Hi all,
I just wrote this quick blog post with my colleague Jaromir.
Support Ukraine !
vendredi 20 décembre 2019
Par Cedric Pernet le vendredi 20 décembre 2019, 10:13
Hello,
Cela faisait longtemps que je n'avais pas contribué à MISC, non pas par manque de temps ou de motivation mais tout simplement par manque de sujet intéressant. Il devient difficile pour moi de trouver des sujets qui n'ont pas déjà été exposés dans MISC, et je dois bien avouer que je ne prends pas forcément le temps non plus de me creuser le caillou pour trouver des sujets.
Celui-ci est plutôt lié à mon actualité professionnelle, puisque depuis de nombreux mois je vois de plus en plus de malwares (notamment en APT) utilisant des plateformes légitimes pour gérer leurs communications.
Je vous invite donc à lire mon nouvel article dans MISC 107 sur ce sujet.
Et bonnes fêtes de fin d'année ! :-)
jeudi 21 septembre 2017
Par Cedric Pernet le jeudi 21 septembre 2017, 12:39
Hi all,
I have written this blog post in collab with my good friends Kenney and Lenart... ;-)
Available HERE.
jeudi 20 juillet 2017
Par Cedric Pernet le jeudi 20 juillet 2017, 09:58
Some days ago we published this blog post. It seems that some cybercriminals are heavily using it at the moment to spy audio conversations. I guess it's pretty interesting.
mercredi 11 septembre 2013
Par Cedric Pernet le mercredi 11 septembre 2013, 07:13
Two months ago, I released a YARA rule and an IOC rule to detect some generic folder dumps files. It has been proven useful in the real world, showing that it is possible to detect some attacks on a host with very easy rules.
Today I had another detection idea, as basic as the previous one. It is based on my experience in malware analysis and incident response, so I hope it will be helpful to other incident responders, especially when they work on APT attacks.
As you might know, some malware, in addition to every malicious activity they can provide, do deactivate the anti-virus running on the system. Usually, these malware are easily noticeable because (once depacked) they show strings which are known anti-virus processes names.
Some examples are:
These malware do usually know between 10 and 40 processes names that they absolutely want to kill.
Therefore, the idea is to try to detect any binary which contains these processes names.
I looked a bit around and found that Jerome Athias had released a "killav.rb" script in Metasploit. He provides us with 579 different processes names, all related to security tools and anti-virus products.
I asked Jerome and he kindly allowed me to use that list to build the YARA rule I was thinking of (with a bit of Python, it would have taken too long by hand of course).
The rule is built so that it will be triggered if 4 or more strings are found.
Please feel free to tweet me (@cedricpernet) or e-mail me any missing process name (there must be plenty) and I will update the rule accordingly. Also, if it triggers false positives, do not hesitate to reach me.
The YARA rule is here.
mardi 6 mars 2012
Par Cedric Pernet le mardi 6 mars 2012, 14:59
Hello,
Encore une minuscule entrée dans le blog, pour signaler que j'ai publié avec mon collègue Jean-Philippe TEISSIER un article dans le numéro 60 de MISC, intitulé : "Injections webs malveillantes".
vendredi 23 décembre 2011
Par Cedric Pernet le vendredi 23 décembre 2011, 10:49
MISC 59 vient de sortir et le magazine fête sa 10ème année.
Vous y trouverez notamment un article de mon cru : "Analyse de malware avec Cuckoo Sandbox".
Bonne lecture, feedback apprécié :-)
vendredi 2 septembre 2011
Par Cedric Pernet le vendredi 2 septembre 2011, 10:26
MISC #57 vient de sortir ...
Vous y trouverez notamment un article que j'ai écrit sur la Recherche « à froid » de malware sur support numérique.
Bonne lecture, et comme d'habitude, feedback apprécié ;-)
lundi 29 août 2011
Par Cedric Pernet le lundi 29 août 2011, 10:51
Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.
F-Secure et Microsoft nous fournissent quelques informations intéressantes.
Ce que j'en retiens :
Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).
Bonne rentrée à tous ;-)
lundi 28 mars 2011
Par Cedric Pernet le lundi 28 mars 2011, 11:29
MISC Hors-Série numéro 3 vient de sortir.
Vous y trouverez notamment un article que j'ai co-écrit avec mon collègue Guillaume Arcas, sur les analyses de malware par sandbox ou en lab... #shamelessselfadvertise ;-)
lundi 21 février 2011
Par Cedric Pernet le lundi 21 février 2011, 15:25
Voici une rapide synthèse de l'excellent document de MalwareIntelligence sur ce malware, dont j'avais déjà parlé précédemment.
