Botconf 2023 – Résumé du Jour 2

From GhostNet to PseudoManuscrypt – The evolution of Gh0st RAT

Jorge Rodriguez (Twitter : https://twitter.com/JR0driguezB) et Souhail Hammou (Twitter : https://twitter.com/Dark_Puzzle)

PseudoManuscrypt est un spyware inspiré par Gh0st RAT. Le vecteur d’entrée est très souvent un faux logiciel piraté. Après avoir été téléchargé et exécuté par la victime, le malware télécharge un fichier PNG et un fichier HTML dans le dossier temporaire de l’utilisateur, puis les déchiffre afin de révéler deux shellcodes qui serviront à établir la persistance. Après avoir provoqué un redémarrage, le malware est installé de manière permanente et va permettre à l’attaquant, entre autres, de voler le contenu de presse-papier, des cookies ou des identifiants de connexion. Le malware permet aussi l’interception de transaction de cryptomonnaies.

Iron Tiger Enhances its TTPs and Targets Linux and MacOS Users

Daniel Lunghi

Iron Tiger est un APT (Advanced Persistant Threat) actif depuis 2010. Leurs méthodes ont beaucoup évolué au fil des années, passant de l’exploitation de CVE aux campagnes de phishing puis aux documents piégés. Leur dernière méthode d’attaque a été d’attaquer la supply chain de certains logiciels pour s’implanter sur l’ordinateur de leurs utilisateurs. La première application touchée fut MimiChat, une application de chat chinoise qui fut attaquée par une injection de code JavaScript obfusqué dans un des fichiers d’installation. D’autres entreprises d’Asie du Sud ont été touchées, comme Youdu et Wazuh par exemple. Ces injections de code permettent entre autres de télécharger des malwares comme HyperBro. Ainsi, ils sont en mesure de récupérer des mots de passe et de la donnée, et ils ne sont sûrement pas les seuls à utiliser ce genre d’outils pour parvenir à leurs fins. Ils ont aussi utilisé assez largement des certificats d’applications volés pour rendre leurs malwares moins suspects en les faisant passer pour des logiciels légitimes. Leurs cibles sont principalement en Asie du Sud-Est, mais des entreprises allemandes, françaises et américaines ont aussi été touchées.

Yara Studies: A Deep Dive into Scanning Performance

Dominika Regéciová (Twitter : https://twitter.com/regeciovad)

Certaines règles YARA sont parfois lentes si elles sont mal écrites. Dans de nombreux cas des améliorations sont à apporter pour accélérer leur exécution et ainsi gagner du temps qui peut être précieux, particulièrement lors de l’analyses de nombreux ou lourds fichiers. La première règle d’optimisation donnée lors du talk a été de ne pas déclarer de strings dans certains cas. En effet, en cas de considération de la taille d’un fichier par exemple, la partie strings sera analysée pour tout le contenu du fichier même si ce dernier ne correspond pas à la restriction de taille voulue. Ainsi, ne pas déclarer de strings et tout mettre directement dans les conditions permet de ne pas analyser les fichiers dont la taille ne correspond pas et ainsi de gagner du temps. Ensuite, YARA supporte mal de chercher l’absence de caractères. Ainsi, pour optimiser une règle qui cherche l’absence d’un caractère il vaut mieux définir deux chaînes à retrouver. : une avec le caractère et une sans par exemple. Pour ce qui est de l’alternance au sein d’une chaîne, le problème est le même et la solution aussi. Enfin, il faut limiter voire proscrire l’utilisation des caractères spéciaux types ‘*’ qui sont trop généraux et vont ralentir YARA. L’exemple donné étant la recherche de ‘.exe’ qui peut être écrite « /.*\.exe/ » ou simplement « .exe », cette deuxième option étant plus rapide. De manière générale, il convient d’être attentif aux warnings de YARA qui sont en général pertinents et permettent d’optimiser les règles.

