Cedric PERNET - Forensics, Malware & Cybercrime

De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.

L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.

Un nouveau white paper vient de retenir mon attention, publié par malware.lu et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.

Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.

Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.

Phase de collecte d'information:

Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.

D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.

Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.

Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)

Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.

L'attaque.

Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.

Les portes des c&c Poison Ivy se sont alors ouvertes :-)

Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.

Le schéma fourni dans le document est le suivant:

Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.

Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.

Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.

L'analyse des données

Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.

Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.

Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.

• Les attaquants semblent utiliser un couple serveur proxy/serveur c&c pour chaque cible. Lorsqu'une cible découvre l'adresse IP d'un proxy, cette adresse est réassignée à une autre cible.

• Les secteurs d'activité des cibles: sociétés privées, publiques, institutions politiques, activistes, associations et journalistes.

• Sur le serveur Poison Ivy, un répertoire est créé au format: <NOM DE LA CIBLE>\<NOM D'UTILISATEUR>. (exemple: E:\SOCIETEBLABLA\borislezombie)

Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.

Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.

Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.

Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de malware.lu et itrust consulting, en particulier de Paul Rascagnères.

Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)

Il n'aura pas fallu longtemps pour que le hasard apporte une réponse à mes interrogations récentes sur les attaques APT.

En effet, la société Mandiant vient de publier un rapport très intéressant sur l'un des plus grands groupe d'attaquants chinois responsables de nombreuses attaques depuis 2006, qu'ils appellent "APT1".

Je ne vous ferais pas de résumé de ce rapport, par contre je tenais à souligner certains éléments mis en lumière par Mandiant :

1. Les commanditaires.

• Le gouvernement chinois est au courant des attaques menées ("The details we have analyzed during hundreds of investigations convince us that the groups conducting these activities are based primarily in China and that the Chinese Government is aware of them.") et le gouvernement chinois est probablement un commanditaire. ("Our analysis has led us to conclude that APT1 is likely government-sponsored and one of the most persistent of China’s cyber threat actors. We believe that APT1 is able to wage such a long-running and extensive cyber espionage campaign in large part because it receives direct government support.")

2. Les cibles.

• Mandiant estime avoir constaté 141 attaques réussies sur les 7 dernières années menées par le groupe APT1, et cela ne représente qu'une partie des attaques menées par le groupe. Ces 141 cibles (entreprises) différentes sont réparties sur 20 secteurs d'activités majeurs.

• APT1 maintient ses attaques sur chaque cible en moyenne 356 jours. La plus longue persistence constatée était de 1764 jours, soit 4 ans et 10 mois.

• Le plus gros vol de données impactant une cible unique: 6,5 Terabytes de données compressées, sur une période de 10 mois.

• 87% des cibles sont localisées dans des pays utilisant la langue anglaise de façon native.

• Les cibles font parties de 4 des 7 industries émergentes stratégiques listées dans le "12th Five Year Plan" de la Chine.

Voici une carte des cibles des attaques d'APT1, établie par Mandiant:

Les secteurs industriels impactés sont les suivants :

• Une entreprise "grossiste" (a company involved in the wholesale industry) a constaté, après avoir été attaquée, que dans les 2 ans et demi qui ont suivi le gouvernement chinois qui était client a fait baisser les prix de 2 décimales auprès de lui, coincidence plutôt amusante... ("China had successfully negotiated a double-digit decrease in price per unit with the victim organization for one of its major commodities.")

3. La structure physique APT1 et Unit61398.

• "APT1 is believed to be the 2nd Bureau of the People’s Liberation Army (PLA) General Staff Department's (GSD) 3rd Department, which is most commonly known by its Military Unit Cover Designator (MUCD) as Unit 61398".

• Unit 61398, constitué de plusieurs centaines de personnes, travaille à partir d'un immeuble de 12 étages en banlieue (Pudong New Area) de Shanghai, construit en 2007, dont voici une photo, et qui pourrait héberger 2000 personnes environ :

Cependant, cet immeuble ne serait finalement qu'une parmi plusieurs installations physiques utilisées par Unit 61398. Une photo dans le rapport de Mandiant nous montre que l'entrée est gardée par des soldats.

Pour l'anecdote, ils disposent de plusieurs structures annexes à leurs activités, comme... des crèches. ("Unit 61398 also has a full assortment of support units and associated physical infrastructure, much of which is located on a stretch of Datong Road in Gaoqiaozhen, in the Pudong New Area of Shanghai. These support units include a logistics support unit, outpatient clinic, and kindergarten, as well as guesthouses located both in Gaoqiaozhen and in other locations in Shanghai.

• Au nom de la Défense Nationale, China Telecom fournit la fibre optique à la structure. ("China Telecom provided special fiber optic communications infrastructure for the unit in the name of national defense.") Un mémo de China Telecom mentionne cela: "because this is concerning defense construction, and also the 3rd Department 2nd Bureau is a very important communication control department, we agree to provide the requested channels according to the military’s suggested price."