Ce malware dispose de plus en plus de fonctionnalités avancées, alors qu'au départ il n'était qu'un dropper (un binaire malveillant dont le seul but est d'installer un autre malware sur le poste de la victime). La seconde génération de CARBERP a permis de créer des botnets "carberp" disposant de communications HTTP avec un serveur de command&control (c&c). Cette seconde génération a également ajouté un module additionnel (plugin) nommé "grabber" permettant de voler les identifiants et mots de passe d'une longue liste d'applications Windows diverses et variées (MSN, Firefox, etc.), ce qui a fait entrer Carberp dans la liste des familles de malware de type chevaux de Troie (trojan).
La troisième génération intègre d'autres modules : "stopav", "miniav", "passw". Ces modules ne sont pas exactement les même sur toutes les variantes découvertes sur Internet, du fait de la possibilité de "customiser" ces modules en fonction du client privé à qui Carberp est vendu. Car le modèle économique choisi par les auteurs de Carberp n'est pas le même que celui de ZeuS/Zbot par exemple. Alors qu'il est possible d'acheter ZeuS/ZBot sur des forums, Carberp n'est pas vendu publiquement (Tout comme Torpig/Anserin/Sinowal d'ailleurs).
Niveau systèmes d'exploitations, Carberp est capable d'infecter des systèmes Windows 95/98/Me/NT/2000/XP/Vista, et 7. Pour infecter un système 7, Carberp créé des fichiers dans certains répertoires qui ne nécessitent pas d'être administrateur du poste, à savoir Startup, Application Data et Temp. Carberp n'a pas besoin des droits d'administrateur parce qu'il ne change rien à la base de registre, contrairement à la plupart des autres malware : une fois un poste infecté, Carberp créé une copie de lui-même dans "Startup", il sera ainsi exécuté à chaque redémarrage du système. Il dispose du coup de fonctionnalités de type rootkit, pour éviter que l'utilisateur ne le voie dans ce répertoire (injection dans diverses API).
Carberp se propage de diverses façons, la plus intéressante étant qu'il utilise des accès dérobés de FTP pour injecter des iframes dans des pages web, de façon totalement automatisée, pour infecter d'autres postes.
La première connexion vers le c&c est une requête POST vers /set/first.html qui contient la liste des processus en cours de l'utilisateur, ainsi qu'un identifiant (ID) unique.
La seconde connexion vers le c&c est une demande du malware pour recevoir les modules additionnels. Puis vient une requête GET /cfg/gsbcc permettant de télécharger la configuration du botnet.
Enfin, une connexion POST vers /set/task.html permet au malware de savoir s'il doit accomplir une tâche particulière.
Le plugin "passw.plug" contient la liste des logiciels dont le malware va voler les identifiants/mots de passe :
AIM - AIMPro - AOLInstantMessenger - ASP.NETAccount - AppleSafari - Becky - BitKinex - BlackwoodPRO - BulletProofFTPClient - CamFrog - CiscoVPNClient - ClassicFTP - CoffeeCupFTP - CoreFTP - CuteFTP - Dev Zero G FTPUploader - Digsby - DirectoryOpus - Eudora - ExcitePrivateMessenger - ExpanDrive - FARManagerFTP - FFFTP - FTPCommander - FTPExplorer - FTPRush - FTPUploader - FTPWare - Faim - FileZilla - FinamDirect - FlashFXP - FlingFTP - ForteAgent - FreeCall - FreeFTP/DirectFTP - Frigate3FTP - GAIM - GizmoProject - GmailNotifier - GoogleChrome - GoogleTalk - GrayBox - GroupMailFree - ICQ2003/Lite - ICQ99b-2002 - IncrediMail - InternetExplorer - JAJC - LeapFTP - LTGRoup - MSNMessenger - Mail.RuAgent - MailCommander - Mbt - Mirabilis - MirandaIM - MozillaFirefox - MySpaceIM - Odigo - Opera - Opera 9 Beta - Outlook - POPPeeper - PSI - Paltalk - Pandion - Pidgin - PocoMail - QIP - QIP.Online - Remote Desktop ..Connection - RimArts - Safari - SaxoTrader - ScotTrader - ScreenSaver9x - Scribe - SecureFX - SIM - SmartFTP - SoftXFTPClient - TheBat! - Trillian - Trillian Astra - UltraFXP - WebSitePublisher - WS_FTP - Wi - WinSCP - WinSCP 2 - WinVNC - Windows / ..TotalCommander - WindowsCredentials - WindowsLiveMail - WindowsLiveMessenger - Yahoo!Messenger
Carberp dérobe également des identifiants/mots de passe de certains sites bancaires, et de certains sites d'e-commerce. (iBank, CyberPlat ...)
A noter que les données volées sont transmises directement vers le c&c, sans aucun chiffrement. Il doit donc être possible de créer de bonnes règles de détection sur votre trafic sortant afin de déterminer les données volées et obtenir la certitude d'une infection (Ceci dit, de bonnes règles d'IDS en entrée doivent également permettre de détecter une infection Carberp). De bons screenshots sont disponibles dans le document de MalwareIntelligence.
Le plugin "stopav.plug" contient la liste des solutions anti-virales connues et stoppées par le malware :
ESET NOD32 Antivirus - ESET Smart Security - ArcaVir Antivirus - AVG8 - Mcafee Antivirus - Avast! - Avast5 - Avast4 - Microsoft Security Essentials - Sophos - DrWeb - BitDeffender - Avira
Le plugin "miniav" mène la guerre contre les autres malware de type trojan : il détecte et nettoie les infections des malware suivants:
ZeuS - Limbo - ImageFileExecution - Barracuda And BlackEnergy - MyLoader - Adrenalin - Generetic
Détail amusant et plutôt malin concernant les c&c de Carberp : lorsqu'accédés par le web, ils affichent une page "This account has been suspended", phrase bien connue indiquant que le compte a été suspendu, généralement du fait de contenu illicite. Un point de détail qui fera peut-être stopper les investigations des moins curieux. En fait, l'accès au c&c se fait par une page /accounts/authorization.html.
A noter que toute l'interface est en russe et ne propose pas d'autre langue.
Les accès de MalwareIntelligence sur certains c&c indiquent des botnets de plus de 500 000 machines. Les statistiques sont d'ailleurs plutôt agréables graphiquement, à voir les captures d'écran du rapport.
D'autres captures sont très intéressantes, notamment celle exhibant la configuration du malware: alors que Carberp est livré avec 3 modules par défaut, il en existe d'autres, certains aux noms évocateurs tels que "vnc.plug" et d'autres semblant présenter des pseudonymes de fraudeurs.
Carberp est donc un malware très dangereux : il dispose de fonctionnalités impressionantes qui le mettent en concurrence directe avec les meilleurs trojans tels que ZeuS ou Torpig, et son business model le rend peu détecté, parce que vendu uniquement à des clients de confiance, vraisemblablement tous russes. Même s'il semble "down" depuis peu au niveau de son développement (les principaux c&c sont downs), nous ne sommes pas à l'abri d'en voir ressurgir.
mercredi 6 octobre 2010
Par Cedric Pernet le mercredi 6 octobre 2010, 12:55
Et voilà, encore un nouveau malware avec un nom improbable : CARBERP.
Ce malware est un malware de type cheval de Troie. Il dérobe des données de l'utilisateur après avoir infecté sa machine, les données les plus intéressantes pour lui étant vos coordonnées bancaires ainsi que tout couple login/mot de passe intéressant.
TrustDefender vient du coup de publier un excellent rapport sur ce malware, dont je vous invite à lire une synthèse ici. La version complète peut être obtenue sur simple demande.
Ce que j'en retiens ?
- surveiller les requêtes POST vers URLduc&c/set/first.html. Pour éviter tout risque de faux positif, le paquet contient "id=debot" en entête.
- détecter les requêtes GET de format URL/cfg/passw.plug , URL/cfg/miniav.plug, et URL/cfg/stopav.plug : ces 3 fichiers sont toujours downloadés au moment de l'infection initiale.
Si vous voulez mon avis, on n'a pas fini de le voir évoluer, et rapidement je pense, parce que comme dirait l'autre, "il a tout d'un grand".
Ajout de dernière minute: on vient de m'informer qu'une souche capable de cibler Firefox vient de voir le jour... Quand je parlais d'évolution rapide... A suivre ! :-)
mardi 26 mai 2009
Par Cedric Pernet le mardi 26 mai 2009, 00:00
Après la vague de documents de qualité variable sur le malware Conficker/Downadup/Kido, que je n'ai pas commenté ici par manque de temps, et après l'excellente étude de Torpig de l'Université de Santa Barbara, largement commentée par les médias, j'ai décidé de sortir de ma torpeur et de mon planning plutôt chargé pour partager avec vous un document un peu moins médiatisé mais que j'ai trouvé absolument délicieux : l'étude du malware Pushdo/Cutwail/Pandex réalisée par Trend Micro.
Cet excellent document de 39 pages nous décrit le botnet constitué par le malware Pushdo. Techniquement, ce produit probablement russophone se décompose en deux parties : le downloader, nommé Pushdo, et d'autres modules (payloads) dont le fameux Cutwail, destiné exclusivement à envoyer du spam.
Nous y apprenons que Pushdo délivre environ 7,7 milliards de spam par jour, la majorité ciblant la Russie, fait suffisamment étonnant pour être souligné.
Le contenu des spam est varié. Cutwail propage en effet de la publicité pour des sites pornographiques payants, ainsi que pour des sites de contrefaçon pharmaceutique (Canadian Pharmacy), pour des sites de contrefaçon de produits de luxe (replica watches etc.), et spamme même de la publicité pour des commerces russes "locaux". Ainsi, le document de Trend nous montre preuve à l'appui un spam destiné à promouvoir un cabinet d'avocats de Moscou, par exemple. Pushdo envoie même des e-mails pour faire...sa propre publicité.
Ce botnet, qui serait le second plus gros botnet mondial, est géré par des cybercriminels dans un but commercial : proposer leurs services pour envoyer des spam "sur mesure".
Des grilles de tarifs très précises sont d'ailleurs indiquées par ces criminels :
Mais le service n'est pas limité à la Russie : des tarifs sont fournis par pays. Ainsi, cela reviendrait à 7000 roubles pour spammer 3 millions de particuliers français.
D'un point de vue technique, Pushdo/Cutwail est plutôt bien programmé, et tente de se dissimuler au mieux sur un système infecté : opérations minimales d'écriture sur le disque de la victime (la plupart des informations sont stockées en mémoire et non sur le disque), et son code varie très fréquemment. En plus de ses fonctionnalités de spam, Pushdo peut déposer d'autres malware sur le système infecté, permettant ainsi de générer d'autres revenus pour ses propriétaires : un service de distribution de malware. D'autre part, il embarque un module de sniffing qui lui permet de faire de la collecte d'adresses e-mail, alimentant probablement les listes ciblées établies par ses exploitants. Ce réseau va même jusqu'à proposer à ses clients de leur créer des sites web, pour que leurs spams gagnent en crédibilité...
De nombreux éléments dans l'enquête de Trend laissent à penser que ses auteurs et ses exploitants sont russes. Notamment une clef de chiffrement contenue dans le malware, qui se révèle être une phrase russe écrite à l'envers et pouvant être traduite par "screw you my friend".
Quant au site principal des auteurs, son hébergement varie. J'ai effectué une recherche rapide et pu trouver très rapidement 135 autres noms de domaines hébergés au même endroit (actuellement en Allemagne), dont voici la liste:
0yandex.ru
1spam.ru
2009-rosmould.ru
abusehost.ru
abushost.ru
abuz-host.ru
abuzhost.ru
advert1.ru
akrobo.ru
allo-intim.ru
analyzersrlp3.ru
balashcity.ru
balashclty.ru
balashhouse.ru
balashlhouse.ru
balashouse.ru
bal-ka.ru
ballashouse.ru
bldroup.ru
bl-roup.ru
bluectone.ru
buildhost.ru
cammin.ru
clulbclha.ru
collortrac.ru
delaemsayti.ru
detmirru.ru
devisex.ru
ecopane1.ru
email-advert.ru
email-spam.ru
emailspam.ru
email-s.ru
engl4u2.ru
enterboom.ru
eralash-megashou.ru
evroreklama.ru
farma-reklama.ru
fingertru.ru
flowermagazin.ru
forumdeneg.ru
forum-it.ru
giftoportal.ru
goohost.ru
gooreklama.ru
granlt-m.ru
gssotravell.ru
halljas.com
hotellmetallurg.ru
hot-english.ru
hruhru.ru
igrushki-detiam.ru
inet-email.ru
inter-reklama.ru
isuzu-darom.ru
kdr-english.ru
kompforum.ru
kompkatalog.ru
lky-ky.ru
llght-decor.ru
madeforwomen.ru
magazinreklamy.ru
magicstaffmed.ru
mailadvertising.ru
mailer1.ru
med-consulting.ru
metalstuff.ru
mnogonarodu.ru
neintim.ru
ns1.buildhost.ru
online-email.ru
online-korp.ru
online-mail.ru
online-mas.ru
online-master.ru
online-million.ru
online-standart.ru
online-start.ru
online-vzlet.ru
origtovary.ru
peklama-best.ru
pereplanlrovka.ru
pingov.ru
poligrafarsenal.ru
polligrafarssenal.ru
polligralfarsenall.ru
poslh-slhop.ru
ppkurort.ru
precisely.ru
printarsenal.ru
proektclty.ru
projekt-online.ru
rassilka-online.ru
reklamict.ru
reklmagazin.ru
reseller-soft.ru
rosmould-2009.ru
rucasinoru.ru
rucvetokru.ru
ruintimru.ru
rukinomania.ru
saitbaz.ru
seminar-on-line.ru
seomagnat.ru
setevaya-reklama.ru
setevayareklama.ru
shablon1.ru
sitepostroim.ru
sklb-trm.ru
smszasex.ru
spam502.ru
spamarena.ru
spam-magazin.ru
spamonline.ru
spmagazin.ru
spmmagazin.ru
stroyka-best.ru
stroy-systems.ru
super-fuel-max.ru
super-kvartiry.ru
super-mailer.ru
super-rassylka.ru
svet-rus.ru
testcenterrt.ru
topspam.ru
turistmag.ru
video77.ru
vldeo-girl.ru
wmir.biz
yandex1.ru
zemli777.ru
zemlya777.ru
zmailer.ru
zvezdam.ru
La plupart des noms sont suffisamment explicites... Un joli nid bulletproof à services de spam, parmi autres joyeusetés. Je ne saurais que trop vous conseiller de ne pas aller y naviguer, la probabilité qu'ils propagent du malware n'étant pas négligeable...
Nul doute en tout cas que nos boites aux lettres vont continuer à souffrir de ce genre de services à la demande.
mercredi 4 mars 2009
Par Cedric Pernet le mercredi 4 mars 2009, 13:00
Difficile de passer à côté des scareware ces derniers temps, même en ne travaillant pas dans la sécurité informatique ou la cybercriminalité.
Très succintement, un scareware est un logiciel qui se fait passer pour un respectable anti-virus mais n'en est pas un. Dans quel but ? Vous faire payer pour une license, ou même infecter votre machine et ainsi vous voler de la donnée...
Toute une économie souterraine est alimentée par ce type de maliciel, qui peut se révéler très lucratif pour certains escrocs. Une excellente étude du phénomène a d'ailleurs été publiée par Joe Stewart de SecureWorks il y a quelques temps.
Plus récemment, j'ai lu un article de Dancho Danchev qui m'a d'abord fait rire, avant de me dire que comme d'habitude, les fraudeurs avaient décidément beaucoup d'imagination...
Il est fait état d'un rogue anti-virus (scareware donc) nommé "Anti-Virus 1" qui une fois installé sur votre poste modifie certaines de vos navigations... En l'occurence, le logiciel procède en effectuant une légère modification du fichier host de votre système Windows. Le résultat ? Simple : lorsque vous naviguerez vers zdnet, toptenreviews, pc mag, pc pro, et j'en passe, vous verrez en fait une fausse page vantant les mérites... d'autres scareware !
Une méthode simple et probablement efficace de donner de la crédibilité à des applications néfastes...
J'en profite donc pour rappeller une bonne pratique pour les nouveaux-venus dans le monde informatique, qui sont les principales victimes de ce phénomène de scareware :
N'utilisez que des solutions anti-virales *connues* ! Et surtout, en cas de doute, plutôt que de télécharger et d'installer un anti-virus trouvé sur Internet, demandez son avis à quelqu'un qui a un peu plus d'expérience dans le domaine.
mardi 11 mars 2008
Par Cedric Pernet le mardi 11 mars 2008, 11:30
samedi 19 janvier 2008
Par Cedric Pernet le samedi 19 janvier 2008, 23:32
jeudi 27 septembre 2007
Par Cedric Pernet le jeudi 27 septembre 2007, 15:54
dimanche 8 juillet 2007
Par Cedric Pernet le dimanche 8 juillet 2007, 18:33
dimanche 13 mai 2007
Par Cedric Pernet le dimanche 13 mai 2007, 11:42
« billets précédents - page 1 de 2