Logo Openminded

En

Fr

Retour sur la Botconf 2019

- 7 February 2020

Plusieurs de nos collaborateurs ont eu la chance et le plaisir de participer à la 7e édition de la Botconf, conférence dédiée à la lutte contre les botnets. Celle-ci s’est tenue au Centre des expositions de Bordeaux, du mercredi 4 décembre au vendredi 6 décembre 2019.
L’ensemble des conférences était dédié à la lutte contre les botnets.

Qu’est-ce qu’un botnet ?

Pour les néophytes, un botnet est un terme générique qui désigne un groupe d’ordinateurs infectés et contrôlés par un pirate à distance. Les botnets sont généralement créés par un pirate informatique qui utilise un malware afin d’infecter un grand nombre de machines. Ces groupes peuvent concerner quelques centaines de machines jusqu’à plusieurs millions.
Parmi les botnets les plus célèbres et récents, on retrouve Conficker, Zeus, Waledac, Mariposa et Kelihos.

 

Zoom sur la conférence «Insights and Trends in the Data-center Security Landscape» de la société Guardicore :

Cette conférence était présentée par Daniel Goldberg et Ophir Harpaz. Leur société propose une solution de détection de faille à l’intérieur des data centers et du Cloud.

Le but de cette conférence était de mettre en avant la sécurité d’un Datacenter et le type d’attaque dont celui-ci peut faire l’objet, par exemple :

  • Scan Ports (nmap, masscan etc …)
  • Exploit (Brute force, vulnerability…)

 

Points à retenir de cette conférence : 

  • La possibilité de manipuler un ensemble de données diverses et intéressantes 
  • voir comment encore améliorer notre défense ou celle d’un client.

Un bon moyen de déterminer les types d’attaques les plus fréquents : un Honeypot vulnérable sur un grand nombre de port. Pour rappel, un honeypot est une méthode de défense active qui consiste à attirer, sur des ressources, des adversaires potentiels.

Schéma de fonctionnement d’un honeypot :

Ci-dessous, une liste des attaques potentielles :

  • Login & brute force attempts
  • Executed command lines
  • DB tables operations
  • DB queries
  • DB configuration changes
  • Service operations
  • User operations
  • Password modifications
  • Exploited vulnerabilities
  • Download operations
  • File operations
  • FTP commands
  • DNS resolutions
  • DNS poisoning
  • Powershell commands
  • Scheduled tasks
  • YARA rules matches

 

Grâce au Honeypot qui fournit à l’agresseur une machine «Victime», les différentes attaques ont pu être analysées et enregistrées.
Par la suite, les résultats ont permis de mettre en avant certains points :

  • Seulement 0.05 % des attaquants interceptés utilisent TOR (The Onion Router).
  • Les attaquants préfèrent attaquer les IPS plutôt que les domaines.
  • 65 % des attaquants utilisent une technique unique d’attaque, 33 % utilisent deux attaques et seulement 2 % utilisent plus de deux attaques.
  • Un grand nombre d’acteurs déterminés

Pour conclure, cette conférence approfondit des techniques de sécurité connues contre des failles de configurations ou humaines. Mais, elle nous montre aussi que de nombreuses failles sont encore présentes contre lesquelles la plupart des entreprises ne sont pas encore complètement protégées voire sensibilisées.

 

Zoom sur le contenu des conférences liées aux “Android Malware/Botnet” :

Parmi les conférences, beaucoup étaient liées à des malwares sur Android ayant toujours le même pattern : une application connue non officielle se fait passer pour l’application officielle.

Exemple présenté :

Un faux SMS de livraison de colis indiquant qu’il fallait télécharger la “dernière” application pour pouvoir accéder au suivi.
Les victimes téléchargent la fausse application et derrière installent un trojan. L’objectif derrière, pour la plupart des cas, est d’avoir accès aux comptes bancaires des personnes. Le malware pouvait également “bypass” la double authentification (token par SMS par exemple) pour se connecter. Enfin, l’application envoyait à l’insu des victimes des SMS à ses contacts pour pouvoir se propager.

Les cas présentés ciblaient très spécifiquement des pays, ce qui reste logique car les malwares se faisaient passer pour des entreprises locales, comme une entreprise de livraison.

CERT McAfee : la campagne “Roaming Mantis”

Le CERT McAfee a présenté un melting pot de bot sur Android et plus précisément un “Roaming Mantis”.

Qu’est ce qu’un “Roaming Mantis” ?

Il s’agit d’une campagne utilisant le détournement de DNS pour distribuer des cybermenaces telles que l’exploration Web, le phishing et les applications Android malveillantes.
La campagne en tant que telle a été nommée par Kaspersky en avril 2018. Il s’agit encore aujourd’hui d’une campagne très active et rapidement évolutive.

 

Profil de l’attaquant :

  • forte motivation financière
  • il a implémenté son contenu malveillant qui prend en charge 27 langues (celui ci a compromis les routeurs à travers le monde en ciblant les grands groupes).

Les auteurs de logiciels malveillants Android s’efforcent de trouver des moyens de plus en plus intelligents de monétiser leurs applications. L’auteur (ou un groupe) présenté au cours de la présentation montre toute la gamme possible :

 

Leur création la plus complexe s’appelle «Zen» :

  • Les bundles Zen exploitent pour obtenir un accès root privilégié. 
  • Il utilise ensuite cet accès pour créer de faux comptes Google sur les appareils. 

=> Ces comptes sont créés en abusant du service d’accessibilité avec l’aide supplémentaire de l’injection de code.

Zoom sur 2 présentations intéressantes en tant qu’Analyste SOC :

Il s’agit de :

  • Tracking Samples on a Budget
  • Tracking Botnets with Long Term Sandboxing

Ces deux présentations exposaient les intérêts du sandboxing pour collecter des informations/IOC sur des campagnes en cours.

Qu’est ce qu’une sandbox ?

En cybersécurité, il s’agit d’un environnement isolé du reste du réseau qui simule les environnements des utilisateurs finaux. Cela permet d’exécuter du code suspect sans risque pour le réseau ou l’appareil hôte.
La première présentation portait sur la récupération de samples (fichiers, URLs etc…) via un serveur hébergé.
Avec un budget faible (20€ par mois), il est possible pour une personne d’avoir un suivi/feed permanent sans forcément avoir beaucoup de traitements manuels à faire. En effet, l’outil se base sur plusieurs ressources connues en ligne (sandbox, trackers de malware, analyseur d’URL etc…) pour essayer de retirer un maximum d’informations et de contexte.

L’auteur présentait les chiffres suivant sur une exploitation de deux ans :

  • 270 000 samples uniques
  • 400 000 URL uniques

 

Parmi les samples récupérés, l’auteur indiquait que 25% n’étaient pas connus sur VirusTotal, ils étaient donc uploadés automatiquement. Cela permettrait, par exemple, de savoir si un sample pourrait être lié à une campagne en cours avec une date de soumission. Il y a donc un vrai esprit de collaboration dans ce domaine.
Néanmoins, il y a tout de même un travail initial important à réaliser (le contenu de cette présentation était orienté pour l’implémentation et les problèmes possiblement rencontrés).

Les résultats de l’analyse de ces éléments pourraient par exemple être mis sur un ELK monté sur une VM pour faciliter encore plus la recherche des résultats ou formater au mieux l’affichage.

De manière générale, l’ensemble des conférences de la Botconf permettent d’approfondir ses propres connaissances dans :

  •  l’utilisation et le fonctionnement des malwares
  • comment on peut les détecter 
  • comment mieux nous défendre.