Mot-clé - malware

Fil des billets - Fil des commentaires

jeudi 20 juillet 2017

Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More

Some days ago we published this blog post. It seems that some cybercriminals are heavily using it at the moment to spy audio conversations. I guess it's pretty interesting.

mercredi 22 mars 2017

Winnti Abuses GitHub for C&C Communications

Hi folks,

I've published a new blog post today on Trend Micro's blog. This is once again about some APT campaign, this time showing some of the new modus operandi from a threat actor named Winnti.

It is available here.

lundi 5 septembre 2016

MISC 87 - Business E-Mail Compromise

Hello à tous/toutes,

Je vous avais promis un article MISC qui pour une fois ne parlerait pas d' APT, c'est chose faite dans MISC 87.


Vous y trouverez un article que j'ai écrit sur le phénomène du "Business e-mail compromise". J'espère qu'il vous plaira ! :-)

Je suis un peu sec pour de nouveaux sujets MISC en ce moment, si vous avez des idées n'hésitez pas à me solliciter ! ;-)

jeudi 17 septembre 2015

Operation Iron Tiger

I have published a new report about an APT threat actor known as "Emissary Panda" which originates from China. The blog entry is here, while the full paper is here. There is also an appendix here.

This research paper involved a lot of work with my great colleagues from CSS/Trend Micro. It was a great pleasure to write it :-)

I hope you will enjoy this long (more than 50 pages) paper ! :-)

mardi 1 septembre 2015

New Rocket Kitten research paper

Following my first research paper about the Rocket Kitten APT threat actor, I have released another one, this time as a collaboration work with one researcher from ClearSky.

The blog post is here: Rocket Kitten Spies Target Iranian Lecturer and InfoSec Researchers in New Modus

The full paper is here: The Spy Kittens Are Back : Rocket Kitten 2

mardi 31 mars 2015

Fake Judicial Spam Leads to Backdoor with Fake Certificate Authority

Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.

It has several interesting aspects, in my mind:

  • The fact that there is an ongoing campaign against french people, using french material, which is rare enough to be worth mentioning;
  • The fact that there is a kit used to drop different payloads: Gootkit, CryptoWall, some banking trojan...;
  • The fact that it uses an innovating method to infect the victims computers.

Hope you will enjoy the read ! :-)

mercredi 18 mars 2015

Operation Woolen GoldFish

Hi all,

Here is my first research paper done for my new employer, Trend Micro.

I hope you'll enjoy it ! :-)

The blog summary I wrote about the paper is here, while the complete paper can be found here.

jeudi 29 août 2013

More on the G20 Summit Espionage Operation

On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".

This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).

The names of the zip files are:

  • G20 Briefing
  • G20 Summit

These archives contains the following files:

  • G20 Discussion Paper.exe
  • GPFI Work Plan 2013.exe
  • G20 Summit Improving global confidence and support the globa.EXE
  • Improving global confidence and support.pdf.exe
  • The list of NGOs representatives accredited at the Press Center of The G20 Leaders' Summit 2013.pdf.exe

One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.

Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.

To summarize Claudio's analysis, the attack scheme goes like this :

  • The victim gets the zip file, opens it, and executes the malicious executable.
  • The executable shows a decoy document (PDF) about the G20 or such.
  • The executable starts keylogging and downloads more malware.

This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)

To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".

Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.

To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.

The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.

This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address on port 443:

/300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Connection: Keep-Alive
Cache-Control: no-cache

As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:

0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731  ........7F7F7C71
0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000  34363436.HOME...
0000020: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000030: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000040: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000050: 0000 0000 0000 0000 0007 0155 7365 7200  ...........User.
0000060: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000070: 0000 0000 0000 0000 0000 0000 0000 0000  ................
0000080: 0064 4400 0000 0000 0000 0000 0000 0000  .dD.............
0000090: 0000 0000 0000 0000                      ........

My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:

Offset: 0x4: RAM size in kilobytes
Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded
Offset: 0x19: Machine name
Offset: 0x59: Operating system version (in malware author's writing)
Offset: 0x60: Number of processors
Offset: 0x61: User name
Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.

The commands which can be sent to the malware are sent in answer:

3004: File writing
3005: File reading
3006: Writing and execution of a file

3115 : provide a shell

3222 : write a new ID in %APPDATA%\recycle.ini 
3223 : auto deletion of the malware
3224 : update

This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.

Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)

EDIT: (2013/09/04) Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)

lundi 8 avril 2013

A l'assaut ! Des chercheurs attaquent APT1.

De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.

L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.

Un nouveau white paper vient de retenir mon attention, publié par et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.

Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.

Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.

Phase de collecte d'information:

Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.

D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.

Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.

Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)

Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.


Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.

Les portes des c&c Poison Ivy se sont alors ouvertes :-)

Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.

Le schéma fourni dans le document est le suivant:


Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.

Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.

Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.

L'analyse des données

Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.

Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.

Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.

  • Les attaquants semblent utiliser un couple serveur proxy/serveur c&c pour chaque cible. Lorsqu'une cible découvre l'adresse IP d'un proxy, cette adresse est réassignée à une autre cible.
  • Les secteurs d'activité des cibles: sociétés privées, publiques, institutions politiques, activistes, associations et journalistes.
  • Sur le serveur Poison Ivy, un répertoire est créé au format: <NOM DE LA CIBLE>\<NOM D'UTILISATEUR>. (exemple: E:\SOCIETEBLABLA\borislezombie)

Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.

Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.

Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.

Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de et itrust consulting, en particulier de Paul Rascagnères.

Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)

jeudi 14 février 2013


"APT" est un acronyme que l'on entend depuis plusieurs années. Le terme a été usé largement par les commerciaux et marketeux de plein de sociétés IT vendeuses de peur, mais a toujours fait rugir les spécialistes du domaine.

"APT" signifie "Advanced Persistent Threat". Personnellement, je préfère parler d'"attaque ciblée" ou, lorsque j'en discute avec des collègues étrangers, de "targeted attack".

On a lu tout et n'importe quoi sur le sujet, ce qui m'a décidé d'en parler un petit peu ici. Cela me permet aussi de sortir mon blog de sa torpeur et des ricanements bêtes de mes collègues qui me reprochent son inactivité et son usage "self-advertise" des derniers posts (ils ont raison, mais ne leur dites pas que je l'ai admis).

Alors l'APT, ou attaque ciblée, c'est quoi ? C'est une attaque ciblée sur une/des entreprises, qui se maintient dans le temps, dans le but de se maintenir sur le système pour y dérober de l'information sensible/stratégique.

Cette attaque se déroule en plusieurs phases, que nous allons énumérer succintement.

1. Définition de la cible et collecte d'informations

Le choix d'une cible semble relativement aisé (bien que cela puisse se complexifier rapidement avec certaines entreprises qui disposent de nombreuses filiales et/ou de sous-traitants), La collecte d'information à ce stade se focalise sur les informations publiques disponibles rapidement sur Internet : employés facilement atteignables par les réseaux sociaux (LinkedIn, Viadeo, mais aussi copainsdavant, Facebook, etc.), adresses IP publiques de l'entreprise et/ou de ses filiales, etc.etc.

Cela ressemble beaucoup à la phase de reconnaissance d'un bon vieux pentest.

2. Définition de la stratégie d'attaque

L'attaquant va se retrouver confronté à une problématique : comment pénétrer le système ? Un ensemble de questions se pose alors.

-> Quelle est la meilleure méthode selon lui pour infecter cette cible ? Les choix habituels possibles:

  • Attaque Watering hole ? (histoire de caser un des dernier terme des marketeux de Symantec) En gros cela consiste à infecter des sites Internet susceptibles d'être visités par la cible, afin d'infecter cette cible. Un exemple: admettons que je vise un grand constructeur automobile. En infectant le site d'un sous-traitant fabricant une pièce très spécifique nécessaire à la construction d'un véhicule, on peut imaginer que la page de cette pièce, sur Internet, sera principalement visitée par des professionnels en ayant besoin... Et donc par la cible ou l'un de ses concurrents.
  • Spear-Phishing : l'attaquant va cibler une ou plusieurs adresses e-mail d'employés, en leur envoyant un courrier attractif dont le but est d'être ouvert, afin de compromettre le poste de travail de l'employé. Cela se présentera souvent sous la forme d'un document Adobe PDF ou Microsoft Office permettant d'infecter le poste de travail.
  • Compromission directe du SI: l'attaquant se focalise ici sur la compromission d'un serveur web par exemple, ou d'autres ressources de l'entreprise accessibles depuis Internet. Généralement, il s'agira d'exploiter une vulnérabilité, présente sur un serveur, afin d'espérer pouvoir rebondir ailleurs dans le SI et aller vers l'information intéressante.
  • Attaque physique : Beaucoup plus rare... L'attaquant dispose par exemple d'un accès au parking souterrain de la cible, et va laisser trainer une/plusieurs clefs USB au sol, dans l'espoir qu'un employé la glisse dans son poste de travail... Devinez ce qu'il y a sur la clef ? Un beau petit malware bien sûr... Qui deviendra un point d'entrée dans la société.

