Catégories
conférences

Botconf 2018 – J2

√ßa commence par du TLP Amber pour le premier talk ūüėČ

[Edit: le cr en anglais par @xme pour le 2ème jour ici ]

Botception: a bot spreading scripts with bot capabilities

Durans le monitoring du botnet Necurs, l’orateur √† d√©couvert une campagne d’installation d’un autre bot. Necurs est apparu en 2012,  et il a eu les plus grosses campagnes de spam √† ce jour. Necurs est modulaire, avec un protocole de C&C pair √† pair. Pour monitorer le botnet, les orateurs ont d√©velopp√© un client qui √©mule le protocole de Necurs. Chaque branche de Necurs est identifi√© par un secret partag√© au niveau du protocole de C&C. Le panel est en PHP, et son chemin & nom varie d’une branche √† l’autre.

Lors d’une campagne, un e-mail √©tait propag√© avec un lien vers un fichier vbs. La propagation se faisait via un partage SMB que les orateurs on pu browser et ils y on r√©cup√©r√© toutes les campagnes pr√©par√©s par le cybercriminel. Ils ont m√™me re√ßu un message de sa part sous la forme d’un fichier dans le partage qui disait ¬ę¬†fuck you!¬†¬Ľ. Le C&C du script VBS √©tait cod√© en dur dans le script, et communique avec un gate.php sur un serveur web en POST. En r√©cup√©rant l’ex√©cutable

Le loader VBS était aussi disponible sur le marché noir. Après analyse du mécanisme de drop, ils sont tombé sur le RAT Flawed Ammyy. Une version modifiée issue du leak du code source.

Stagecraft of malicious office document – a look at recent campaign

La majorit√© des documents malicieux sont des .doc avec des macros, dont certaines contiennent des messages incitant √† activer le contenu dynamique pour afficher les informations. Le sc√©nario typique consiste en une campagne de spam avec un lien ou une pi√®ce jointe. La macro t√©l√©charge et ex√©cute le malware, qui proc√®de √† un fingerprint du syst√®me avant de dropper le RAT ou le malware de vol d’information. 
Pour √©viter l’affichage de messages d’erreur, un ¬ę¬†On Error Resume Next¬†¬Ľ est utilis√© dans le code. PowerShell sert √† t√©l√©charger la derni√®re payload (le RAT ou le stealer). Le code powershell est souvent ¬ę¬†chiffr√©¬†¬Ľ. Une autre m√©tode consiste √† faire de l’obfuscation avec du junk code. pour l’√©vasion de sandbox, ils utilisent mshta.exe pour t√©l√©charger le second stage du malware.

Une autre campagne utilisait le powershell sous forme de propri√©t√© contenue dans des formulaires vbs ou des textbox. l’obfuscation consiste en des caract√®res morts et un d√©calage des valeurs ascii de la cha√ģne de caract√®res. Une autre variante utilisait BITSAdmin pour t√©l√©charger le malware. Le code VB contenait beaucoup de boucles pour ralentir l’analyse.  Une autre variante stockait le script sous forme d’un .bat dans %APPDATA%, mais le doc ne fonctionnait pas avec office 2007.

Souvent toutes ces campagnes comportent un grand nombre d’√©tapes et de v√©rifications pour √©viter les sandboxes avec des m√©canismes d’obfuscation ou de chiffrement tr√®s faibles.

Hunting and detecting APTs using Sysmon and PowerShell logging

@c_APT_ure [Edit: slides ]
L’objectif derri√®re ces techniques de monitoring c’est de coller √† la matrice Att&ck et aux r√®gles sigma pour √©crire des r√®gles de d√©tection ind√©pendantes des SIEM. Pour exploiter les techniques de l’orateur, il faut avoir les fonctions de logging activ√©s, une centralisation des logs, la derni√®re version de powershell. Sur 25k machines, √ßa g√©n√®re 150Gb par jour de donn√©s, ce qui fait un beau volume √† indexer.

