mercredi 11 septembre 2013

Malicious activity detection: AV killing

Two months ago, I released a YARA rule and an IOC rule to detect some generic folder dumps files. It has been proven useful in the real world, showing that it is possible to detect some attacks on a host with very easy rules.

Today I had another detection idea, as basic as the previous one. It is based on my experience in malware analysis and incident response, so I hope it will be helpful to other incident responders, especially when they work on APT attacks.

As you might know, some malware, in addition to every malicious activity they can provide, do deactivate the anti-virus running on the system. Usually, these malware are easily noticeable because (once depacked) they show strings which are known anti-virus processes names.

Some examples are:

  • drweb32.exe
  • avscan.exe
  • etc...

These malware do usually know between 10 and 40 processes names that they absolutely want to kill.

Therefore, the idea is to try to detect any binary which contains these processes names.

I looked a bit around and found that Jerome Athias had released a "killav.rb" script in Metasploit. He provides us with 579 different processes names, all related to security tools and anti-virus products.

I asked Jerome and he kindly allowed me to use that list to build the YARA rule I was thinking of (with a bit of Python, it would have taken too long by hand of course).

The rule is built so that it will be triggered if 4 or more strings are found.

Please feel free to tweet me (@cedricpernet) or e-mail me any missing process name (there must be plenty) and I will update the rule accordingly. Also, if it triggers false positives, do not hesitate to reach me.

The YARA rule is here.

jeudi 29 août 2013

More on the G20 Summit Espionage Operation

On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".

This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).

The names of the zip files are:

  • G20 Briefing
  • G20 Summit

These archives contains the following files:

  • G20 Discussion Paper.exe
  • GPFI Work Plan 2013.exe
  • G20 Summit Improving global confidence and support the globa.EXE
  • Improving global confidence and support.pdf.exe
  • The list of NGOs representatives accredited at the Press Center of The G20 Leaders' Summit 2013.pdf.exe

One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.

Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.

To summarize Claudio's analysis, the attack scheme goes like this :

  • The victim gets the zip file, opens it, and executes the malicious executable.
  • The executable shows a decoy document (PDF) about the G20 or such.
  • The executable starts keylogging and downloads more malware.

This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)

To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".

Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.

To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.

The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.

This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address on port 443:

/300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Connection: Keep-Alive
Cache-Control: no-cache

As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:

0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731  ........7F7F7C71
0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000  34363436.HOME...
0000020: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000030: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000040: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000050: 0000 0000 0000 0000 0007 0155 7365 7200  ...........User.
0000060: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000070: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000080: 0064 4400 0000 0000 0000 0000 0000 0000  .dD.............
0000090: 0000 0000 0000 0000                      ........

My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:

Offset: 0x4: RAM size in kilobytes
Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded
Offset: 0x19: Machine name
Offset: 0x59: Operating system version (in malware author's writing)
Offset: 0x60: Number of processors
Offset: 0x61: User name
Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.

The commands which can be sent to the malware are sent in answer:

3004: File writing
3005: File reading
3006: Writing and execution of a file

3115 : provide a shell

3222 : write a new ID in %APPDATA%\recycle.ini 
3223 : auto deletion of the malware
3224 : update

This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.

Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)

EDIT: (2013/09/04) Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)

vendredi 5 juillet 2013

All your folders belong to us / with a little help from my friends

It has been a long time since I last wrote in english on this blog. The main reason is that I think there are not enough french ressources on Internet regarding APT, malware, incident response, and cybercrime, which are my favorite topics, as you might already know.

I therefore decided to publish in english language only when I thought the post was worth being shared widely.

But let's get right to the point of this post. Working on quite a number of APT cases recently, I noticed that the attackers often dump huge folders to a text file.

From the attacker point of view, it is just executing the "dir /s" command in a cmd shell, which lists folders recursively. The attacker usually redirects the output of the command to a file, doing it this way:

dir /s > 1.txt

The file is stored temporarily until the attacker decides to collect it, and deleted afterwards. The attacker may also not care (or forget) about it and leave it on the file system.

Forensically speaking, the deletion of this file is not a problem, as long as it is not rewritten, it can always be found.

From a detection point of view, it is very interesting to try to find these "folder dumps" on systems, as a possible indicator of compromise.

One has to be careful (as usual in incident response) to check that no legitimate user has generated this dump.

Now, one problem is left to detect these files: the operating system language. If you do incident response only in one country, no problem: usually you only need to check for dump files in your language, and in english (some users, no matter in which country they live, do always use english). Now if you do international incident response, you need to detect more languages.

I created a YARA rule and an IOC rule to detect these dump files in english, french, and german (Hello and thanks to my friend Axel who provided me with german dumps).

These rules should work on english,french,german Windows2000,ME,NT,Server,XP,7,8 systems. I did not check dumps for older systems.

YARA rule:
rule folder_dumpfile
author="Cedric PERNET"
comment="a YARA rule to detect dump files created by APT attackers"

$eng1="Volume in drive" wide ascii nocase
$eng2="Volume serial number" wide ascii nocase
$eng3="Directory of" wide ascii nocase
$eng4="<DIR>" wide ascii nocase
$eng5="File" wide ascii nocase

$fr1="Le volume dans le lecteur" wide ascii nocase
$fr2="du volume est" wide ascii nocase
$fr3="pertoire de" wide ascii nocase
$fr4="<REP>" wide ascii nocase
$fr5="fichier" wide ascii nocase

$de1="Volumeseriennummer" wide ascii nocase
$de2="<DIR>" wide ascii nocase
$de3="verzeichnis von" wide ascii nocase
$de4="Datei" wide ascii nocase

(all of ($eng*)) or (all of ($fr*)) or (all of ($de*))

And here is a link to my IOC file.

And with a little help from my friends, I might be able to update these files with other languages. Please feel free to send me "dir /s" dumps in other languages, I'd gladly integrate it into these detection rules.

jeudi 25 avril 2013

APT1, quoi de neuf ?

Un peu plus de 2 mois ont passé depuis la publication du rapport de Mandiant sur APT1, il est donc temps de faire un petit point sur la question qui hante beaucoup d'esprits : les attaquants APT1 ont-ils changé leurs méthodes suite au rapport Mandiant ?

Le site nous apporte un bon début de réponse sous la forme d'un billet sur leur site. CyberSquared indique se baser sur une seule source, mais leurs propos sont néanmoins très intéressants.