• Les activités d'APT1 ont été traquées sur 4 réseaux à Shanghai, 2 de ces réseaux étant situés dans le secteur de Unit 61398. ("Mandiant has traced APT1’s activity to four large networks in Shanghai, two of which serve the Pudong New Area where Unit 61398 is based.")

4. La structure d'attaque.

• APT1 contrôle des milliers de machines dans le monde pour mener à bien ses opérations.

• Sur les 2 dernières années, APT1 a créé 937 serveurs de command&control (c&c) de malware, utilisant 849 adresses IP différentes, sur 13 pays. La majorité de ces adresses IP sont enregistrées par la Chine (709), suivi des Etats-Unis (109).

• 97% des connections effectuées par les attaquants, en sessions Remote Desktop, présentaient une langue "chinese simplified"

• Unit 61398 mène des campagnes de recrutement intense dans différentes universités, cherchant des profils disposant de solides compétences en sécurité informatique, mais aussi en langue anglaise, en mathématiques, politique... ("Unit 61398 aggressively recruits new talent from the Science and Engineering departments of universities such as Harbin Institute of Technology and Zhejiang University School of Computer Science and Technology")

5. Des méthodes.

• Chaque cible, une fois compromise, est revisités périodiquement pour de nouveaux vols de données sensibles/stratégiques.

• Des outils customs ont été développés par APT1. Par exemple, GETMAIL et MAPIGET pour le vol d'e-mails. Les outils connus et publics utilisés par les attaquants sont listés dans le document de Mandiant.

• Voici le cycle d'attaque, décrit par Mandiant ("Mandiant's Attack Lifecycle Model"), qui ressemble beaucoup à ce que j'écrivais récemment.

• Mandiant nous montre un spear-phishing utilisé par APT1 pour tenter de les infecter. La méthode est simple mais efficace : se faire passer pour un collègue/dirigeant, avec une pièce jointe à ouvrir...

• APT1, même s'ils utilisent quelques RAT (Remote Administration Tools, ou outils d'administrations à distance) connus et publics, disposent surtout de leurs propres backdoors. 42 familles sont listées par Mandiant. APT1 semble donc dispose de ses propres développeurs de malware/outils, et ce depuis 2004, date de compilation la plus vieille découverte par Mandiant.

6. Des personnes.

3 profils ont été révélés par Mandiant, mais je ne m'étendrais pas dessus. Si cela vous intéresse, il suffit d'aller lire le document. Par contre, on note au passage un joli screenshot d'une boite gmail d'un attaquant... Mais Mandiant ne semble pas y avoir eu accès, ils justifient ce screenshot en indiquant qu'il s'agit d'un screenshot pris alors que l'attaquant accédait à sa boite mail à partir d'une machine compromise... Mais s'agit-il d'une machine d'une victime qui aurait été compromise et à partir de laquelle l'attaquant aurait consulté sa boite (peu crédible) ou d'une machine de l'attaquant compromise par Mandiant ? ("This is a screen capture of DOTA accessing his Gmail account while using a compromised system on APT1’s attack infrastructure.")

7. Annexes.

Mandiant finit son rapport avec différentes annexes. La première évoque la façon dont Mandiant classifie les groupes d'attaquants, la seconde développe le cycle d'attaque, et les suivantes font références à une archive de Mandiant, qui liste plus de 3000 indicateurs d'attaques, dont des IOC. (Indicators Of Compromise)

8. Thoughts...

Ce rapport de Mandiant est un document qui va faire grand bruit dans toute la communauté de la recherche de malware, de la réponse à incident. et de la cyber intelligence. Les éléments fournis par Mandiant sont crédibles, avérés, et peu de place est laissée à la supposition gratuite comme on aurait pu le craindre.

Les retombées de cette publication vont probablement se faire sentir rapidement, malheureusement, pour tout les "incident responders" dont je fais partie : nul doute que les attaquants vont changer de nombreuses choses rapidement, notamment tous les indicateurs de compromission. Ils vont changer leurs backdoors, leurs malwares, et on peut compter sur eux pour faire cela rapidement. D'un autre côté, ce document apporte un éclairage sain sur ces attaques qui ne peuvent plus être ignorées, et qui lèvent un certain doute sur le degré d'implication et de connaissance du gouvernement chinois.

UPDATE: Une publication intéressante de ShadowServer a été publiée ici.

UPDATE (27 février 2013): De nouvelles infos fournies à Mandiant ont été publiées ici.

Le typosquatting de noms de domaines consiste à acheter des noms de domaines proches de noms de domaines existants, souvent d'entreprises.

La plupart du temps, ce dépôt de noms de domaines a pour but de nuire à l'image d'une entreprise en y plaçant un contenu diffamant ou portant atteinte à son image publique.