Quand on regarde les sources d’info √† surveiller dans Att&ck, le cycle de vie du process ne peut √™tre r√©cup√©r√© que depuis Sysmon. Crowdstrike √† fait une heatmap de genre de monitoring. Les events WMI peuvent servir √† la persistance. Mandiant & FireEye ont d√©taill√© le fonctionnement de cette technique. Hexacorn √† publi√© un article sur un ensemble de technique d’ex√©cution au d√©marrage dont une √† √©t√© utilis√© par le groupe d’attaquant Strontium. L’orateur d√©crit les logs powershell qui correspondent √† l’ajout de ces clefs de registres pour la persistance, et comment les extraire. PowerShell √©tant tr√®s utilis√© par un grand nombre de cybercriminels dont des groupes d‚Äôattaquants. Le monitoring de powershell √† √©t√© grandement couvert √† BSides Washington par Sean Metcalf.

Pour √©chapper au monitoring, certains attaquant copient l’ex√©cutable powershell et le d√©place dans un r√©pertoire random avant de l’ex√©cuter. Pour √©viter les faux positifs, on peu par exemple rechercher ¬ę¬†Description: PowerShell¬†¬Ľ et exclure ceux qui s’appellent powershell.exe. Autre exemple avec le stager d’Empire et comment le d√©tecter.

Autre technique: comment automatiser les screenshots avec PowerShell issu d’un blogpost d’un pentester qui s’est en suite retrouv√© dans le code de plusieurs cybercriminels. L’outil powerpick utilise rundll32 pour ex√©cuter du powershell.

C’est pas le tout de chasser les trucs malveillants que l’on connait, il faut aussi pouvoir chasser ce qu’on ne conna√ģt pas. On peut construire une whitelist de fonctions powershell les plus connues et ex√©cut√©s par des scripts l√©gitimes, et s’en servir pour filtrer tout √ßa et surveiller les fonctions les moins utilis√©s qui appara√ģtraient √©ventuellement et investiguer √† partir de l√†.

Combattre le Cybercrime à la gendarmerie

La difficult√© pour la Gendarmerie, c’est de s’assurer que les √©quipes techniques ont suffisament de moyens et le soutien qui leur permet de rendre leur missions. L’autre soucis c’est le partage du Threat Intel, qui ne peut pas toujours √™tre obtenu de mani√®re ad√©quate si l’on consid√®re les contraintes d’une proc√©dure judiciaire (validit√© de la preuve, etc…). Les Gendarmes ne travaillent pas pour le gouvernement, mais pour la justice et la s√©curit√© des personnes. C’est eux aussi qui m√®nent l’enqu√™te sur la base de signalement individuels. Autre difficult√©, traduire les √©l√©ments techniques en quelque-chose de compr√©hensible pour Mr tout le monde afin de les sensibiliser sur les nouvelles arnaques. La lutte contre la p√©dopornographie est aussi dans leurs mission, avec comme objectif principal de sauver les enfants victimes de ces trafics.

En plus d’une unit√© structur√©e autour de nombreux experts, techniciens et gendarmes form√©s aux action forensics de base, la gendarmerie collabore activement avec la police, l’ANSSI, Europol et des partenaires internationaux comme le FBI. La vitesse de traitement du probl√®me est crucial. Il faut sur la base du renseignement, √™tre capable de mettre en oeuvre une solution judiciairement viable et techniquement valide tout en respectant des contraintes budg√©taires in√©vitables.

Traiter avec des criminels classique qui op√®rent sur le darknet pour vendre leur marchandises n’est pas tr√®s simple. Etre capable de faire sauter son anonymat num√©rique n’est pas toujours simple, m√™me s’ils ont du mal √† justifier la provenance de leur argent, il n’ont pas d’√©l√©ments incriminent chez eux lorsque la perquisition tombe.  Il n’est pas possible d’inculper quelqu’un sur la base d’hypoth√®ses, il faut des preuves acquises avec m√©thode. Transformer un tuyau re√ßu par un expert en une enqu√™te fait partie des missions du C3N. Reprendre l’initiative sur les cybercriminels et anticiper les plaintes qui d√©coulerons de leurs activit√©s est un sacr√© challenge. Le Cybercrime est le crime le plus difficile √† r√©soudre.

Pour compenser le manque de techniciens et d’experts, la Gendarmerie peut recruter des experts et en faire des enqu√™teurs pour permettre aux enqu√™tes de fonctionner dans un environnement technique complexe.

Everything about panda banker.