Note: A l'heure actuelle, la compromission d'un SI par tout biais informatique est nettement favorisée par rapport aux techniques "à l'ancienne", à savoir soudoyer des sous-traitants pour avoir un accès physique aux machines (on peut imaginer qu'une femme de ménage puisse accepter facilement une certaine somme d'argent pour "simplement aller brancher une clef USB" sur un ordinateur...)

-> De quel laps de temps dispose-t-il ?

Plus l'attaquant dispose de temps, plus l'attaque sera discrète, tout simplement. Au lieu de noyer plusieurs employés de multiples mails, qui pourraient lever une alerte, un mail est envoyé de temps en temps... Autre exemple, quelques scans de ports par ci par là répartis sur une journée lèveront moins d'alertes que des milliers de scans en quelques heures.

3. L' attaque

Une fois toutes les décisions prises, l'attaquant se lance dans sa campagne d'attaque. Le but est d'obtenir un ou plusieurs accès au SI de l'entreprise. L'idéal consiste à infecter différents réseaux de l'entreprise, et d'y obtenir des droits élevés.

Il suffit parfois de peu pour compromettre tout un SI: un poste de travail avec un utilisateur loggé avec des droits d'administrateur permet souvent de rebondir sur de nombreuses machines et parties différentes du SI.

Bref, le but ici est d'obtenir des droits élevés sur une/des machines/serveurs de l'entreprise, et de pouvoir rebondir partout et ainsi pouvoir obtenir tout document intéressant.

Les attaques reproduisent souvent le même schéma :

- Compromission d'une machine - Elévation de privilèges : administrateur local, administrateur de domaine - Compromission des serveurs stratégiques du SI (Active Directory notamment)

4. La persistance

Une fois que l'attaquant "maitrise" bien les différentes parties du SI qui l'intéressent, sa première préoccupation est de s'assurer que son travail ne sera pas vain et qu'il pourra toujours revenir dans le réseau les jours suivants. Il va donc installer des RAT (Remote Administration Tools) ou des portes dérobées afin de toujours disposer d'accès. En général, plusieurs outils différents sont utilisés, augmentant les chances de se maintenir sur le système si l'une des backdoors était découverte.

A noter que l'attaquant peut très bien se créer des utilisateurs sur le réseau, ou utiliser des profils d'administrateurs existants pour rester discret.

5. Le vol de données

L'attaquant, arrivé à ce stade, dispose souvent de tous les droits sur le système d'information de l'entreprise. En tout cas, pour la blague, il dispose toujours de plus de droits que les pauvres "incident responders" qui vont devoir investiguer lorsque l'APT sera découverte.

La technique la plus courante ici pour exfiltrer de la donnée consiste à créer des archives chiffrées (RAR étant le format le plus courant) des données sensibles, puis à les transférer tranquillement à partir de l'un des clients du RAT installé sur la machine. Les attaquants exfiltrent la plupart du temps les données à partir d'une machine qu'ils ont plus ou moins dédié à cette activité.


Bien des aspects des APT ne sont pas évoqués ici, ce billet se voulant générique.