MCRIT: The MinHash-based Code Relationship & Investigation Toolkit

Daniel Plohmann (Twitter : https://twitter.com/push_pnx)

MCRIT[1] (MinHash-Based Code Relationship & Investigation Toolkit) est une solution open source pour l’analyse de code et particulièrement l’analyse de similarités. La plupart des solutions actuelles sont propriétaires et ne fonctionnent que en comparaison 1:1. L’avantage de MCRIT est donc, au-delà de sa transparence, qu’elle permet de comparer plusieurs fichiers et de les ranger dans des familles de malwares pour comprendre les différents groupes. Le logiciel utilise du MinHash pour comparer les fichiers, ce qui ne fonctionne pas sur les fichiers très volumineux mais très bien pour des fichiers légers. Cette solution permet aussi de repérer les bouts de code d’un fichier qui lui sont propres, et donc de comprendre quelles améliorations ont été réalisées par les groupes d’attaquants entre deux malwares. L’outil est disponible en tant qu’application web mais aussi en tant que plugin pour IDA, ce qui permet une utilisation variée et pratique.

 

Operation drIBAN: insight from modern banking frauds behind Ramnit

Federico Valentine (Twitter : https://twitter.com/f3d__) & Alessandro Strino

DrIBAN est un trojan utilisé dans le monde des banques italiennes pour voler de l’argent via du détournement de transaction. Le malware est tout d’abord envoyé dans un PEC[2], un format de mails dit « certifiés » qui est censé donner gage de sécurité et servir de preuve légale dans certains cas. Ces mails sont particulièrement utiles pour les attaquants car ils renforcent la crédibilité de l’envoi et sont aussi paradoxalement moins analysés que les mails réguliers. Une fois que le malware est exécuté sur la machine de la victime, le cache DNS de l’ordinateur est inspecté pour savoir s’il a des accès employés ou non. S’il en dispose, l’ordinateur est infecté par Ramnit, un vieux trojan bancaire qui a su évoluer avec le temps pour devenir très compliqué à détecter et à déloger. A partir de ce moment-là, les transactions envoyées depuis le compte sont évaluées pour savoir si elles sont dans la fourchette de montant couverte par le virus (>20000€). Si c’est le cas, le virus va détourner la transaction vers une mule qui récupère l’argent pour ensuite l’exfiltrer. Durant le temps de l’envoi, Ramnit va modifier les fichiers PDF générés par la banque pour que personne ne remarque que l’argent est détourné. On estime que 1,5% des clients des banques infectées ont été touchés, pour un préjudice pouvant monter jusqu’à 50 millions d’euros. Ce virus a donc principalement utilisé pour du blanchiment ainsi que du vol d’argent à grande échelle. À noter que le réseau de mules a été démantelé après coup et que l’argent a vraisemblablement été majoritairement exfiltré vers la Russie.

 

Catching the Big Phish: Earth Preta Targets Government, Educational, and Research Institutes Around the World

Nick Day, Sunny Lu and Vickie Su

Earth Preta est un APT chinois qui a conduit de larges campagnes de phishing récemment. Les mails envoyés contenaient des liens Google Drive vers des fichiers malveillants. Le virus en question est TONESHELL, un malware récent. Les cibles sont principalement touchées par du cyber espionnage, et le groupe d’attaquants utilise beaucoup d’outils open source. On note des attaques dans de nombreux pays à travers le monde mais les endroits les plus touchés ont été l’Australie puis certains pays d’Asie du Sud-Est. Les TTP (Tactiques Techniques et Procédures) de Earth Preta ont beaucoup évolué avec le temps mais désormais l’acteur utilise principalement un fichier exe en standalone qui une fois exécuté va télécharger des DLL malveillants. Il a aussi utilisé par le passé des techniques comme des fausses extensions de fichiers par exemple. De l’obfuscation a été rapportée dans de nombreux virus pour semer la confusion chez les analystes. Pour l’exfiltration, l’usage de cURL ou de WinRar est fréquente. Le groupe Trend Micro[3] a trouvé des indices sur l’identité des auteurs du malware grâce à une modification du lien Google Drive envoyé aux victimes. Ils ont aussi pu retrouver des indices en trouvant des Artifact cachés dans le virus pour trouver les fichiers dans l’ordinateur qui ont pu le compromettre. De là, en remontant les fichiers d’exécution parents ils ont réalisés que les fichiers compromettants étaient souvent des archives WinRar dont le nom était ‘INetCache’ et qui faisaient plus de 500kB.