Je précise à nouveau que mon but ici n'est pas d'analyser ces informations mais simplement de vous fournir une petite synthèse en français, ce qui manque cruellement dans la blogosphère française :-/

Autant répondre à la question introductive de ce billet tout de suite : APT1, également appellé "Comment Crew", a finalement changé très peu de choses dans ses opérations de maintien sur des systèmes compromis. Les domaines utilisés comme serveurs de c&c sont toujours les même, la technique n'a pas changé, et les malware ont peu évolué. A peine un changement de clef de chiffrement par ci par là, mais cela fait partie de la vie habituelle d'une famille de malware.

Voici ce qui m'a semblé plus intéressant dans ce billet :

  • Cybersquared a découvert un serveur HFS qui servait à APT1 pour stocker du matériel d'attaque. En l'occurence, un fichier zip contenant un malware connu, cité dans le rapport de Mandiant, légèrement modifié, présentant un icône de document PDF, droppant un fichier PDF de diversion. Ce document de diversion est une invitation pour une conférence MODSIM 2013, une conférence plutôt intéressante pour des secteurs d'activité tels que l'industrie aérospatiale, la défense, etc.

La technique n'est pas nouvelle et habituelle pour ce groupe d'attaquants: infecter un poste en faisant croire à la victime qu'elle ouvre un document PDF. En fait, le binaire est exécuté, infecte la machine, et affiche un PDF réel.

  • Un autre PDF se trouvait dans l'archive, PDF légitime dérobé lors d'une attaque APT. Il est intéressant de constater, et ce n'est pas la première fois selon Cybersquared, que les attaquants utilisent des documents réels dérobés auprès de certaines cibles, pour se donner une apparence légitime dans d'autres attaques.
  • Une analyse sommaire de ce malware a été effectuée, je vous laisse la lire directement à la source.

Il me semble important de souligner qu'il existe des serveurs HFS dans la nature, qui hébergent du matériel d'attaque. Pourquoi stocker ce contenu en ligne et ne pas le conserver en local ? Probablement pour le partager plus facilement entre membres d'une équipe d'attaquants. Peut-être est-ce simplement la flemme (les geeks sont fainéants dirait le troll...) de créer des serveurs locaux non accessibles par Internet ? Ou alors est-ce parce que différentes personnes ne se trouvant pas au même endroit physique doivent y accéder ? Je penche pour la flemme d'attaquants se situant probablement dans un même batiment et stockant de la donnée accessible sur Internet sans vraiment s'en préoccuper.

Pour ce qui est du serveur de command&control (c&c ou encore c2) utilisé par le malware,, il s'agit à nouveau d'un DNS dynamique permettant aux attaquants de changer d'adresse IP (et donc d'hébergement) facilement sans avoir à modifier leur malware.

La dernière adresse IP utilisée est et pointe vers l'hébergeur Nobistech situé aux Etats-Unis. Cette adresse IP appartient à un range attribué à:

network:Org-Name:31dns network:Street-Address:QuJiangLu 183 Hao network:City:JingZhou network:State:HuBei network:Postal-Code:434000 network:Country-Code:CN

Hmmm, quelle surprise... ;-)

En creusant un peu plus profondément, on se rend vite compte que Nobistech héberge du contenu légal, mais aussi beaucoup de contenu illicite : téléchargement de jeux vidéos, jailbreak de téléphone, card sharing, pharmacie, et on peut supposer qu'on peut facilement y trouver pire. Certaines plages de Nobistech sont également connues et blacklistées pour des envois massifs de spam.

J'ai pu trouver 4689 domaines qui ont pointé vers cette plage d'adresses IP spécifique (, et la plupart de ces domaines ne présentent pas de noms particuliers, beaucoup de domaines semblent créés avec des caractères aléatoires et ne présenter aucun contenu, ou un message d'erreur, ou encore une page de parking d'hébergeur.

Tous ces éléments m'encouragent à penser encore une fois que lorsque les attaquants "Comment Crew/APT1" choisissent un tiers pour héberger du contenu, il s'agit toujours d'hébergeurs à la moralité plus ou moins douteuse, voir carrément d'hébergeurs bulletproof.

Décidément, nos attaquants ont tout pour réussir: des outils qui fonctionnent plutôt bien, des utilisateurs ciblés qui ouvrent leurs pièces jointes (on ne peut pas leur en vouloir tellement les spear phishing sont bien faits ceci dit, nous sommes loin des e-mails non crédibles de phishing bancaire), et surtout, des sociétés qui ne veulent pas se donner les moyens d'avoir une sécurité informatique qui puisse lutter plus efficacement contre les APT.

Je vous laisse sur cette réflexion et cet article de DarkReading pour illustrer mon propos :-)

lundi 8 avril 2013

A l'assaut ! Des chercheurs attaquent APT1.

De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.

L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.

Un nouveau white paper vient de retenir mon attention, publié par et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.

Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.

Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.

Phase de collecte d'information:

Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.

D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.

Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.

Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)

Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.


Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.

Les portes des c&c Poison Ivy se sont alors ouvertes :-)

Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.

Le schéma fourni dans le document est le suivant:


Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.

Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.

Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.

L'analyse des données

Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.

Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.

Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.

  • Les attaquants semblent utiliser un couple serveur proxy/serveur c&c pour chaque cible. Lorsqu'une cible découvre l'adresse IP d'un proxy, cette adresse est réassignée à une autre cible.
  • Les secteurs d'activité des cibles: sociétés privées, publiques, institutions politiques, activistes, associations et journalistes.
  • Sur le serveur Poison Ivy, un répertoire est créé au format: <NOM DE LA CIBLE>\<NOM D'UTILISATEUR>. (exemple: E:\SOCIETEBLABLA\borislezombie)

Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.

Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.

Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.

Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de et itrust consulting, en particulier de Paul Rascagnères.

Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)

vendredi 29 mars 2013

Computer Forensics Feeds

Rather than spending time adding links on the right side of this blog, I thought I might just provide you with a part of my RSS feeds.

For those who know me, you know that part of my personal technological watch is done via Twitter. I twit a lot, and use Twitter as my first source of information when it comes to staying up-to-date with cybercrime/DFIR/malware etc.

Yet I still run a RSS reader somewhere in one of my virtual machines, and sometimes fall on nice articles before they're twitted.

So here is my RSS feed for "computer forensics". Feel free to include it in your own RSS reader. There might be some old dead links though.


mardi 12 mars 2013

"That, detective, is the right question"

Sous ce titre-citation d' iRobot, qui me semble approprié, j'ai décidé de faire un petit post blog rapide pour vous signaler la sortie d'un petit papier intitulé "The Mandiant with a plan – high-profile threat report, new products" publié par 451Research.

Ce post fait suite à mon post précédent qui faisait une synthèse rapide de la publication de Mandiant sur le groupe d'attaquants "APT1".

