| Conférences | Salons

Cette année encore, les équipes du Pentest, du SOC, et du CERT d’Openminded étaient présentes à la botconf. 7 de nos collaborateurs ont pu assister à cette conférence qui s’est tenue dans le superbe auditorium de l’université de Toulouse

APT Attack against the middle-east : The Big Bang

Présentation d’Aseel Kayal, analyste malware chez CheckPoint, sur son retour d’investigation sur APT-C-23.

L’attaque commence avec un SpearPhishing contenant une pièce-jointe, qui dans le cas présent était un fichier word provenant du parti politique palestinien “State Of Palestine”. Le C2 communique en HTTPS, mais s’il n’y arrive pas une adresse de backup encodée en Base64 répond sur /api/devices/requests qui peut répondre une autre adresse de C2. L’investigation se poursuit avec des pivots sur les chaînes de caractères présentes dans les modèles de bootstrap utilisés sur certains C2, domaines, registar,etc. A noter que certains domaines récents ont été enregistrés via des sociétés palestiniennes (Atyaf, Nepras).
Les conclusions font état d’une attaque toujours en cours, probablement à des fins d’espionnage.
Pour l’histoire, les ordres reçus par le malware depuis le C2 avaient des noms de personnage de série (notamment de The Big Bang Theory).

Code Cartographer’s Diary

Daniel Plohmann revient cette année avec un talk qui fait suite à celui qu’il avait donné l’année dernière où il présentait Malpedia.

L’objection de Malpedia est de pouvoir faire des associations entre les malwares lorsqu’ils ré-utilisent du code entre eux. Daniel présente également ApiScout, un outil qui permet de détecter comment les APIs Windows sont utilisés par les malwares. En se basant sur plusieurs samples, Daniel nous a donné quelques statistiques à propos de cette utilisation des APIs.

In-depth Formbook Malware Analysis

Rémi Jullian présentait son analyse en profondeur du malware Formbook.

Formbook cible un grand nombre de navigateurs mais aussi certains clients IRC. L’auteur du malware fournissait des binaires customisés pour chaque client. Rémi a passé en revue les multiples techniques d’anti-analyses déployées par Formbook telle que l’obfuscation des strings, le mapping NTDLL (pour contrer Cukoo),etc. Les strings peuvent être déchiffrés avec MalwareHash.
La communication avec le C2 a également été expliquée. Notons un aspect intéressant de Formbook, celui-ci utilise de faux C2 lors de l’analyse en SandBox pour tromper les analystes.

Stagecraft of malicious office document - A look at recent campaign

Deepen Desai, Tarun Dewan & Dr. Nirmal Singh sont venus présenter leurs travaux concernant l’évolution des documents Office malveillants qui sont un vecteur d’infection très courant.

Les intervenants ont axé leurs recherches sur l’analyse de nombreux maldocs. Ils ont présenté quelques campagnes qui utilisent ce vecteur d’infection telle que la campagne “AppRun”, “ProtectedMacro”, “LeetMX”, “ObjectEnum”,etc. Toutes ces campagnes comportent  souvent un grand nombre d’étapes et de vérifications pour éviter les Sandboxs avec des mécanismes d’obfuscation ou de chiffrement très faibles.

LIGHTNING TALKS

VTHunting

Tsurugi Linux

Thomas Roccia a créé un outil en python afin de centraliser l’ensemble des rapports de VirusTotal et les samples au travers de l’API VT. Un outil très pratique pour superviser ses rétro-huntings, mais nécessitant une API key VirusTotal et un accès VTi.

Giovanni Rattaro est venu présenter sa distribution orientée DFIR et OSINT nommée Tsurugi Linux mais également d’autres outils développés par l’équipe de Tsurugi, comme Tsurugi Acquire et Bento

Revenons sur les conférences marquantes.

Evil maids are evil

Comment contrer une attaque de type Evil Maid ?

En utilisant les données SMART de votre Hard Drive. En effet il est possible de monitorer le “power cycle count” qui compte le nombre de fois où le disque dur à été allumé. Un script github est disponible pour tester.