D'autre fois par contre, le typosquatting est l'oeuvre d'une autre catégorie de cybercriminels poursuivant des buts plus malveillants :

• Mise en place d'un site de phishing (ou hameçonnage).

• Diffusion de malware : un exemple célèbre : goggle.com. Je n'ai pas vérifié si c'est toujours le cas mais le site délivrait du malware lors de sa consultation. On imagine aisément que cela a pu impacter des milliers de personnes qui avaient mal tapé "google.com" dans leur barre de navigation. Se faire infecter son ordinateur parce qu'on a mal tapé une adresse, c'est bête quand même :-/

• Collecte d'information : cet aspect est assez peu documenté, et c'est là qu'intervient à point nommé une étude de Peter Kim et Garrett Gee, nommée "Doppelganger Domains".

En gros, l'idée est de typosquatter des noms de domaines de certaines entreprises, dans le but de collecter tous les e-mails envoyés par erreur vers leur domaine. Un "Doppelganger Domain" est un nom de domaine frauduleux, écrit de la même façon qu'un nom de domaine légitime, mais sans le "." entre un sous-domaine et le domaine.

Un peu confus ? Un exemple :

1. L'entreprise OnestLesMeilleurs dispose d'un nom de domaine onestlesmeilleurs.com (qui n'existe pas au moment de la rédaction du présent article). Leur site Internet se trouve sur fr.onestlesmeilleurs.com.

2. Un fraudeur enregistre le nom de domaine fronestlesmeilleurs.com : notez qu'il manque le "." entre le nom de domaine et le sous-domaine, faisant ainsi la différence avec le site légitime.

3. Le fraudeur configure un serveur mail permettant de récupérer tous les mails ("catch all") envoyés vers fronestlesmeilleurs.com

4. Le fraudeur attend, et voit des mails arriver : il s'agit de mails de gens ayant oublié de taper le "." dans le nom de domaine, et envoyant tout type d'information. Il peut s'agir de données confidentielles à destination d'un employé de la société ... Ou de mails contenant des références de cartes bancaires, etc.

Le fraudeur peut même se faire passer pour le destinataire et répondre à l'émetteur, sans que ce dernier n'y fasse attention : le vol de données/la fuite d'information se poursuit...

Les chercheurs ayant rédigé l'étude "Doppelganger Domains" ont voulu tester le volume d'information pouvant être collectée par ce biais, et l'impact éventuel sur des entreprises du "Fortune 500".

Le résultat est plutôt édifiant : sur 500 sociétés, 151 sont vulnérables à une telle attaque, soit près de 30%.

Les chercheurs ont enregistré 30 "doppelganger domains" et ont observé ce qui se passait pendant 6 mois. Ils ont ainsi collecté près de 120 000 mails, représentant près de 20 gigabytes de données.

A noter que pendant ces 6 mois, une seule société a mené une action contre le doppelganger domain qui l'impactait. (probablement par une récupération de nom de domaine usurpant la marque...)

Comment protéger son entreprise de ce type d'attaques ?

• Déployer une veille active sur tous les noms de domaines typosquattés susceptibles d'impacter la société.

• Déposer tous les doppelganger domains et plus généralement tous les domaines estimés "à risque", à titre préventif.

• Récupérer tous les noms de domaines typosquattés déjà enregistrés par des tiers, en procédant notamment par une procédure UDRP.

Je n'aime pas trop certains termes français relatifs à la cybercriminalité. Parmi eux, le "hameçonnage". Je me permettrais donc de parler de "phishing", les puristes de la langue française m'excuseront.

Je ne vais pas revenir en détails sur ce qu'est le phishing. Le principe est simple : des cybercriminels créent des fausses pages web imitant une cible particulière (banque, fournisseur d'accès Internet, etc.) et envoient des milliers d' e-mails au petit bonheur la chance en se faisant passer pour la cible. Prenons l'exemple d'une banque : les fraudeurs se font passer pour la banque, et sous un prétexte quelconque (souvent une mise à jour de sécurité) ils demandent à l'internaute de cliquer sur le lien "qui rétablira tout". Un internaute crédule ira donc se connecter sur la page, qui est une fausse page imitant sa banque, et entrera ses identifiants et mots de passe bancaires... Il ne reste plus pour les fraudeurs qu'à se connecter à la place de l'internaute, sur sa véritable banque, et à profiter du compte bancaire.

Seulement, il y a un petit hic : ces fraudeurs sont localisés ailleurs dans le monde, en Ukraine ou en Roumanie par exemple. Sachant que la plupart des banques françaises n'autorisent pas de virements bancaires directs vers l'étranger, les pirates ont dû trouver une parade. Ils ont contourné le problème en lançant des campagnes de recrutement de "mules". L'idée était de créer de fausses entreprises (souvent avec site web) qui sous prétexte de travailler dans le secteur financier mais pas dans votre pays vous proposent de travailler pour eux de chez vous. Le principe et les slogans sont accrocheurs, du style: "gagnez jusqu'à 5000 Euros par mois, en travaillant de chez vous, moins de 3 heures par semaine."