Ce qui me chiffonne un peu, finalement, dans "APT", c'est le A. Pourquoi donc ? Tout simplement parce que :

  • les attaquants ne sont pas des dieux du code, du shell, ou de quoi que ce soit de vraiment technique.
  • les outils utilisés par les attaquants sont la plupart du temps très basiques, que ce soit pour la compromission, la persistance ou le vol de données. Il s'agit d'outils génériques connus de toute la communauté de la sécurité informatique et des Administrateurs Systèmes (PwDump ou PsExec pour ne citer qu'eux à titre d'exemple).
  • les RAT utilisés sont souvent des RAT génériques, tout juste retouchés pour contourner les anti-virus (un exemple : Poison Ivy). Rares sont les RAT spécifiquement développés pour des attaques ciblées (et du coup non disponibles à la vente sur des forums underground).
  • Les exploits utilisés pour les compromissions initiales sont souvent vieux, mais après tout, les entreprises patchent avec tellement de retard que ce n'est pas grave. Pas besoin de 0day comme le prétendent certains vendeurs de peur.

Le seul aspect "avancé" de ces attaques que je vois serait plutôt dans la structure même des groupes d'attaques : le fait d'être un groupe formé à attaquer, avec des personnes s'occupant des malware, d'autres personnes s'occupant des compromissions initiales, encore d'autres attaquants ne s'occupant que de la persistance et du rebond sur de nombreuses machines du SI compromis, et probablement de l'exfiltration des données. A cela s'ajoutent des administrateurs des serveurs de command&control et de toutes les structures informatiques nécessaires aux attaquants (enregistrements de noms de domaines dédiés, configuration de serveurs dédiés, etc.).

Joe Stewart, grand expert du domaine, estime que les plus grands groupes d'attaquants sont constitués de plusieurs centaines de personnes...

L'aspect le plus intéressant est celui sur lequel on en sait le moins : l'économie souterraine autour des APT. Quels sont les commanditaires de ces attaques (on le sait dans certains cas, et jamais dans d'autres) ? Comment sont rémunérés les attaquants ? Comment est structuré exactement le groupe d'attaquants lié à telle ou telle attaque ?

mardi 6 mars 2012



Encore une minuscule entrée dans le blog, pour signaler que j'ai publié avec mon collègue Jean-Philippe TEISSIER un article dans le numéro 60 de MISC, intitulé : "Injections webs malveillantes".


vendredi 23 décembre 2011


MISC 59 vient de sortir et le magazine fête sa 10ème année.


Vous y trouverez notamment un article de mon cru : "Analyse de malware avec Cuckoo Sandbox".

Bonne lecture, feedback apprécié :-)

vendredi 2 septembre 2011


MISC #57 vient de sortir ...

Vous y trouverez notamment un article que j'ai écrit sur la Recherche « à froid » de malware sur support numérique.

Bonne lecture, et comme d'habitude, feedback apprécié ;-)

lundi 29 août 2011

There's a new worm in town

Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.

F-Secure et Microsoft nous fournissent quelques informations intéressantes.

Ce que j'en retiens :

  • Une fois qu'il arrive sur un réseau, il scanne tout le réseau local pour trouver des machines acceptant les connexion RDP. Du coup, il génère beaucoup de trafic sur le port 3389/TCP (RDP), ce qui le rend facilement détectable.
  • Une fois une machine trouvée, il tente de bruteforcer l'Admin avec une liste de mots de passe bien générique, non sans rappeller celle de Conficker/Downadup à l'époque.
  • Sur un poste infecté, la présence de 2 fichiers en particulier doit mettre la puce à l'oreille quant à une infection: \windows\system32\sens32.dll et \windows\offline web pages\cache.txt
  • Pour le moment, une autre méthode de détection pourrait être de tester des connexions vers les domaines et (command&control du worm), mais cela reste très temporaire, les contrôleurs de tels bots changeant en général très fréquemment de c&c.

Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).

Bonne rentrée à tous ;-)

lundi 28 mars 2011

MISC Hors-Série n° 3

MISC Hors-Série numéro 3 vient de sortir.

Vous y trouverez notamment un article que j'ai co-écrit avec mon collègue Guillaume Arcas, sur les analyses de malware par sandbox ou en lab... #shamelessselfadvertise ;-)

lundi 21 février 2011

CARBERP - Nouvelle étude

Voici une rapide synthèse de l'excellent document de MalwareIntelligence sur ce malware, dont j'avais déjà parlé précédemment.