Red Teamer 2.0 : Automating the C&C Setup Process

Présentation de Charles Ibrahim concernant la création d’un réseau de botnet.

Un botnet peut être très utile : Exécution de commandes à distance, collecte de données, etc. Toutes ces opérations peuvent être intéressantes lors d’exercices côté red team. Charles a donc présenté le botnet qu’ils ont développé en interne chez Wavestone. L’objectif est de réduire le temps nécessaire à la mise en place de l’infrastructure, d’exécuter facilement des actions communes, de consigner les opérations et de réduire les risques liés à l’OPSEC.

Mirai : Beyond the aftermath

Rommel Javen est venu parler de Mirai qui était un énorme botnet qui affectait de nombreux outils IoT.

Rommel détaille l’architecture et le fonctionnement de Mirai, et comment le botnet était rentabilisé en le louant par morceaux aux clients. Depuis le leak du code source, de nombreux malwares ont été développés en reprenant une ou plusieurs parties du code présent dans Mirai. Jusqu’à présent, 80k samples ont été détectés en 2018 avec 49% du code Mirai. Quelques exemples de malwares utilisant du code provenant de Mirai ont été présentés : Hajime (même combinaison utilisateur / mot de passe), IoTReaper, BashLite,etc. Les variantes sont souvent packées par UPX avec changement du magic pour empêcher l’unpacking automatique, il faut donc modifier ce magic sur le header du programme de le passer à l’unpacking.

Tracking actors through their WebInjects

James Wyke a commencé par faire un récapitulatif sur les malwares bancaires et les WebInjects.

Les WebInjects sont des scripts injectés dans les navigateurs de victimes infectées qui viennent modifier le comportement de l’application web pour cacher aux utilisateurs certaines informations de transfert ou bien récupérer des informations d’authentification. L’idée de la recherche de James était “Pouvons-nous classer les familles de malwares en fonction des WebInjects ?” De ce fait il a étudié plusieurs d’entres elles comme Yummba, inj_inj, LOB_ATS, adm_ssl. Il a donné des détails tels que les cibles, l’origine, l’explication du nom et une règle Yara pour les détecter ainsi que de nombreuses autres informations.

The snake keep reinventing itself

Ce talk avait pour sujet Turla présenté par Matthieu Faou.

Turla est un groupe d’attaquants qui vise les diplomates et les militaires. Lors de l’opération Mosquito Turla, ils utilisaient de faux installateurs téléchargés depuis admdownload.adobe.com, et ce apparemment, sans qu’adobe n’ait été compromis. Après l’installation, la backdoor exfiltre les identifiants wifi. Plusieurs outils étaient utilisés par Mosquito pour effectuer des mouvements latéraux : Cliproxy, Quarks PwDump, Mimikatz, Outils NirSoft, ComRat. Lorsqu’ils ont terminé d’exploiter la machine infectée, ils ont préféré nettoyer leurs traces afin d’éviter une détection via une analyse forensics.
Turla détourne ensuite le protocole de gestion d’Outlook qui ne nécessite pas d’être admin pour détourner un objet COM. Tous les mails reçus ont été exfiltrés vers une adresse distante et les commandes reçues via des fichiers PDFs joints dans les mails. On peut bloquer le chargement de la backdoor à l’aide des mécanismes de sécurité de Microsoft en venant bloquer le chargement d’une dll non signée par Microsoft dans Outlook.

Conclusion

Que serait la botconf sans le social event ?

Le social event, c’est l’occasion de passer une soirée extraordinaire dans un lieu unique, cette année la Cité de l’Espace de Toulouse, avec les organisateurs et les participants des conférences.
Nous avons pu visiter le musée, être des astronautes le temps d’un instant (avec Thomas Pesquet) ou rêver comme des enfants dans le planétarium !

Merci à eux pour cette exceptionnelle conférence, tant au niveau qualitatif, qu’au niveau de l’animation.

@Thibault Serret
@Téboral Loganathan
@ Renaud Leroy