En fait, les fraudeurs allaient se connecter sur les comptes des victimes "phishées", et effectuaient des virements bancaires vers les mules. Ces mules devaient ensuite renvoyer la somme amputée de 3 à 10% vers une adresse étrangère (Ukraine pour l'exemple). Ce transfert d'argent était effectué par des sociétés telles que Western Union, etc.

La mule garde donc un faible pourcentage de l'argent volé aux victimes. Jusqu'à son interpellation et sa garde à vue en tout cas, ce qui arrive invariablement et plutôt rapidement... A peine le temps d'acheter un chat et déjà en garde à vue... (private joke) ;-)

Les mules sont recrutées au hasard mais également de façon plus ciblée, sur des sites de recherches d'emplois etc. (Voir ici pour un bon article sur le sujet.)

Quoi qu'il en soit, j'examinais une campagne de recrutement de mules par mail il y a quelques jours, lorsque j'ai vu une nouveauté pour le moins intéressante dans les e-mails des fraudeurs : (les xxx et les mentions entre parenthèses sont une anonymisation effectué par mes soins)

---

Dear xxx

This is (fake name) from (fake company). I was assigned your Regional Instructor and from now on you’ll be working under my supervision. I’ll be providing you with all necessary information and submitting tasks to complete. I do hope we’ll enjoy working together.

I wish to begin this letter by saying thanks to you for applying for the job of the(fake company). We appreciate the opportunity to meet you and learn more about your interests.

In order to join our team as soon as possible, you have to confirm your intention to work with us by filling in and sending us the contract and the application form (please see it enclosed).

The procedure is as follows:

1. Please register at this link to receive a personal account in our online system: http://xxx

2. Read our FAQ: http://xxx

3. Download our secure transaction certificate: http://xxx.exe

4. Download the contract at this link http://xxx

Please read it carefully, fill in the required fields, sign it and send it scanned back (with your photo attached) to our corporate e-mail: (e-mail address for the fake company)

You can also fax your application Our fax number is xxx

You will become our official employee and receive your first assignment as soon as this is done.

Note: Please read and fill in all the forms very carefully to eliminate possible malfunction of your account. After the registration you will be put in the waiting list for activation of your account, which is necessary to start the job. The approximate time is about 1-2 days, so just wait for a response, please.

You will enjoy the comfort of working with us. We take the responsibility to send you information about the transfers to your account, payment processing details and other details very promptly to assist and to facilitate your job.

My job is to assist you in managing payments and I'll be happy to do the utmost to help you whenever possible.

---

Notez le point 3 que j'ai mis en gras : on demande à la mule de télécharger et d'exécuter un fichier exécutable. Ma tête se transforme en carillon lorsque je lis ce genre de chose, remplie de sonneries d'alarmes : ATTENTION, DANGER, il s'agit probablement d'un malware.

Un téléchargement plus tard et une analyse rapide plus loin, force est de constater qu'effectivement, il s'agit d'un code malveillant. Son but ? Empêcher la mule de découvrir sur Internet que cette offre d'emploi est "bidon".

La seule fonction de cet exécutable est de changer le fichier "HOSTS" de la mule. En simplifiant un maximum, sous un système Windows, ce fichier permet de rediriger les navigations de l'ordinateur.

Les lignes suivantes sont ajoutées au fichier HOSTS :

127.0.0.1 google.com
127.0.0.1 google.co.uk
127.0.0.1 www.google.com
127.0.0.1 www.google.co.uk
127.0.0.1 suckerswanted.blogspot.com
127.0.0.1 ideceive.blogspot.com
127.0.0.1 www.bobbear.co.uk
127.0.0.1 bobbear.co.uk
127.0.0.1 reed.co.uk
127.0.0.1 seek.com.au
127.0.0.1 scam.com
127.0.0.1 scambusters.org
127.0.0.1 www.guardian.co.uk
127.0.0.1 ddanchev.blogspot.com
127.0.0.1 aic.gov.au
127.0.0.1 google.com.au
127.0.0.1 www.reed.co.uk

Le résultat de cette modification ? Toutes les navigations de l'utilisateur vers les sites listés ne fonctionneront plus. (oui oui je sais je simplifie à outrance, c'est de la vulgarisation et pas un doc technique ;-) )

La plupart de ces sites sont des sites soit de recherches (google) soit des références mondiales de lutte contre le phishing/recrutement de mules (reed.co.uk et bobbear.co.uk en particulier)

Ainsi, si la mule essaye de se renseigner sur les échanges avec les fraudeurs et la campagne de recrutement en allant consulter ces sites, elle ne pourra pas obtenir d'information. D'où le titre de cet article...