Ce malware dispose de plus en plus de fonctionnalités avancées, alors qu'au départ il n'était qu'un dropper (un binaire malveillant dont le seul but est d'installer un autre malware sur le poste de la victime). La seconde génération de CARBERP a permis de créer des botnets "carberp" disposant de communications HTTP avec un serveur de command&control (c&c). Cette seconde génération a également ajouté un module additionnel (plugin) nommé "grabber" permettant de voler les identifiants et mots de passe d'une longue liste d'applications Windows diverses et variées (MSN, Firefox, etc.), ce qui a fait entrer Carberp dans la liste des familles de malware de type chevaux de Troie (trojan).

La troisième génération intègre d'autres modules : "stopav", "miniav", "passw". Ces modules ne sont pas exactement les même sur toutes les variantes découvertes sur Internet, du fait de la possibilité de "customiser" ces modules en fonction du client privé à qui Carberp est vendu. Car le modèle économique choisi par les auteurs de Carberp n'est pas le même que celui de ZeuS/Zbot par exemple. Alors qu'il est possible d'acheter ZeuS/ZBot sur des forums, Carberp n'est pas vendu publiquement (Tout comme Torpig/Anserin/Sinowal d'ailleurs).

Niveau systèmes d'exploitations, Carberp est capable d'infecter des systèmes Windows 95/98/Me/NT/2000/XP/Vista, et 7. Pour infecter un système 7, Carberp créé des fichiers dans certains répertoires qui ne nécessitent pas d'être administrateur du poste, à savoir Startup, Application Data et Temp. Carberp n'a pas besoin des droits d'administrateur parce qu'il ne change rien à la base de registre, contrairement à la plupart des autres malware : une fois un poste infecté, Carberp créé une copie de lui-même dans "Startup", il sera ainsi exécuté à chaque redémarrage du système. Il dispose du coup de fonctionnalités de type rootkit, pour éviter que l'utilisateur ne le voie dans ce répertoire (injection dans diverses API).

Carberp se propage de diverses façons, la plus intéressante étant qu'il utilise des accès dérobés de FTP pour injecter des iframes dans des pages web, de façon totalement automatisée, pour infecter d'autres postes.

La première connexion vers le c&c est une requête POST vers /set/first.html qui contient la liste des processus en cours de l'utilisateur, ainsi qu'un identifiant (ID) unique.

La seconde connexion vers le c&c est une demande du malware pour recevoir les modules additionnels. Puis vient une requête GET /cfg/gsbcc permettant de télécharger la configuration du botnet.

Enfin, une connexion POST vers /set/task.html permet au malware de savoir s'il doit accomplir une tâche particulière.

Le plugin "passw.plug" contient la liste des logiciels dont le malware va voler les identifiants/mots de passe :

AIM - AIMPro - AOLInstantMessenger - ASP.NETAccount - AppleSafari - Becky - BitKinex - BlackwoodPRO - BulletProofFTPClient - CamFrog - CiscoVPNClient - ClassicFTP - CoffeeCupFTP - CoreFTP - CuteFTP - Dev Zero G FTPUploader - Digsby - DirectoryOpus - Eudora - ExcitePrivateMessenger - ExpanDrive - FARManagerFTP - FFFTP - FTPCommander - FTPExplorer - FTPRush - FTPUploader - FTPWare - Faim - FileZilla - FinamDirect - FlashFXP - FlingFTP - ForteAgent - FreeCall - FreeFTP/DirectFTP - Frigate3FTP - GAIM - GizmoProject - GmailNotifier - GoogleChrome - GoogleTalk - GrayBox - GroupMailFree - ICQ2003/Lite - ICQ99b-2002 - IncrediMail - InternetExplorer - JAJC - LeapFTP - LTGRoup - MSNMessenger - Mail.RuAgent - MailCommander - Mbt - Mirabilis - MirandaIM - MozillaFirefox - MySpaceIM - Odigo - Opera - Opera 9 Beta - Outlook - POPPeeper - PSI - Paltalk - Pandion - Pidgin - PocoMail - QIP - QIP.Online - Remote Desktop ..Connection - RimArts - Safari - SaxoTrader - ScotTrader - ScreenSaver9x - Scribe - SecureFX - SIM - SmartFTP - SoftXFTPClient - TheBat! - Trillian - Trillian Astra - UltraFXP - WebSitePublisher - WS_FTP - Wi - WinSCP - WinSCP 2 - WinVNC - Windows / ..TotalCommander - WindowsCredentials - WindowsLiveMail - WindowsLiveMessenger - Yahoo!Messenger

Carberp dérobe également des identifiants/mots de passe de certains sites bancaires, et de certains sites d'e-commerce. (iBank, CyberPlat ...)