De nombreuses discussions ont eu lieu dans la communauté de réponse à incidents ces dernières semaines suite à cette publication, et de nombreux tweets ont vu le jour. Des tweets ont glorifié Mandiant pour ce paper, d'autres les ont critiqués, voire insultés, mais une chose est sûre, Mandiant n'a laissé personne indifférent.

Mes plus grandes interrogations n'ont pas porté sur les faits révélés, mais plutôt sur la conséquence de ces révélations. Pourquoi abattre toutes ses cartes et montrer à son ennemi ce que l'on détient sur lui ?

Mandiant a indiqué ses motifs dans sa publication, je me suis permis de mettre en gras les parties qui me semblent importantes :

"It is time to acknowledge the threat is originating in China, and we wanted to do our part to arm and prepare security professionals to combat that threat effectively. The issue of attribution has always been a missing link in publicly understanding the landscape of APT cyber espionage. Without establishing a solid connection to China, there will always be room for observers to dismiss APT actions as uncoordinated, solely criminal in nature, or peripheral to larger national security and global economic concerns. We hope that this report will lead to increased understanding and coordinated action in countering APT network breaches."

En gros, il était temps de montrer la Chine du doigt, pour ne plus laisser place aux doutes. Mandiant a voulu aider la communauté dans la lutte anti-APT.

Mandiant a également indiqué s'attendre à des représailles, critiques, et changement de tactique des attaquants.

Je crois que c'est ce que nous avons tous pensé, nous les "incident responders", en lisant le document : les attaquants vont changer leurs techniques, leurs outils, leurs malwares, leurs enregistrements de domaines, etc.etc.

Mandiant s'est ainsi attiré la haine de chercheurs travaillant sur le sujet, qui pestent en attendant de voir (ou pas) les techniques des attaquants changer. Tout au moins ces attaquants-là, APT1.

Reste que la volonté d'aider la communauté est louable, même si ça embête tout le monde. On peut cependant se demander où se place cette noble volonté, lorsque quelques jours après la publication du rapport, Mandiant lance deux nouveaux services : Mandiant for Security Operations (un genre de SOC à base d'IOCs), et Mandiant Intelligence Center.

Cet intelligence Center, d'un coût variable (entre 120 000 et 280 000 Euros à l'année), permettrait aux clients y souscrivant de pouvoir disposer de toute la base de connaissance de Mandiant : IOCs, souches de malwares, listes de domaines frauduleux, profils des attaquants ... En gros, exactement ce qui a été fourni dans le rapport "APT1" et son annexe.

Je ne me hasarderais à aucun commentaire sur ces méthodes, et conclurais mon propos en citant un petit extrait du rapport de 451Research :

"Publishing the report sent a message that Mandiant was confident enough not to care about revealing its hand to the Chinese, even if it meant losing all the current IOCs, but it also sent a message to the intelligence community at large.

We're not going to see boxes of tissues being passed around; the security intelligence community is a tough one. But Mandiant will probably have to make its intentions clearer: whether its priorities are to collaborate with its peers (and occasionally take one for the team), or to promote itself at their expense."

mardi 19 février 2013

APT - Toujours plus

Il n'aura pas fallu longtemps pour que le hasard apporte une réponse à mes interrogations récentes sur les attaques APT.

En effet, la société Mandiant vient de publier un rapport très intéressant sur l'un des plus grands groupe d'attaquants chinois responsables de nombreuses attaques depuis 2006, qu'ils appellent "APT1".

Je ne vous ferais pas de résumé de ce rapport, par contre je tenais à souligner certains éléments mis en lumière par Mandiant :

1. Les commanditaires.

  • Le gouvernement chinois est au courant des attaques menées ("The details we have analyzed during hundreds of investigations convince us that the groups conducting these activities are based primarily in China and that the Chinese Government is aware of them.") et le gouvernement chinois est probablement un commanditaire. ("Our analysis has led us to conclude that APT1 is likely government-sponsored and one of the most persistent of China’s cyber threat actors. We believe that APT1 is able to wage such a long-running and extensive cyber espionage campaign in large part because it receives direct government support.")

2. Les cibles.

  • Mandiant estime avoir constaté 141 attaques réussies sur les 7 dernières années menées par le groupe APT1, et cela ne représente qu'une partie des attaques menées par le groupe. Ces 141 cibles (entreprises) différentes sont réparties sur 20 secteurs d'activités majeurs.
  • APT1 maintient ses attaques sur chaque cible en moyenne 356 jours. La plus longue persistence constatée était de 1764 jours, soit 4 ans et 10 mois.
  • Le plus gros vol de données impactant une cible unique: 6,5 Terabytes de données compressées, sur une période de 10 mois.
  • 87% des cibles sont localisées dans des pays utilisant la langue anglaise de façon native.
  • Les cibles font parties de 4 des 7 industries émergentes stratégiques listées dans le "12th Five Year Plan" de la Chine.

Voici une carte des cibles des attaques d'APT1, établie par Mandiant:


Les secteurs industriels impactés sont les suivants :


  • Une entreprise "grossiste" (a company involved in the wholesale industry) a constaté, après avoir été attaquée, que dans les 2 ans et demi qui ont suivi le gouvernement chinois qui était client a fait baisser les prix de 2 décimales auprès de lui, coincidence plutôt amusante... ("China had successfully negotiated a double-digit decrease in price per unit with the victim organization for one of its major commodities.")

3. La structure physique APT1 et Unit61398.

  • "APT1 is believed to be the 2nd Bureau of the People’s Liberation Army (PLA) General Staff Department's (GSD) 3rd Department, which is most commonly known by its Military Unit Cover Designator (MUCD) as Unit 61398".
  • Unit 61398, constitué de plusieurs centaines de personnes, travaille à partir d'un immeuble de 12 étages en banlieue (Pudong New Area) de Shanghai, construit en 2007, dont voici une photo, et qui pourrait héberger 2000 personnes environ :

Cependant, cet immeuble ne serait finalement qu'une parmi plusieurs installations physiques utilisées par Unit 61398. Une photo dans le rapport de Mandiant nous montre que l'entrée est gardée par des soldats.

Pour l'anecdote, ils disposent de plusieurs structures annexes à leurs activités, comme... des crèches. ("Unit 61398 also has a full assortment of support units and associated physical infrastructure, much of which is located on a stretch of Datong Road in Gaoqiaozhen, in the Pudong New Area of Shanghai. These support units include a logistics support unit, outpatient clinic, and kindergarten, as well as guesthouses located both in Gaoqiaozhen and in other locations in Shanghai.