Cette méthode est intéressante et nous montre que les cybercriminels continuent de déployer des trésors d'ingéniosité pour maximiser les gains de leurs arnaques et rentabiliser le temps passé à les mettre en place. Bien que la plupart des solutions anti-virales détectent ce code malveillant, le problème en matière de phishing reste esentiellement humain, et la sensibilisation reste une clef de voûte dans la lutte contre ce type d'escroqueries.

Au beau milieu des acteurs de la réponse à incident de sécurité informatique se trouvent les services "Abuse". La quasi-totalité des hébergeurs disposent d'un tel service, généralement joignable exclusivement par e-mail à "abuse@nomduFAI". Ces services travaillent sur des aspects techniques afin de faire respecter le bon usage de leurs services et de protéger les internautes de certaines menaces. Ainsi, parmi leurs missions les plus fréquentes on trouve en particulier le traitement des signalements des cas :

• de sites illicites hébergés au sein de leur parc (qu'ils feront fermer/désactiveront) ;
• de malware hébergés sur les sites web de leurs utilisateurs (qu'ils retireront) ;
• de spams envoyés ou reçus ;
• de compromission de serveurs ;
• etc.

Ces services collaborent étroitement avec les équipes CERT ainsi qu'avec les services judiciaires afin de faire cesser au plus vite toute infraction.

Seulement voilà, il s'agit de...la théorie. Dans la pratique, les services abuse sont souvent lents, et relativement opaques. Malgré le fait qu'en France, ils aient l'OBLIGATION de faire retirer les contenus illicites dès qu'ils en ont connaissance, les délais d'intervention de ces services sont très variables. Les services abuse répondent souvent à un mail par un message automatisé, ou ne répondent pas du tout, et vous envoient un mail (ou pas) lorsqu'un incident est résolu. Parfois ils agissent sans fournir aucun retour, ou n'agissent tout simplement pas.

Du coup, le meilleur moyen de savoir s'il y a eu une action de leur côté est souvent de consulter régulièrement la page web à problème (dans le cas d'un site de phishing par exemple) jusqu'à la voir disparaître.

Les services abuse sont également les ennemis des cybercriminels. C'est le jeu, et ces derniers ont pour habitude de faire héberger leurs contenus frauduleux sur plusieurs serveurs différents, sachant pertinemment qu'ils seront fermés au fur et à mesure.

Récemment cependant, nous avons pu observer un nouveau type d'attaque ciblée de la part de certains cybercriminels. Ces derniers écrivent au service Abuse en se faisant passer pour un internaute ayant un problème de sécurité, un mail parmi tant d'autres à traiter... Ils prétextent avoir vu un site de phishing, et indiquent un lien vers une page frauduleuse que l'équipe de réponse à incident va consulter afin de vérifier la véracité des dires de l'internaute. Mais ce lien les dirige directement sur une page dont le seul but est... d'infecter le service Abuse avec un cheval de Troie !

Voici un exemple d'un tel e-mail :

--

To: abuse@bank.com

Cc: fraud@bank.com; scams@bank.com; customersupport@bank.com; security@bank.com

Subject: Possible Fake Web Site

Hello, I just received an email stating it was from your bank and since I don't have any accounts with you I think this is a fake site. I just thought you might like to know someone is trying to scam your customers.

The email had the following link to your bank (link)

Thanks, I hope you catch the scammers.

--

Les intérêts d'une infection d'un service abuse sont multiples mais je vois surtout les possibilités de :

• disposer d'une porte dérobée au sein de l'entreprise, pour ensuite rebondir et compromettre d'autres machines de l'entreprise. Le fait qu'une adresse mail "abuse@fournisseurdacces" existe presque toujours y contribue ;
• observer le mode de fonctionnement du service ;
• usurper l'identité du service abuse afin de contacter d'autres services ou clients et les infecter avec des malware ;
• espionner les mails parvenant au service abuse pour obtenir de l'information utile transmise par les clients (numéros de cartes bancaires, identifiants et mots de passe d'accès à des services, etc.).

Dans l'exemple réel que nous avons cité, et dans lequel nous avons évidemment changé les adresses pour respecter l'anonymat de l'établissement bancaire ciblé, vous pouvez voir en plus que les fraudeurs ont envoyé leur e-mail vers plusieurs services "à l'aveugle" : des adresses ayant des chances d'exister ont été ajoutées (security@, fraud@, customersupport@ ...).

Comme toujours donc, que vous soyez un particulier ou un professionnel de la sécurité informatique, la prudence est de mise. Favorisez les navigateurs exotiques, soyez toujours à jour au niveau de votre logiciel anti-virus, et soyez préparés à rétablir un système sain rapidement en cas d'infection.

Article également publié sur ZDNet et sur le blog du CERT Lexsi.