Le malware est nomm√© panda √† cause de l’anti-virus panda, et le titre panda dans le panel. l’autre nom c’est Zeus/Panda parcequ’il est bas√© sur le code source de Zeus.  Il y a eu 45 versions du malware jusqu‚Äô√† ce jour. La version est stock√© dans un DWord. Les api sont r√©solu par leur hash, technique classique d’anti-analyse. En version 2.2.9 les chaines de caract√®res sont chiffr√©s, et finissent par faire appel √† une m√©canique maison et diff√©rente de Zeus. De m√™me les m√©caniques de configuration ont lentement √©volu√© de la version employ√© par Zeus √† un syst√®me d√©di√© √† Panda.  Bien entendu, le malware fait appel √† un m√©canisme de DGA pour prot√©ger son serveur de C&C. Comme de nombreux malwares, il est distribu√© & utilis√© par plusieurs groupes de cybercriminels avec diff√©rentes activit√©s.

The dark side of the ForSSHe

Windigo est une op√©ration qui consistait √† piper dans une session SSH un script perl qui collectais plein d’infos sur le serveur SSH. Perl est un peu obfusqu√© naturellement, mais c’est lisible par un √™tre humain.  A partir de l’analyse du script PErl, ils ont recherch√© avec Yara des √©chantillons de malwares SSH. Ces backdoors SSH sont des versions patch√©s d’OpenSSH avec du vol d’identifiants de connexion int√©gr√©. Pour ce faire, les cybercriminels ont modifi√© les fonctions userauth_passd, ssh_askpass, try_challenge_response_auth, etc… qui servent √† l’authentification de l’utilisateur.

L’exfiltration des informations se fait sur du GET ou du POST sur le port 80 du serveur C&C, ou par du DNS, ou encore l’envoi d’un e-mail sur SMTP. Voir des protocoles maison sur udp ou tcp.

Kamino par exemple vole les usernames & pass, les exfiltre avec la clef de session. L’op√©rateur peut se logguer comme root avec un password et une clef publique cod√©e en dur. Kamino est apparemment li√© aux groupes d’attaquants Carbanak et Darkleech.

Kessel utilise une fonction de chargement de configuration qui appelle une tartine de fonctions. c’est une famille de backdoors tr√®s complexes. Il leak les identifiants et les fichiers de clefs priv√©s, peut exfiltrer par de nombreux protocoles, utiliser un proxy. Il dispose d’une fonction de C&C via les champs TXT de DNS, et il peut cr√©er un tunnel SSH √† la demande. Il utilise RC4 pour le chiffrement avec des clefs ssh en dur.

Bonadan r√©utilise le code d’Ondaron, une backdoor SSH publiquement disponible. Elle communique via un protocole UDP maison. Le mineur de bitcoin associ√© est pr√©-compil√© sur le C&C, et correspond √† l’OS de la victime.

Pour pi√©ger les attaquant, les orateurs ont mis en place un honeypot capable d’√™tre suffisament interractif pour que les attaquants y d√©posent des √©chantillons r√©cents.

Borleias backdoor le client SSH, l’attaquant c’est connect√© tr√®s rapidemnet apr√®s le leak des identifiants, via TOR. Il utilise OpenSSH sur Far-NEtbox, il es ttr√®s prudient quand √† son √©ventuelle d√©tection, et il nettoie l’historique apr√®s chaque connexion. Il effectue une reconnaissance en exfiltrant ssh, sshd et cron. La backdoor dispose d’un m√©canisme anti-log et utilise RC4+ pour le chiffrement. Il chiffre ses rapports avec une clefs de session chiffr√© avec RSA.

Chandrila est une backdoor ssh qui peut recevoir des commandes sous la forme de mots de passes. Si elle reçoit un premier mot de passe elle crée un shell. Si elle reçoit un second mot de passe, elle crée un reverse-shell.

Pour √©chaper √† ce type de backdoors, il vaut mieux utiliser l’authentification par clef, plut√īt que du login/pass. Il vaut mieux d√©sactiver le login root, et utiliser du 2FA. V√©rifiez les sommes de contr√īles de ssh & sshd. Linux est bel et bien une cible des cybercriminels, et ils mettent parfois beaucoup d’√©nergie pour √©viter la d√©tection sur les syst√®mes compromis. 

Onyphe – uncovering darknet websites

Onyphe est un ¬ę¬†siem de l’internet¬†¬Ľ et fournis une API pour r√©cup√©rer des infos aggr√©g√©s sur une IP. Si on peut coreller des informations sur le serveur web avec le serveur sur le darknet, on peut avoir une correllation forte. Pour la correllation, Onyphe utilise un langage de requ√™te similaire √† splunk.  Environ 3,3% des .onion sont d√©masquables.

