandbox est la pour empécher un spyware d’accéder aux données des autres applications, de déposer d’autres applications, permettre de savoir quelle appli à fait quoi, restreindre les privilège. Bref, c’est un composant essentiel de l’architecture de sécurité Android.

Advanced Threat Hunting

La threat intel tactique consiste à apprendre les TTP des attaquants, La threat-intel technique consiste à connaître les outils des attaquants. Le processus classique consiste à collecter des données, puis à les raffiner pour obtenir des informations, et à les analyser pour obtenir de la threat-intel. Quand on regarde la pyramid of pain de D. Bianco on voit bien que changer certains hash, certaines ips c’est plus facile que de changer d’outils ou de TTP. Trouver le pattern d’attaque d’un outil particulier peut être compliqué à détecter (cf le talk du jpcert). L’orateur partage donc les process qu’il utilise pour faire tourner une équipe de 10 personnes autour de la threat intel.  Exemple avec la production de règles yara, ou l’analyste peut perdre pas mal de temps sur plein de conneries comme des copies de données etc… Bon parfois on fait des modif pourrie sur les règles Yara, et ça remonte trop de merde. Du coup c’est bien d’utiliser un truc genre GIT, pour pouvoir faire GIT Blame et découvrir qui à fait quelle modif.