ScanSafe, société appartenant au groupe Cisco, a récemment publié son rapport annuel 2009 portant sur les menaces informatiques. Cette étude est entièrement basée sur l'analyse de trafic web géré par ScanSafe. Même si le document ne présente rien de révolutionnaire, il a le mérite de rappeller certains faits que je trouve intéressant et que je me permet d'agrémenter de quelques commentaires :

• Vouloir réduire le challenge de la sécurité à une lutte contre les malware est une hérésie. D'autres menaces sont tout aussi présentes : fuite d'information par méthodes autres que malware (complicité interne par exemple), espionage, etc...

• Malgré la médiatisation récente importante d'un certain nombre de cas avérés de cyber-espionage, les grandes entreprises (Google et d'autres récemment) continuent à se faire infiltrer par des méthodes très classiques : attaques ciblées menant à des infections par trojan notamment. Pas besoin donc de déployer des méthodes vraiment "super high-tech", il suffit d'un minimum de connaissances pour modifier une souche de malware existant et infecter un poste clef... Ou même juste de connaitre la solution anti-virale qu'on a en face...

• Le nombre moyen de compromissions, de vol de données, et d'attaques uniques a augmenté de façon dramatique en 2009 pour les entreprises.

• Le secteur de l'énergie et du pétrole ont subi une augmentation de 356% des tentatives d'infection par malware de type chevaux de Troie. De même, 252% d'augmentation pour les secteurs pharmaceutiques et chimiques. Les autres secteurs d'activités a avoir vu leurs risques augmenter de façon conséquente sur ce type de menaces sont le secteur financier (guère étonnant...) et le gouvernement.
• Il n'existe plus de malware "facilement détectable" : le taux de détection positive par les anti-virus traditionnels (à signature) n'est plus que de 60%.

• Tant qu'il y aura des utilisateurs crédules, les fraudes seront faciles à mettre en oeuvre. Deux solutions : la première, guère crédible, consiste à éliminer les utilisateurs. La seconde, beaucoup plus applicable, est de les sensibiliser autant que possible aux notions de sécurité informatique. Encore une fois, on n'imaginerais pas confier une voiture à une personne sans permis de conduite...

• Les enfants ? Quid des adultes ? La principale préoccupation des parents a toujours été de protéger leurs enfants en ligne. Mais songent-ils à se protéger eux-même ? Quelqu'un me murmure "fail" à l'oreille...

Sur un plan purement malware :

• Progression forte des attaques par document PDF au détriment des attaques exploitant Flash. (Et augmentation significative du nombre de vulnérabilités recensées par Adobe...)
• Le botnet le plus prolifique en 2009 a été Gumblar.
• Les infections Conficker + KoobFace ne représentent que .05% des infections web malware de 2009.

Enfin, le document souligne le fait que si les entreprises ne sont pas capables de tirer profit de leurs erreurs passées, elles courent à la catastrophe. Je clotûre donc ce post par cette citation qui a une saveur toute particulière à mes oreilles:

"Those who cannot remember the past are condemned to repeat it".

A bientôt ;-)

Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.

Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)

Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.

Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.

Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...

Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).

C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.

Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.

Trend Micro a publié hier une étude passionnante intitulée "A Cybercrime Hub".

Cette étude nous présente une compagnie estonienne qui sous des apparences légitimes se trouvait être totalement illicite. Cette compagnie, dont le nom est tu par Trend mais qu'il est facile de découvrir en googlant un peu, existe depuis 2005. Ses principales activités sont l'hébergement de contenus web, la distribution de trafic web, et la publicité. Jusqu'en octobre 2008 environ cette compagnie était même agréée par l'ICANN pour enregistrer des noms de domaines Internet.

Les data-center de cette compagnie sont répartis partout dans le monde, sous forme de serveurs achetés ou loués, avec une prédominance aux Etats-Unis. Ainsi, lorsque l'un de ces data-center est fermé, comme ce fut le cas en 2008 à San Francisco (ça ne vous rappelle rien ?) il suffit de basculer ailleurs ... Et de tout remettre en route en quelques heures !

Le quotidien de cette entreprise est en fait entièrement orienté vers la cybercriminalité sous des formes de fraudes diverses et variées. La plupart des jeunes employés de la compagnie, pour la plupart des étudiants ayant une vingtaine d'années et habitant dans la région de Tartu en Estonie, utilisent toutes leurs compétences techniques pour fournir des services frauduleux.

Le document se focalise sur certains aspects techniques déployés par les cybercriminels :

• Installation et utilisation de serveurs DNS frauduleux (dits "Rogue DNS Servers") depuis 2005. Le principe est simple et efficace. Il s'agit de déployer de multiples serveurs DNS sur Internet, qui présentent tous les aspects d'un serveur DNS légitime, mais dont le comportement est tout autre : chaque requête DNS qu'ils reçoivent renvoient vers des sites frauduleux en lieu et place de sites légitimes.

• Infection de victimes par un malware de type "DNS Changer". Il s'agit du complément idéal d'un serveur DNS frauduleux : pour que les machines des victimes envoient leurs requêtes DNS vers les serveurs DNS frauduleux, il faut que la configuration de leur machine pointe vers eux. Le malware change la configuration des victimes, qui n'y voient que du pare-feu. Du coup, leurs requêtes DNS légitimes se voient obtenir des réponses telles que souhaitées par les fraudeurs : redirection vers des sites hébergeant d'autres malware, vers des sites de phishing, etc.

• Détournement des publicités dans les pages web du navigateur de la victime. La plupart des publicités que vous voyez sur Internet lorsque vous naviguez sont en fait hébergées par des tiers. Du coup, les fraudeurs ont pensé à détourner cette caractéristique, de façon transparente pour la victime infectée: alors qu'elle navigue tranquillement sur des sites de confiance, les publicités de ces sites (souvent des "Google ads") sont remplacées par des publicités de sites gérés par les fraudeurs. On pense ici en particulier à la contrefaçon pharmaceutique.

• Installation de faux anti-virus (dits "Rogue AV") sur la machine de la victime. Les victimes allant vers certains sites contrôlés par les fraudeurs, notamment pornographiques, voient leur accès refusé sous prétexte d'être infectés par un malware. En fait, il s'agit d'un message placé par les fraudeurs eux-même. Le message est suivi d'une proposition de téléchargement d'un logiciel anti-virus. En juillet 2009, environ 100 000 machines se sont connectées sur l'un de ces sites, selon Trend Micro. Bien sûr, l'anti-virus proposé n'est autre... qu'un autre malware. S'il décide en plus de payer la license pour ce prétendu anti-virus, devinez qui récolte l'argent ? Eh oui, ces cybercriminels sont partout...

• Détournement des requêtes Google des utilisateurs infectés : cette technique donne l'impression à l'utilisateur d'obtenir des résultats Google totalement cohérents, alors qu'en fait ils ont été manipulés par les fraudeurs.

Le papier de Trend Micro nous montre une structure élaborée, avec un intranet particulièrement bien conçu pour être déplacé régulièrement, sans trop entrer dans les détails techniques. La compagnie estonienne dispose de fortes compétences techniques, et sait les déployer et s'en servir de façon efficace. Leur niveau technique est impressionant, mais ce qui m'impressionne surtout, c'est cette capacité à toujours être innovant en termes de cybercriminalité. En seulement 4 ans, cette société a déployé des trésors d'imagination pour générer un maximum de profit.

Les "busts" récents sur un certain nombre d'hébergeurs bulletproof, non pas effectués par les services de Police mais par la communauté de la sécurité informatique et de la cybercriminalité, n'ont finalement eu pour effet sur le long terme que de rendre les cybercriminels plus méfiants, et plus prévoyants : s'attendant à se faire fermer à tout moment, ils sont capable d'apparaitre ailleurs très rapidement. On ne peut que craindre une augmentation de ce type de malveillances, tant que les législations internationales ne seront pas améliorées pour permettre aux forces de l'ordre de migrer ces fraudeurs vers une cellule bulletproof. :-)

Cisco a publié récemment un document très intéressant intitulé "Infiltrating a Botnet".

Nous y découvrons le travail de l'une des équipes de Cisco, lors d'investigations forensic "classiques" auprès d'un client, dans le but d'en savoir plus sur une compromission du S.I.

L'équipe de Cisco s'est vite rendue compte que de nombreuses machines du client concerné présentaient des symptômes assez alarmants, dont notamment une activité IRC sur un port exotique. Il s'est avéré qu'il s'agissait comme on pouvait le supposer d'un malware, entrant dans un schéma de botnet.

Pour rappel, le protocole IRC (Internet Relay Chat) est l'un des plus vieux protocole utilisé dans le cadre de communications entre des machines compromises (bot) et un serveur (command&control) géré par le ou les fraudeurs. Bien d'autres techniques existent, mais nécessitent plus de travail de la part des pirates. Ce protocole reste largement utilisé pour gérer des botnets "amateurs", les botnets plus professionnels déployant généralement des communications chiffrées.

Après une rapide investigation, de nombreuses machines du client ont été retirées du botnet et "assainies". L'équipe de Cisco s'est alors intéressée directement au fraudeur contrôlant ce botnet. En particulier, ils se posaient des questions sur le niveau de compétence du botmaster : était-il un "script kiddie" ou quelqu'un jouissant d'un bon niveau technique ?