  • Au nom de la Défense Nationale, China Telecom fournit la fibre optique à la structure. ("China Telecom provided special fiber optic communications infrastructure for the unit in the name of national defense.") Un mémo de China Telecom mentionne cela: "because this is concerning defense construction, and also the 3rd Department 2nd Bureau is a very important communication control department, we agree to provide the requested channels according to the military’s suggested price."
  • Les activités d'APT1 ont été traquées sur 4 réseaux à Shanghai, 2 de ces réseaux étant situés dans le secteur de Unit 61398. ("Mandiant has traced APT1’s activity to four large networks in Shanghai, two of which serve the Pudong New Area where Unit 61398 is based.")

4. La structure d'attaque.

  • APT1 contrôle des milliers de machines dans le monde pour mener à bien ses opérations.
  • Sur les 2 dernières années, APT1 a créé 937 serveurs de command&control (c&c) de malware, utilisant 849 adresses IP différentes, sur 13 pays. La majorité de ces adresses IP sont enregistrées par la Chine (709), suivi des Etats-Unis (109).
  • 97% des connections effectuées par les attaquants, en sessions Remote Desktop, présentaient une langue "chinese simplified"
  • Unit 61398 mène des campagnes de recrutement intense dans différentes universités, cherchant des profils disposant de solides compétences en sécurité informatique, mais aussi en langue anglaise, en mathématiques, politique... ("Unit 61398 aggressively recruits new talent from the Science and Engineering departments of universities such as Harbin Institute of Technology and Zhejiang University School of Computer Science and Technology")

5. Des méthodes.

  • Chaque cible, une fois compromise, est revisités périodiquement pour de nouveaux vols de données sensibles/stratégiques.
  • Des outils customs ont été développés par APT1. Par exemple, GETMAIL et MAPIGET pour le vol d'e-mails. Les outils connus et publics utilisés par les attaquants sont listés dans le document de Mandiant.
  • Voici le cycle d'attaque, décrit par Mandiant ("Mandiant's Attack Lifecycle Model"), qui ressemble beaucoup à ce que j'écrivais récemment.


  • Mandiant nous montre un spear-phishing utilisé par APT1 pour tenter de les infecter. La méthode est simple mais efficace : se faire passer pour un collègue/dirigeant, avec une pièce jointe à ouvrir...
  • APT1, même s'ils utilisent quelques RAT (Remote Administration Tools, ou outils d'administrations à distance) connus et publics, disposent surtout de leurs propres backdoors. 42 familles sont listées par Mandiant. APT1 semble donc dispose de ses propres développeurs de malware/outils, et ce depuis 2004, date de compilation la plus vieille découverte par Mandiant.

6. Des personnes.

3 profils ont été révélés par Mandiant, mais je ne m'étendrais pas dessus. Si cela vous intéresse, il suffit d'aller lire le document. Par contre, on note au passage un joli screenshot d'une boite gmail d'un attaquant... Mais Mandiant ne semble pas y avoir eu accès, ils justifient ce screenshot en indiquant qu'il s'agit d'un screenshot pris alors que l'attaquant accédait à sa boite mail à partir d'une machine compromise... Mais s'agit-il d'une machine d'une victime qui aurait été compromise et à partir de laquelle l'attaquant aurait consulté sa boite (peu crédible) ou d'une machine de l'attaquant compromise par Mandiant ? ("This is a screen capture of DOTA accessing his Gmail account while using a compromised system on APT1’s attack infrastructure.")

7. Annexes.

Mandiant finit son rapport avec différentes annexes. La première évoque la façon dont Mandiant classifie les groupes d'attaquants, la seconde développe le cycle d'attaque, et les suivantes font références à une archive de Mandiant, qui liste plus de 3000 indicateurs d'attaques, dont des IOC. (Indicators Of Compromise)

8. Thoughts...

Ce rapport de Mandiant est un document qui va faire grand bruit dans toute la communauté de la recherche de malware, de la réponse à incident. et de la cyber intelligence. Les éléments fournis par Mandiant sont crédibles, avérés, et peu de place est laissée à la supposition gratuite comme on aurait pu le craindre.

Les retombées de cette publication vont probablement se faire sentir rapidement, malheureusement, pour tout les "incident responders" dont je fais partie : nul doute que les attaquants vont changer de nombreuses choses rapidement, notamment tous les indicateurs de compromission. Ils vont changer leurs backdoors, leurs malwares, et on peut compter sur eux pour faire cela rapidement. D'un autre côté, ce document apporte un éclairage sain sur ces attaques qui ne peuvent plus être ignorées, et qui lèvent un certain doute sur le degré d'implication et de connaissance du gouvernement chinois.

UPDATE: Une publication intéressante de ShadowServer a été publiée ici.

UPDATE (27 février 2013): De nouvelles infos fournies à Mandiant ont été publiées ici.

jeudi 14 février 2013


"APT" est un acronyme que l'on entend depuis plusieurs années. Le terme a été usé largement par les commerciaux et marketeux de plein de sociétés IT vendeuses de peur, mais a toujours fait rugir les spécialistes du domaine.

"APT" signifie "Advanced Persistent Threat". Personnellement, je préfère parler d'"attaque ciblée" ou, lorsque j'en discute avec des collègues étrangers, de "targeted attack".

On a lu tout et n'importe quoi sur le sujet, ce qui m'a décidé d'en parler un petit peu ici. Cela me permet aussi de sortir mon blog de sa torpeur et des ricanements bêtes de mes collègues qui me reprochent son inactivité et son usage "self-advertise" des derniers posts (ils ont raison, mais ne leur dites pas que je l'ai admis).

Alors l'APT, ou attaque ciblée, c'est quoi ? C'est une attaque ciblée sur une/des entreprises, qui se maintient dans le temps, dans le but de se maintenir sur le système pour y dérober de l'information sensible/stratégique.

Cette attaque se déroule en plusieurs phases, que nous allons énumérer succintement.

1. Définition de la cible et collecte d'informations

Le choix d'une cible semble relativement aisé (bien que cela puisse se complexifier rapidement avec certaines entreprises qui disposent de nombreuses filiales et/ou de sous-traitants), La collecte d'information à ce stade se focalise sur les informations publiques disponibles rapidement sur Internet : employés facilement atteignables par les réseaux sociaux (LinkedIn, Viadeo, mais aussi copainsdavant, Facebook, etc.), adresses IP publiques de l'entreprise et/ou de ses filiales, etc.etc.

Cela ressemble beaucoup à la phase de reconnaissance d'un bon vieux pentest.

2. Définition de la stratégie d'attaque

L'attaquant va se retrouver confronté à une problématique : comment pénétrer le système ? Un ensemble de questions se pose alors.