Living with Kodi and a hole in your network.

Kodi est un player multi-m√©dia qui fonctionne √† coup d’add-on pour lire des vid√©os sur netflix, youtube, etc… Il faut √™tre s√Ľr de soit si l’on veut installer un plugin non-v√©rifi√©. Avec quelques fichiers, on peut cr√©er une extension malicieuse qui ex√©cute du python. Vu que l’install des plugins se fait en HTTP, un Man in the middle suffit pour pi√©ger un Kodi.

Why botnet spam is going down

Depuis 2008, le nombre d’e-mails de spam descend. Le top du spam par pays, c’est l’inde, le vietnam et le mexique… c’est parceque c’est de plus en plus dur de faire tourner du malware sur des windows √† jour, alors que dans ces pays… Il n’y a pas de meilleur moyen pour une machine que d’annoncer √† coup de spam qu’elle est infect√©e…. Mais bien que le volume du spam est plus faible, le nombre de spam dans les inbox reste important. Les spammeurs se sont adapt√©s.

3ve

Un takedown sur 2k serveurs sur un botnet qui visait les datacenters. le bot incorpore pas mal de techniques pour √©viter de se faire d√©tecter. L’infection est surtout aux us et en allemagne, avec pas mal de serveurs sur toute l’europe.

VTHunting

un petit outil en python pour centraliser les rapports VT et les samples au travers de l’api VT, et envoyer les rapports via email, slack, telegram. Il est directement utilisable en CLI.

Splunkup

un outil pour importer des donn√©es de MISP dans Splunk, ou pousser des informations depuis splunk vers MISP.  On peut faire des recherche dans MISP, importer des IOC, cr√©er des alertes dans splunk. Cr√©er des events MISP.

Anatomy of a Booter

equalit.ie – le DDoS quand on a de la chance, c’est un pic de traffic sur le graph de bande passante, mais parfois c’est un site HS. Dans les logs on peut trouver par exemple des pingback wordpress qui servent au DDoS. Comme WP ajoute l’ip √† l’origine de la demande de pingback dans le user-agent, il est possible d’identifier l’IP de l’attaquant, avec un r√©pertoire ouvert contenant tous ses outils, et la liste de ses relais.

mwdbv2

malware database version 2. Quand on upload un sample sur mwdb v2, on peut r√©cup√©rer la configuration du malare extraite. c’est automatis√© et √ßa supporte plus de 70 familles de malwares.
l’url: mwdb.cert.pl

Tsurugi Linux

Tsurugi est une distribution linux orient√© DFIR et OSINT soutenue par OpenMinded et bas√© sur la derni√®re version d’Ubuntu 16.04 LTS. Turugi acquire est un mini-linux 32 bits con√ßu pour l’acquisition live. Bento est un windows de forensic maintenu par l’√©quipe Tsurugi.

A kind of funny story

(j’entend rien ūüôĀ une histoire de chat sur twitter entre un dev de malware et quelqu’un de MalwaresBytes)

 Bitcoin supply chain attack.

des hits sur un js modifi√© appell√© statcounter.js. Une fois unpack√©, on retrouve un js injecter depuis statconuter.com. Le site cibl√© c’√©tait gate.io. Dans le 2eme stage, le wallet de destination est remplac√© par le wallet de l’attaquant. Un mec de Statcounter √† post√© qu’il avait install√© ESET pour v√©rifier s’ils n’√©tait pas compromis.

We need your IP Space

shadowserver est une association non-profit qui monitore les botnets et fait beaucoup de sinkholing. Ils partagent leurs infos avec les CERT et les forces de l’ordre gratuitement. Ils n’ont pas assez d’IP dans certains pays pour faire leur monitoring correctement.

Evil maids are evil

Quoi faire contre une attaque type evil maid ? vous pouvez utiliser les donn√©s SMART du hard drive. Par exemple on peut  monitorer le ¬ę¬†power cycle count¬†¬Ľ qui compte le nombre de fois que le disque dur √† √©t√© alum√©. A chaque boot, s’il augmente que de 1, c’est qu’il n’a pas √©t√© boot√© entre temps. l’orateur √† √©crit un script sur son github.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *