Botconf 2023 – Résumé du Jour 1

Introduction

Patrick Penninckx, Head of Information Society Department du Conseil Européen, introduit l’édition 2023 de la Botconf en soulignant que l’Europe s’est appropriée relativement tôt les sujets Cyber et travaille de concert avec 180 pays sur cette thématique. Par analogie avec la construction politique, il est affirmé que rien n’est possible (en Cyber) sans communauté (ici l’audience de la Botconf).
Pour la 10ème édition de la Botconf, Éric Freyssinet communique quelques chiffres : les workshops ont accueilli 75 participants cette année, 400 personnes assistent à la Botconf. Les sponsors apportent 45% du budget.

Perfect Smoke and Mirrors of Enemy: Following Lazarus group by tracking DeathNote campaign

Seongsu Park, Lead Security Researcher dans l’équipe GReAT de Kaspersky (Twitter : https://twitter.com/unpacker)

Après un rapide parcours de l’historique général du groupe Lazarus, un focus est mené sur DeathNote (qui tire son nom de celui de la bibliothèque servant de payload : dn.dll / dn64.dll). Au fil des ans, la famille est montée en gamme, tirant parti de techniques classiques (remote template injection, DLL side loading) et intégrant des méthodes pénalisant la détection comportementale (déchiffrement de code ou de configuration avec des clefs fournies à l’exécution, ce qui laisse inerte une évaluation en sandbox) ou réduisant la vision de l’infrastructure déployée (niveaux multiples pour les serveurs C2 : 1st stage comme proxy, 2nd stage pour l’opérateur).

RAT as a Ransomware - An Hybrid Approach

Nirmal Singh, Avinash Kumar, Niraj Shivtarkar de l’équipe ThreatLabZ chez zscaler

La télémétrie de zscaler fournit un classement des RAT les plus courants : RemcosRAT, LimeRAT, AsyncRAT pour les trois principaux. Une première illustration de ce type de malware est réalisée avec VenomRAT, dérivé de QuasarRAT. Une certaine furtivité est recherchée avec une longue chaîne d’exécution : fichier CHM, puis script VBS, puis script PowerShell et enfin exécutable PE codé en .Net. Les clefs de chiffrement sont communes avec Magnus Ransomware. Une seconde illustration s’appuie sur Anarchy Panel RAT, qui présente des similarités avec DcRAT. Si le message de rançon est récupéré depuis le site imgurl, ces portions de code proviennent de logiciels OpenSource.

A dissection of the KmsdBot

Larry W. Cashdollar (Twitter : https://twitter.com/_larry0) Allen West (en distanciel) du SIRT d’Akamai

Larry se présente en indiquant qu’il cumule 22 annuités chez Akamai et que le temps et les CVE remontés faisant, il est désormais CVE Numbering Authority (« CVE CNA »). Dans le cadre du développement d’un honeypot, l’équipe est tombée par hasard sur une gamme de malware nouvelle, reposant sur un fichier kthread, kthreads ou kthreaddd selon les versions ; une détonation dans un environnement Docker maîtrisé a permis de réaliser des caractérisations réseau. Pour l’anecdote, le malware est codé en Go mais comporte de nombreux bogues qui ont conduit les opérateurs du botnet à planter leur réseau durablement à plusieurs reprises.

Les recommandations pour opérer un honeypot rapidement sont d’ouvrir un service SSH avec un compte root protégé par un mot de passe faible.

Security Implications of QUIC

Paul Vixie, d’AWS Security

Un constat simple est argumenté ici : les protections apportées aux communications des utilisateurs contre la surveillance des régimes autoritaires profitent également aux menaces Cyber qui mettent à profit ces mêmes moyens pour déjouer la surveillance des outils de protection. A titre d’exemple est cité l’utilisation du protocole DoH (DNS over HTTPS) qui masque les noms de domaines contactés.