A noter que les données volées sont transmises directement vers le c&c, sans aucun chiffrement. Il doit donc être possible de créer de bonnes règles de détection sur votre trafic sortant afin de déterminer les données volées et obtenir la certitude d'une infection (Ceci dit, de bonnes règles d'IDS en entrée doivent également permettre de détecter une infection Carberp). De bons screenshots sont disponibles dans le document de MalwareIntelligence.

Le plugin "stopav.plug" contient la liste des solutions anti-virales connues et stoppées par le malware :

ESET NOD32 Antivirus - ESET Smart Security - ArcaVir Antivirus - AVG8 - Mcafee Antivirus - Avast! - Avast5 - Avast4 - Microsoft Security Essentials - Sophos - DrWeb - BitDeffender - Avira

Le plugin "miniav" mène la guerre contre les autres malware de type trojan : il détecte et nettoie les infections des malware suivants:

ZeuS - Limbo - ImageFileExecution - Barracuda And BlackEnergy - MyLoader - Adrenalin - Generetic

Détail amusant et plutôt malin concernant les c&c de Carberp : lorsqu'accédés par le web, ils affichent une page "This account has been suspended", phrase bien connue indiquant que le compte a été suspendu, généralement du fait de contenu illicite. Un point de détail qui fera peut-être stopper les investigations des moins curieux. En fait, l'accès au c&c se fait par une page /accounts/authorization.html.

A noter que toute l'interface est en russe et ne propose pas d'autre langue.

Les accès de MalwareIntelligence sur certains c&c indiquent des botnets de plus de 500 000 machines. Les statistiques sont d'ailleurs plutôt agréables graphiquement, à voir les captures d'écran du rapport.

D'autres captures sont très intéressantes, notamment celle exhibant la configuration du malware: alors que Carberp est livré avec 3 modules par défaut, il en existe d'autres, certains aux noms évocateurs tels que "vnc.plug" et d'autres semblant présenter des pseudonymes de fraudeurs.

Carberp est donc un malware très dangereux : il dispose de fonctionnalités impressionantes qui le mettent en concurrence directe avec les meilleurs trojans tels que ZeuS ou Torpig, et son business model le rend peu détecté, parce que vendu uniquement à des clients de confiance, vraisemblablement tous russes. Même s'il semble "down" depuis peu au niveau de son développement (les principaux c&c sont downs), nous ne sommes pas à l'abri d'en voir ressurgir.

mercredi 16 février 2011

21 mars 2011 : The Honeynet Project Security Workshop

Un petit post rapide pour vous signaler que ce blog n'est pas totalement mort (j'ai d'autres préoccupations en ce moment, qui me prennent énormément de temps et d'énergie), et que s'il y a un évènement à ne pas louper cette année, c'est bien la journée "portes ouvertes" du Projet Honeynet, qui se tiendra le 21 mars 2011.

Cet évènement est remarquable à plusieurs titres, c'est notamment la première fois qu'il est organisé en France, à l'ESIEA. Ensuite, le programme des conférences semble vraiment de qualité. En plus, pour les plus joueurs, il y aura un challenge de type CTF (Capture The Flag) et un challenge Forensic.

Enfin, cet évènement regroupera de nombreux professionnels de la sécurité et de la cybercriminalité venus des quatre coins du globe, c'est donc une occasion idéale pour boire des bières ensemble networker :-)

Attention, il n'y a que 180 places, et une petite voix à chemise à carreaux (private joke) me glisse à l'oreille qu'il faut se dépêcher... Pour ma part j'ai déjà réservé ma place, et j'espère vous y voir :-)

mercredi 6 octobre 2010

Nouvelle menace malware : Carberp

Et voilà, encore un nouveau malware avec un nom improbable : CARBERP.

Ce malware est un malware de type cheval de Troie. Il dérobe des données de l'utilisateur après avoir infecté sa machine, les données les plus intéressantes pour lui étant vos coordonnées bancaires ainsi que tout couple login/mot de passe intéressant.