Une seule façon de le savoir pour eux: après avoir surveillé le serveur IRC de contrôle du botnet en se faisant passer pour un bot, les chercheurs ont engagé le dialogue par ce biais avec le pirate. L'échange est assez savoureux. Le pirate en face semble rôdé, croyant que son interlocuteur est un autre botmaster. Du coup, il tient des propos plutôt intéressants. On y apprend que son botnet idle souvent, c'est à dire qu'il est souvent dormant, et que le pirate a récemment vendu quelques milliers de bots (800$ pour 10000 machines). L'activité majeure de ce pirate reste cependant le phishing. Le reste de la discussion tourne autour de l'underground de ce type de cybercriminalité, je vous laisse en prendre connaissance...

Je n'entrerais pas (ou si peu...) dans le troll habituel sur ce genre d'opération... Est-il éthique, pour un chercheur, de se connecter sur un serveur IRC qui est probablement hébergé sur un serveur compromis, pour aller discuter avec un fraudeur ? Les informations qui en sortent sont en tout cas intéressantes.

Enfin, s'il vous venait à l'idée de pratiquer ce genre de chose, je ne saurais que trop vous recommander la prudence : tous les botmasters ne sont pas aussi "zen" que celui présenté dans le document de Cisco. Bon nombre d'entre eux disposent de contre-mesures empêchant les chercheurs de se connecter sur leur serveur IRC, ces contre-mesures lançant généralement une attaque massive de déni de service vers l'adresse IP "suspecte", pour quelques minutes ou quelques heures...

Sous ce titre très évocateur, je tenais à bloguer rapidement pour partager avec vous une publication de Microsoft Research qui est à peu près passée inaperçue dans la presse française la semaine dernière.
Ce papier, en anglais, est intitulé "Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy".

Il s'agit d'une analyse pertinente de l'économie souterraine liée à la cybercriminalité. Attention cependant, sont exclusivement considérés dans l'étude le phishing, le carding, les botnets et autres services "directs" fournis par les fraudeurs, et la monétisation de l'argent obtenu par ces biais. Sont donc exclus tous les autres actes de cybercriminalité tels que le vol d'information à la demande (et Marie Barel nous a montré récemment au SSTIC que le vol d'information n'existe pas), le chantage, etc...

Le but premier de ce document est de rompre avec les idées reçues : non seulement les sommes frauduleuses imputées à cette cybercriminalité sont exagérés par de nombreux professionnels du domaine, mais les estimations fournies par ces derniers alimentent le phénomène à l'inverse. Je cite l'étude : "Ironically, defenders (i.e., whitehats, security vendors and members of the security community) actively and energetically recruit their own opponents. By repeating unverified claims of cybercrime riches, and promoting the idea that easy money is there for the taking, we attract new entrants into the lower tier of the underground economy. While they may produce little profit they still generate large quantities of spam and phishing and cause significant indirect costs."

Une autre des idées reçues dénoncée par les chercheurs de Microsoft est le fait qu'il est facile pour n'importe quel fraudeur de monétiser l'argent issu de ces fraudes. Ce n'est heureusement pas le cas. Ainsi, un bon tiers de l'ensemble de ces fraudeurs ne sont que des escrocs sans aucun talent, qui essayent de se procurer des données intéressantes telles que des dumps de cartes bancaires ou des accès à des comptes bancaires en ligne. En réalité, ils se font escroquer eux-même la plupart du temps par des "rippers", une catégorie d'escrocs qui leur revendent des informations périmées ou tout simplement fausses/créées. C'est particulièrement vrai sur certains réseaux IRC : sur une analyse de 490 numéros de cartes bancaires découvertes rapidement sur IRC, 22% ne satisfaisaient même pas à l'algorithme de Luhn.

Toujours sur IRC, certains bots (des programmes destinés à effectuer certaines actions, à discrétion ou pas des utilisateurs leur envoyant des lignes de commandes) servent à vérifier si les numéros sont bons. Là encore la fourberie est de mise, puisqu'un certain nombre d'entre eux retournent des résultats volontairement éronnés, mais envoient les données soumises à un administrateur qui pourra s'en servir ou les revendre, devenant ainsi un ripper...Et je ne parle même pas de ces kits de phishing disponibles trop facilement, mais qui en fait contiennent du code dissimulé qui enverra toutes les données phishées à l'auteur du kit...

Bref, un bon tiers de ces fraudeurs galère finalement pour pas grand chose, voir pour rien, tandis que le reste, plus méthodique et surtout plus structuré quand on arrive sur le tiers supérieur, monétise effectivement beaucoup plus. Le travail collaboratif, en groupes de criminels structurés, apporte ici tous ses avantages aux fraudeurs. Ces derniers ne sont pas sur IRC, mais communiquent sur des forums spécialisés sur lesquels il faut montrer patte blanche, ce qui ne les empêche pas d'entretenir des rivalités. J'ai encore pu constater ça récemment, un célèbre forum de carders en accusant un autre de n'être qu'une façade de certains services gouvernementaux étrangers...

Un beau travail de Microsoft et une lecture très agréable donc, que je ne saurai que trop vous recommander.