-> Quelle est la meilleure méthode selon lui pour infecter cette cible ? Les choix habituels possibles:

  • Attaque Watering hole ? (histoire de caser un des dernier terme des marketeux de Symantec) En gros cela consiste à infecter des sites Internet susceptibles d'être visités par la cible, afin d'infecter cette cible. Un exemple: admettons que je vise un grand constructeur automobile. En infectant le site d'un sous-traitant fabricant une pièce très spécifique nécessaire à la construction d'un véhicule, on peut imaginer que la page de cette pièce, sur Internet, sera principalement visitée par des professionnels en ayant besoin... Et donc par la cible ou l'un de ses concurrents.
  • Spear-Phishing : l'attaquant va cibler une ou plusieurs adresses e-mail d'employés, en leur envoyant un courrier attractif dont le but est d'être ouvert, afin de compromettre le poste de travail de l'employé. Cela se présentera souvent sous la forme d'un document Adobe PDF ou Microsoft Office permettant d'infecter le poste de travail.
  • Compromission directe du SI: l'attaquant se focalise ici sur la compromission d'un serveur web par exemple, ou d'autres ressources de l'entreprise accessibles depuis Internet. Généralement, il s'agira d'exploiter une vulnérabilité, présente sur un serveur, afin d'espérer pouvoir rebondir ailleurs dans le SI et aller vers l'information intéressante.
  • Attaque physique : Beaucoup plus rare... L'attaquant dispose par exemple d'un accès au parking souterrain de la cible, et va laisser trainer une/plusieurs clefs USB au sol, dans l'espoir qu'un employé la glisse dans son poste de travail... Devinez ce qu'il y a sur la clef ? Un beau petit malware bien sûr... Qui deviendra un point d'entrée dans la société.

Note: A l'heure actuelle, la compromission d'un SI par tout biais informatique est nettement favorisée par rapport aux techniques "à l'ancienne", à savoir soudoyer des sous-traitants pour avoir un accès physique aux machines (on peut imaginer qu'une femme de ménage puisse accepter facilement une certaine somme d'argent pour "simplement aller brancher une clef USB" sur un ordinateur...)

-> De quel laps de temps dispose-t-il ?

Plus l'attaquant dispose de temps, plus l'attaque sera discrète, tout simplement. Au lieu de noyer plusieurs employés de multiples mails, qui pourraient lever une alerte, un mail est envoyé de temps en temps... Autre exemple, quelques scans de ports par ci par là répartis sur une journée lèveront moins d'alertes que des milliers de scans en quelques heures.

3. L' attaque

Une fois toutes les décisions prises, l'attaquant se lance dans sa campagne d'attaque. Le but est d'obtenir un ou plusieurs accès au SI de l'entreprise. L'idéal consiste à infecter différents réseaux de l'entreprise, et d'y obtenir des droits élevés.

Il suffit parfois de peu pour compromettre tout un SI: un poste de travail avec un utilisateur loggé avec des droits d'administrateur permet souvent de rebondir sur de nombreuses machines et parties différentes du SI.

Bref, le but ici est d'obtenir des droits élevés sur une/des machines/serveurs de l'entreprise, et de pouvoir rebondir partout et ainsi pouvoir obtenir tout document intéressant.

Les attaques reproduisent souvent le même schéma :

- Compromission d'une machine - Elévation de privilèges : administrateur local, administrateur de domaine - Compromission des serveurs stratégiques du SI (Active Directory notamment)

4. La persistance

Une fois que l'attaquant "maitrise" bien les différentes parties du SI qui l'intéressent, sa première préoccupation est de s'assurer que son travail ne sera pas vain et qu'il pourra toujours revenir dans le réseau les jours suivants. Il va donc installer des RAT (Remote Administration Tools) ou des portes dérobées afin de toujours disposer d'accès. En général, plusieurs outils différents sont utilisés, augmentant les chances de se maintenir sur le système si l'une des backdoors était découverte.

A noter que l'attaquant peut très bien se créer des utilisateurs sur le réseau, ou utiliser des profils d'administrateurs existants pour rester discret.

5. Le vol de données

L'attaquant, arrivé à ce stade, dispose souvent de tous les droits sur le système d'information de l'entreprise. En tout cas, pour la blague, il dispose toujours de plus de droits que les pauvres "incident responders" qui vont devoir investiguer lorsque l'APT sera découverte.

La technique la plus courante ici pour exfiltrer de la donnée consiste à créer des archives chiffrées (RAR étant le format le plus courant) des données sensibles, puis à les transférer tranquillement à partir de l'un des clients du RAT installé sur la machine. Les attaquants exfiltrent la plupart du temps les données à partir d'une machine qu'ils ont plus ou moins dédié à cette activité.


Bien des aspects des APT ne sont pas évoqués ici, ce billet se voulant générique.

Ce qui me chiffonne un peu, finalement, dans "APT", c'est le A. Pourquoi donc ? Tout simplement parce que :

  • les attaquants ne sont pas des dieux du code, du shell, ou de quoi que ce soit de vraiment technique.
  • les outils utilisés par les attaquants sont la plupart du temps très basiques, que ce soit pour la compromission, la persistance ou le vol de données. Il s'agit d'outils génériques connus de toute la communauté de la sécurité informatique et des Administrateurs Systèmes (PwDump ou PsExec pour ne citer qu'eux à titre d'exemple).
  • les RAT utilisés sont souvent des RAT génériques, tout juste retouchés pour contourner les anti-virus (un exemple : Poison Ivy). Rares sont les RAT spécifiquement développés pour des attaques ciblées (et du coup non disponibles à la vente sur des forums underground).
  • Les exploits utilisés pour les compromissions initiales sont souvent vieux, mais après tout, les entreprises patchent avec tellement de retard que ce n'est pas grave. Pas besoin de 0day comme le prétendent certains vendeurs de peur.

Le seul aspect "avancé" de ces attaques que je vois serait plutôt dans la structure même des groupes d'attaques : le fait d'être un groupe formé à attaquer, avec des personnes s'occupant des malware, d'autres personnes s'occupant des compromissions initiales, encore d'autres attaquants ne s'occupant que de la persistance et du rebond sur de nombreuses machines du SI compromis, et probablement de l'exfiltration des données. A cela s'ajoutent des administrateurs des serveurs de command&control et de toutes les structures informatiques nécessaires aux attaquants (enregistrements de noms de domaines dédiés, configuration de serveurs dédiés, etc.).

Joe Stewart, grand expert du domaine, estime que les plus grands groupes d'attaquants sont constitués de plusieurs centaines de personnes...