You OTA Know: Combating Malicious Android System Updaters

Alec Guertin (Twitter : https://twitter.com/guertin_alec) et Łukasz Siewierski (Twitter : https://twitter.com/maldr0id), de Google

Un téléphone Android implique tellement d’acteurs que le risque existe qu’un intervenant malintentionné introduise plus ou moins officiellement des fonctionnalités indésirables dans le système d’origine d’un téléphone ; MalwareBytes a déjà publié en 2020[1] des exemples de ces ajouts, qui sont parfois fortement protégés d’une analyse mais néanmoins pris en compte par Google[2]. MalwareBytes a également diffusé en 2021[3] l’exemple d’un appareil incluant de la fraude à la publicité. Les outils d’analyses de Google BTS (Build Test Suite) couvrent aujourd’hui les mises à jour de 3 milliards d’appareils et plus de 170 firmwares.

Digital threats against civil society in the rest of the world

Martijn Grooten, d’Internews

Un petit panorama de l’information warefare est dressé : scam, vol, modification et diffusion de documents, spywares, mercenaires, etc. Citizenlab est une bonne source pour se tenir informé des menaces ciblant par exemple des journalistes (ex : QuaDreams[4]), tout comme OCCRP (ex : Team Jorge[5]).

Cyber Swachhta Bharat- India’s answer to botnet and malware ecosystems ?

Pratiksha Ashok (PhD / juriste) (Twitter : https://twitter.com/Pratiksha_Ashok)

A titre d’information, l’Inde s’est doté d’un CERT en 2004. Le gouvernement Indien met en œuvre des moyens de lutte contre la menace Cyber : recensement d’outils gratuits[6] et fiches d’alerte sur les menaces courantes[7]. Les avantages (défense des populations et réponse appropriée à un acte de guerre) et les inconvénients (intervention déloyale dans l’économie) des actions de l’état indien sont à prendre en considération.

Syslogk Linux Kernel Rootkit - Executing Bots via « Magic Packets »

David Álvarez Pérez d’AVAST (Twitter : https://twitter.com/wormable)

En chassant sur VirusTotal, David est tombé sur un rootkit Linux nouveau. Le module se cache, dissimule ses communications réseau et certains répertoires à partir de préfixes ; pour ce dernier point, la technique a été reprise d’Adore-NG[8]. Du code d’illustration de cours d’université FR se retrouve également dans le malware (!). Une instance embarquée d’Udis86[9] permet de poser des hooks lorsque nécessaire. La fonctionnalité de magic packets est apportée à l’aide de règles Netfilter, qui réagit à des valeurs particulières, des tailles à respecter, etc. Pour gagner en furtivité, des requêtes HTTP issues de Mozilla ou Apache peuvent être simulées.

Read The Manual Locker: A Private RaaS Provider

Max ‘Libra’ Kersten, de Trellix (Twitter : https://twitter.com/Libranalysis/) ; auteur de DotDumper[10]

Une analyse de RTM locker, vendu sur des forums par le groupe RTM, est présentée ; le processus de chiffrement n’a cependant pas été éprouvé (il est laissé en exercice au lecteur). Article technique et échantillons seront prochainement diffusés, respectivement sur le blog de Trellix et sur VirusShare.

 

The Fodcha Botnets We Watched

Lingming Tu, de 360 (Twitter : https://twitter.com/turingalex)

Fodcha est le second botnet le plus volumineux à ce jour selon les mesures de 360 ; Mirai se classe 4ème. Fodcha est un botnet relativement récent (2022) qui se diffuse grâce à l’exploitation de CVE. Fodcha comporte des similarités avec Mirai, mais également des différences (comme l’utilisation des TLD OpenNIC comme C2 par exemple) ; Fodcha s’appuie par ailleurs sur les algorithmes XXTEA et ChaCha20 pour sa cryptographie. La chasse au botnet Fodcha se réalise selon deux moyens : le contact des C2 via le protocole du botnet ou le farming des bots.

Références