 

The Case For Real Time Detection of Data Exchange Over the DNS Protocol

Yarin Ozery

Ce talk présente un cas d’usage de détection et de prévention d’utilisation d’exfiltration DNS. Dans ce talk, Yarin explique que les attaquants utilisent parfois un nom de domaine enregistré par eux-mêmes pour exfiltrer discrètement des données via des paquets DNS. Pour détecter ce genre de fuites, deux approches existent. Il est possible de se pencher sur un trafic DNS qui peut paraître suspect, où sur le contenu des paquets en question. Pour ce faire, Akamai utilise une solution basée sur le machine learning qui détecte la taille des informations échangés vers un sous-domaine unique, et lance une alerte si celle-ci est supérieure à un seuil défini par l’entreprise. Si un tel trafic est détecté, il est bloqué et le SOC est alerté. Les limites de cette solution réside dans le nombre important de faux positifs qu’elle peut produire, du fait qu’elle ne détecte pas les exfiltrations DNS chiffrées et qu’elle ne fonctionne pas si l’exfiltration s’étale sur plusieurs domaines.

Tracking Bumblebee’s Development

Suweera De Souza

Bumblebee est un malware observé pour la première fois en 2022. Ce malware télécharge un fichier DLL qui va permettre, après unpacking, de communiquer avec un serveur C2 qui va lui envoyer des chaînes de 3 caractères représentant des instructions. Dans ce malware on notera l’utilisation de la libraire Boost en C++. Le DLL principal de Bumblebee semble légitime mais l’irrégularité observée est qu’il utilise setPath, une fonction propre au malware. De plus, le malware se cache sous une routine de démarrage ce qui lui permet de rester discret. Les messages envoyés au C2 sont sous format JSON et chiffrés via RC4[4]. Les données envoyées sont par exemple l’historique du navigateur, l’ID de la victime (pour pouvoir l’identifier) entre autres. Les tâches pouvant être demandées par le C2 sont multiples ; voic une liste non exhaustive de certaines d’entre elles : injection de shellcode, injection de DLL, téléchargement et exécution, exfiltration de données, installation pour établir la persistance, suppression silencieuse etc. Le malware utilise libsplice, une librairie utilisée pour d’autres virus mais aussi pour des logiciels de triche dans les jeux vidéo. Le vecteur d’attaque principal est le spam de mails.

 

A student’s guide to free and open-source enterprise level malware analysis tooling

Max Kirsten (Twitter : https://twitter.com/Libranalysis)

Ce talk porte sur les moyens de débuter dans le reverse engineering et de progresser en utilisant des outils gratuits et open source, un bon moyen pour les étudiants ou les startups de se lancer. Les principaux conseils donnés sont de ne pas se concentrer sur l’analyse manuelle et de profiter de la communauté pour poser ses questions et obtenir de l’aide lorsque le besoin s’en fait ressentir. L’utilisation de certains sites comme Malshare, Malware Bazaar, Malpedia ou Triage peut être intéressante pour se forger une culture sur les virus actuels. Pour débuter, il peut être utile de stocker des échantillons de virus et de construire une base de données contenant des métas sur les campagnes, etc. L’utilisation de règles YARA est aussi intéressante, et Max recommande dans la mesure du possible de favoriser l’automatisation de l’analyse de code. Pour ce qui est de l’analyse manuelle, de nombreux outils existent, comme Ghidra ou IDA par exemple. L’idée dominante du talk était principalement de ne pas réinventer la roue en s’appuyant sur le soutien de la communauté du reverse engineering et les outils existants.

Références