L'aspect le plus intéressant est celui sur lequel on en sait le moins : l'économie souterraine autour des APT. Quels sont les commanditaires de ces attaques (on le sait dans certains cas, et jamais dans d'autres) ? Comment sont rémunérés les attaquants ? Comment est structuré exactement le groupe d'attaquants lié à telle ou telle attaque ?

mardi 8 janvier 2013

Bonne année 2013 !

Bonne année 2013, puisse-t-elle vous apporter tout ce que vous souhaitez, et surtout la santé ! :-)

Pour ce qui est de ce blog, je n'ai vraiment plus le temps d'écrire des billets ici, et du coup je me demande s'il ne serait pas plus judicieux de poster quelques très courts billets par ci par là, pour partager des informations que je trouve intéressantes... Et ne pas laisser mourir ce blog. Je n'en sais trop rien ...

Je continue en tout cas à maintenir ma petite veille cybercriminalité/forensics/sécu sur Twitter ...

Meilleurs voeux !


mardi 6 mars 2012



Encore une minuscule entrée dans le blog, pour signaler que j'ai publié avec mon collègue Jean-Philippe TEISSIER un article dans le numéro 60 de MISC, intitulé : "Injections webs malveillantes".


mercredi 29 février 2012

Petite mise à jour

Bon ben voilà, il était temps que je fasse un peu de backup de données, de mises à jour diverses et variées, et je me suis dit que c'était l'occasion de changer à nouveau l'aspect de ce blog.

A part ça, j'ai retiré tous les vieux liens qui 404isaient morbidement dans la liste, tout en restructurant un peu toute cette partie. Je poursuivrais la mise à jour des liens les jours prochains, sans publier de nouveau billet.

Ce blog n'est donc pas mort, plutôt en looooongue hibernation, pour différentes raisons, la principale étant que je n'ai vraiment pas de temps à y consacrer en ce moment. Mon envie de partager de l'info malware/cybercrime/forensics est intacte, j'espère m'y remettre dès que possible.

Cheers ! :-)

vendredi 23 décembre 2011


MISC 59 vient de sortir et le magazine fête sa 10ème année.


Vous y trouverez notamment un article de mon cru : "Analyse de malware avec Cuckoo Sandbox".

Bonne lecture, feedback apprécié :-)

lundi 12 septembre 2011

Un aspect intéressant du typosquatting : fuite d'information par mail

Le typosquatting de noms de domaines consiste à acheter des noms de domaines proches de noms de domaines existants, souvent d'entreprises.

La plupart du temps, ce dépôt de noms de domaines a pour but de nuire à l'image d'une entreprise en y plaçant un contenu diffamant ou portant atteinte à son image publique.

D'autre fois par contre, le typosquatting est l'oeuvre d'une autre catégorie de cybercriminels poursuivant des buts plus malveillants :

  • Diffusion de malware : un exemple célèbre : Je n'ai pas vérifié si c'est toujours le cas mais le site délivrait du malware lors de sa consultation. On imagine aisément que cela a pu impacter des milliers de personnes qui avaient mal tapé "" dans leur barre de navigation. Se faire infecter son ordinateur parce qu'on a mal tapé une adresse, c'est bête quand même :-/
  • Collecte d'information : cet aspect est assez peu documenté, et c'est là qu'intervient à point nommé une étude de Peter Kim et Garrett Gee, nommée "Doppelganger Domains".

En gros, l'idée est de typosquatter des noms de domaines de certaines entreprises, dans le but de collecter tous les e-mails envoyés par erreur vers leur domaine. Un "Doppelganger Domain" est un nom de domaine frauduleux, écrit de la même façon qu'un nom de domaine légitime, mais sans le "." entre un sous-domaine et le domaine.

Un peu confus ? Un exemple :

1. L'entreprise OnestLesMeilleurs dispose d'un nom de domaine (qui n'existe pas au moment de la rédaction du présent article). Leur site Internet se trouve sur

2. Un fraudeur enregistre le nom de domaine : notez qu'il manque le "." entre le nom de domaine et le sous-domaine, faisant ainsi la différence avec le site légitime.

3. Le fraudeur configure un serveur mail permettant de récupérer tous les mails ("catch all") envoyés vers

4. Le fraudeur attend, et voit des mails arriver : il s'agit de mails de gens ayant oublié de taper le "." dans le nom de domaine, et envoyant tout type d'information. Il peut s'agir de données confidentielles à destination d'un employé de la société ... Ou de mails contenant des références de cartes bancaires, etc.

Le fraudeur peut même se faire passer pour le destinataire et répondre à l'émetteur, sans que ce dernier n'y fasse attention : le vol de données/la fuite d'information se poursuit...

Les chercheurs ayant rédigé l'étude "Doppelganger Domains" ont voulu tester le volume d'information pouvant être collectée par ce biais, et l'impact éventuel sur des entreprises du "Fortune 500".

Le résultat est plutôt édifiant : sur 500 sociétés, 151 sont vulnérables à une telle attaque, soit près de 30%.

Les chercheurs ont enregistré 30 "doppelganger domains" et ont observé ce qui se passait pendant 6 mois. Ils ont ainsi collecté près de 120 000 mails, représentant près de 20 gigabytes de données.

A noter que pendant ces 6 mois, une seule société a mené une action contre le doppelganger domain qui l'impactait. (probablement par une récupération de nom de domaine usurpant la marque...)

Comment protéger son entreprise de ce type d'attaques ?

  • Déployer une veille active sur tous les noms de domaines typosquattés susceptibles d'impacter la société.
  • Déposer tous les doppelganger domains et plus généralement tous les domaines estimés "à risque", à titre préventif.
  • Récupérer tous les noms de domaines typosquattés déjà enregistrés par des tiers, en procédant notamment par une procédure UDRP.

vendredi 2 septembre 2011


MISC #57 vient de sortir ...

Vous y trouverez notamment un article que j'ai écrit sur la Recherche « à froid » de malware sur support numérique.

Bonne lecture, et comme d'habitude, feedback apprécié ;-)

lundi 29 août 2011

There's a new worm in town

Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.

F-Secure et Microsoft nous fournissent quelques informations intéressantes.

Ce que j'en retiens :

  • Une fois qu'il arrive sur un réseau, il scanne tout le réseau local pour trouver des machines acceptant les connexion RDP. Du coup, il génère beaucoup de trafic sur le port 3389/TCP (RDP), ce qui le rend facilement détectable.
  • Une fois une machine trouvée, il tente de bruteforcer l'Admin avec une liste de mots de passe bien générique, non sans rappeller celle de Conficker/Downadup à l'époque.
  • Sur un poste infecté, la présence de 2 fichiers en particulier doit mettre la puce à l'oreille quant à une infection: \windows\system32\sens32.dll et \windows\offline web pages\cache.txt
  • Pour le moment, une autre méthode de détection pourrait être de tester des connexions vers les domaines et (command&control du worm), mais cela reste très temporaire, les contrôleurs de tels bots changeant en général très fréquemment de c&c.

Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).

Bonne rentrée à tous ;-)

lundi 16 mai 2011

Manque de confidentialité sur les services de partage de fichiers

"Exposing the Lack of Privacy in File Hosting Services".

C'est sous ce titre que vient d'être publiée une étude ma foi bien intéressante sur le sujet des "hébergeurs de fichiers". Mais si, vous savez, les "rapidshare" et autres sites qui vous permettent de partager des gros fichiers avec vos amis, votre famille, mais aussi vos collègues de travail ?

Pour donner une définition rapide, il s'agit de sites qui vous proposent d'héberger (de façon continue ou temporaire) des fichiers volumineux afin de les partager. Le principe est simple : vous envoyez le fichier par le biais du site, qui vous retourne un lien unique qui pointe vers le fichier concerné. Du genre

La confidentialité est censée être assurée par le fait que ce lien unique vers votre fichier n'est connu que de vous. Libre à vous de le transmettre aux collègues avec qui vous voulez le partager, ou de le mettre sur un forum/autre site s'il s'agit d'un document public que vous voulez distribuer en masse.

Seulement voilà, il existe différents niveaux de qualité pour ce type de site, et la majorité d'entre eux présentent diverses failles qui permettent à un tiers d'accéder aux documents que vous croyiez inatteignables.

Revenons donc à cette étude, qui est je crois la première sur le sujet, et qui porte sur 100 services de partage de fichier différents, dont je vous recommande chaudement la lecture.

J'en retiens :

* Etude de la confidentialité des données

- 12 services parmi les 100 contiennent des moteurs de recherche sur les données qu'ils hébergent. Ils ont été exclus de l'étude.

- Sur 88 services, il y en a 34 (soit 38,6%) qui génèrent un identifiant de façon séquentielle. Ainsi, il suffit de changer l'url d'un fichier pour en obtenir un autre. (exemple:,, etc.) Par contre, 14 de ces 34 services nécessitent quand même l'association avec le bon nom de fichier. (ex:http://site-o

- Un robot développé par les chercheurs, fonctionnant sur ces services ne fournissant qu'une génération séquentielle d'url, a pu télécharger 310 735 fichiers uniques en 30 jours. Ces fichiers ont été recherchés (sur la base de leur nom) sur Bing : 54,16% n'étaient pas connus, et donc supposés privés. (Je ne lancerais pas de troll sur le choix du moteur de recherche...)

- Les fichiers réputés "privés" sont principalement des images (27 000 environ), puis des archives de type ZIP (13 000 environ), puis du PDF,Word,Excel,Powerpoint... ce qui tend à laisser penser que malgré un usage personnel important, le partage de documents professionnels est monnaie courante sur ce type de service.

- Les 54 services qui fournissent un identifiant "non séquentiel" sont très variables au niveau du nombre de caractères utilisés pour générer les liens. Ainsi, en brute-forçant des sites ne proposant qu'un lien constitué de 6 caractères numériques, les chercheurs ont trouvé 728 fichiers en 617 169 tentatives. D'autres services heureusement proposent des identifiants beaucoup plus robustes, constitués d'au moins 12 caractères alphanumériques. Je note au passage qu'on peut tranquillement faire du brute-force à partir de la même adresse IP, sur une durée de 5 jours, d'une même machine, pour obtenir des fichiers, sans être blacklisté. (encore une fois,ce n'est pas valable pour tous les services de partage de fichier, seulement pour les moins robustes)

* Vulnérabilités

13% des services utilisent le même soft, disponible publiquement, et présentant un certain nombre d'erreurs d'implémentation et de design.

* "Honey Files"

Les chercheurs ont créé un certain nombre de fichiers HTML,PDF, et DOC se connectant sur un serveur appartenant aux auteurs, permettant d'étudier les accès à ces fichiers. Ils ont ensuite été uploadés sur les services de partage de fichiers, quatre fois par jour. Ces fichiers avaient des titres évocateurs faisant référence à de la fraude "intéressante" : promesses de numéros de cartes bancaires, d'identifiants Paypal, etc.

- En un mois, 80 adresses IP différentes ont accédés à ces fichiers sur 7 services différents. La répartition géographique n'est pas inintéressante d'ailleurs... 50% d'adresses IP russes, 24% d'adresses IP ukrainiennes ...

- Sur les 7 services desquels des fichiers ont été téléchargés, 1 disposait d'une fonctionnalité de catalogue, 2 disposaient d'une option de recherche, les 4 restant ne disposant à priori d'aucun moyen de découverte par mot clef. A noter que l'un de ces services utilisait quand même une fonctionnalité de recherche, mais par le biais d'un tiers.

Je passe sur la partie contre-mesures de l'étude, moins passionnante ... Et tient également à signaler que je ne me suis pas relu ... Désolé donc pour les erreurs/fautes de ce post ;-)

lundi 28 mars 2011

MISC Hors-Série n° 3

MISC Hors-Série numéro 3 vient de sortir.

Vous y trouverez notamment un article que j'ai co-écrit avec mon collègue Guillaume Arcas, sur les analyses de malware par sandbox ou en lab... #shamelessselfadvertise ;-)

jeudi 24 février 2011

With love from FREE

Les phishing FREE sont monnaie courante, mais je n'avais pas fait attention au message de remerciement fourni par les fraudeurs lorsque le processus de soumission de données arrive à son terme :


Décidément, les fraudeurs ont de l'humour... (et merci @Jipe_ pour l'info ;-) )

lundi 21 février 2011

CARBERP - Nouvelle étude

Voici une rapide synthèse de l'excellent document de MalwareIntelligence sur ce malware, dont j'avais déjà parlé précédemment.

Ce malware dispose de plus en plus de fonctionnalités avancées, alors qu'au départ il n'était qu'un dropper (un binaire malveillant dont le seul but est d'installer un autre malware sur le poste de la victime). La seconde génération de CARBERP a permis de créer des botnets "carberp" disposant de communications HTTP avec un serveur de command&control (c&c). Cette seconde génération a également ajouté un module additionnel (plugin) nommé "grabber" permettant de voler les identifiants et mots de passe d'une longue liste d'applications Windows diverses et variées (MSN, Firefox, etc.), ce qui a fait entrer Carberp dans la liste des familles de malware de type chevaux de Troie (trojan).

La troisième génération intègre d'autres modules : "stopav", "miniav", "passw". Ces modules ne sont pas exactement les même sur toutes les variantes découvertes sur Internet, du fait de la possibilité de "customiser" ces modules en fonction du client privé à qui Carberp est vendu. Car le modèle économique choisi par les auteurs de Carberp n'est pas le même que celui de ZeuS/Zbot par exemple. Alors qu'il est possible d'acheter ZeuS/ZBot sur des forums, Carberp n'est pas vendu publiquement (Tout comme Torpig/Anserin/Sinowal d'ailleurs).

Niveau systèmes d'exploitations, Carberp est capable d'infecter des systèmes Windows 95/98/Me/NT/2000/XP/Vista, et 7. Pour infecter un système 7, Carberp créé des fichiers dans certains répertoires qui ne nécessitent pas d'être administrateur du poste, à savoir Startup, Application Data et Temp. Carberp n'a pas besoin des droits d'administrateur parce qu'il ne change rien à la base de registre, contrairement à la plupart des autres malware : une fois un poste infecté, Carberp créé une copie de lui-même dans "Startup", il sera ainsi exécuté à chaque redémarrage du système. Il dispose du coup de fonctionnalités de type rootkit, pour éviter que l'utilisateur ne le voie dans ce répertoire (injection dans diverses API).

Carberp se propage de diverses façons, la plus intéressante étant qu'il utilise des accès dérobés de FTP pour injecter des iframes dans des pages web, de façon totalement automatisée, pour infecter d'autres postes.

La première connexion vers le c&c est une requête POST vers /set/first.html qui contient la liste des processus en cours de l'utilisateur, ainsi qu'un identifiant (ID) unique.

La seconde connexion vers le c&c est une demande du malware pour recevoir les modules additionnels. Puis vient une requête GET /cfg/gsbcc permettant de télécharger la configuration du botnet.

Enfin, une connexion POST vers /set/task.html permet au malware de savoir s'il doit accomplir une tâche particulière.

Le plugin "passw.plug" contient la liste des logiciels dont le malware va voler les identifiants/mots de passe :

AIM - AIMPro - AOLInstantMessenger - ASP.NETAccount - AppleSafari - Becky - BitKinex - BlackwoodPRO - BulletProofFTPClient - CamFrog - CiscoVPNClient - ClassicFTP - CoffeeCupFTP - CoreFTP - CuteFTP - Dev Zero G FTPUploader - Digsby - DirectoryOpus - Eudora - ExcitePrivateMessenger - ExpanDrive - FARManagerFTP - FFFTP - FTPCommander - FTPExplorer - FTPRush - FTPUploader - FTPWare - Faim - FileZilla - FinamDirect - FlashFXP - FlingFTP - ForteAgent - FreeCall - FreeFTP/DirectFTP - Frigate3FTP - GAIM - GizmoProject - GmailNotifier - GoogleChrome - GoogleTalk - GrayBox - GroupMailFree - ICQ2003/Lite - ICQ99b-2002 - IncrediMail - InternetExplorer - JAJC - LeapFTP - LTGRoup - MSNMessenger - Mail.RuAgent - MailCommander - Mbt - Mirabilis - MirandaIM - MozillaFirefox - MySpaceIM - Odigo - Opera - Opera 9 Beta - Outlook - POPPeeper - PSI - Paltalk - Pandion - Pidgin - PocoMail - QIP - QIP.Online - Remote Desktop ..Connection - RimArts - Safari - SaxoTrader - ScotTrader - ScreenSaver9x - Scribe - SecureFX - SIM - SmartFTP - SoftXFTPClient - TheBat! - Trillian - Trillian Astra - UltraFXP - WebSitePublisher - WS_FTP - Wi - WinSCP - WinSCP 2 - WinVNC - Windows / ..TotalCommander - WindowsCredentials - WindowsLiveMail - WindowsLiveMessenger - Yahoo!Messenger

Carberp dérobe également des identifiants/mots de passe de certains sites bancaires, et de certains sites d'e-commerce. (iBank, CyberPlat ...)

A noter que les données volées sont transmises directement vers le c&c, sans aucun chiffrement. Il doit donc être possible de créer de bonnes règles de détection sur votre trafic sortant afin de déterminer les données volées et obtenir la certitude d'une infection (Ceci dit, de bonnes règles d'IDS en entrée doivent également permettre de détecter une infection Carberp). De bons screenshots sont disponibles dans le document de MalwareIntelligence.

Le plugin "stopav.plug" contient la liste des solutions anti-virales connues et stoppées par le malware :

ESET NOD32 Antivirus - ESET Smart Security - ArcaVir Antivirus - AVG8 - Mcafee Antivirus - Avast! - Avast5 - Avast4 - Microsoft Security Essentials - Sophos - DrWeb - BitDeffender - Avira

Le plugin "miniav" mène la guerre contre les autres malware de type trojan : il détecte et nettoie les infections des malware suivants:

ZeuS - Limbo - ImageFileExecution - Barracuda And BlackEnergy - MyLoader - Adrenalin - Generetic

Détail amusant et plutôt malin concernant les c&c de Carberp : lorsqu'accédés par le web, ils affichent une page "This account has been suspended", phrase bien connue indiquant que le compte a été suspendu, généralement du fait de contenu illicite. Un point de détail qui fera peut-être stopper les investigations des moins curieux. En fait, l'accès au c&c se fait par une page /accounts/authorization.html.

A noter que toute l'interface est en russe et ne propose pas d'autre langue.

Les accès de MalwareIntelligence sur certains c&c indiquent des botnets de plus de 500 000 machines. Les statistiques sont d'ailleurs plutôt agréables graphiquement, à voir les captures d'écran du rapport.

D'autres captures sont très intéressantes, notamment celle exhibant la configuration du malware: alors que Carberp est livré avec 3 modules par défaut, il en existe d'autres, certains aux noms évocateurs tels que "vnc.plug" et d'autres semblant présenter des pseudonymes de fraudeurs.

Carberp est donc un malware très dangereux : il dispose de fonctionnalités impressionantes qui le mettent en concurrence directe avec les meilleurs trojans tels que ZeuS ou Torpig, et son business model le rend peu détecté, parce que vendu uniquement à des clients de confiance, vraisemblablement tous russes. Même s'il semble "down" depuis peu au niveau de son développement (les principaux c&c sont downs), nous ne sommes pas à l'abri d'en voir ressurgir.

- page 2 de 7 -