TrustDefender vient du coup de publier un excellent rapport sur ce malware, dont je vous invite à lire une synthèse ici. La version complète peut être obtenue sur simple demande.

Ce que j'en retiens ?

  • Carberp prend grand soin de ne jamais avoir besoin de droits système. Aucune élévation de privilège n'est nécessaire pour qu'il fonctionne à 100%, que ce soit sous XP, Vista, ou Windows 7. Du coup, seul un user de la machine est infecté.
  • pour le moment, il ne hooke qu'Internet Explorer -> les users sous Chrome/Firefox/etc. sont donc safe.
  • Il n'écrit rien dans la base de registre. Se relance au reboot en copiant un exe caché (effet rootkit) dans la section "Startup" de l'utilisateur. GMER peut le voir par contre.
  • Il envoie les données volées en temps réel vers le command&control, mais tenez-vous bien, les données sont envoyées en HTTP, EN CLAIR ! Nul doute qu'une des prochaines évolution de ce malware consistera à ajouter une couche de chiffrement.
  • Il n'intercepte que les requêtes POST sur les sessions SSL. Il ne fait rien sur le trafic HTTP. Certaines banques africaines sont donc safe ;-)))
  • Possibilités de détection de machines infectées :

- surveiller les requêtes POST vers URLduc&c/set/first.html. Pour éviter tout risque de faux positif, le paquet contient "id=debot" en entête.

- détecter les requêtes GET de format URL/cfg/passw.plug , URL/cfg/miniav.plug, et URL/cfg/stopav.plug : ces 3 fichiers sont toujours downloadés au moment de l'infection initiale.

  • il tue les AV qu'il rencontre, mais aussi les ZeuS et les Limbo sur les postes qu'il infecte, apparemment.

Si vous voulez mon avis, on n'a pas fini de le voir évoluer, et rapidement je pense, parce que comme dirait l'autre, "il a tout d'un grand".

Ajout de dernière minute: on vient de m'informer qu'une souche capable de cibler Firefox vient de voir le jour... Quand je parlais d'évolution rapide... A suivre ! :-)

lundi 22 février 2010

Rapport sur les menaces informatiques 2009 - ScanSafe

ScanSafe, société appartenant au groupe Cisco, a récemment publié son rapport annuel 2009 portant sur les menaces informatiques. Cette étude est entièrement basée sur l'analyse de trafic web géré par ScanSafe. Même si le document ne présente rien de révolutionnaire, il a le mérite de rappeller certains faits que je trouve intéressant et que je me permet d'agrémenter de quelques commentaires :

  • Vouloir réduire le challenge de la sécurité à une lutte contre les malware est une hérésie. D'autres menaces sont tout aussi présentes : fuite d'information par méthodes autres que malware (complicité interne par exemple), espionage, etc...
  • Malgré la médiatisation récente importante d'un certain nombre de cas avérés de cyber-espionage, les grandes entreprises (Google et d'autres récemment) continuent à se faire infiltrer par des méthodes très classiques : attaques ciblées menant à des infections par trojan notamment. Pas besoin donc de déployer des méthodes vraiment "super high-tech", il suffit d'un minimum de connaissances pour modifier une souche de malware existant et infecter un poste clef... Ou même juste de connaitre la solution anti-virale qu'on a en face...
  • Le nombre moyen de compromissions, de vol de données, et d'attaques uniques a augmenté de façon dramatique en 2009 pour les entreprises.
  • Le secteur de l'énergie et du pétrole ont subi une augmentation de 356% des tentatives d'infection par malware de type chevaux de Troie. De même, 252% d'augmentation pour les secteurs pharmaceutiques et chimiques. Les autres secteurs d'activités a avoir vu leurs risques augmenter de façon conséquente sur ce type de menaces sont le secteur financier (guère étonnant...) et le gouvernement.
  • Il n'existe plus de malware "facilement détectable" : le taux de détection positive par les anti-virus traditionnels (à signature) n'est plus que de 60%.
  • Tant qu'il y aura des utilisateurs crédules, les fraudes seront faciles à mettre en oeuvre. Deux solutions : la première, guère crédible, consiste à éliminer les utilisateurs. La seconde, beaucoup plus applicable, est de les sensibiliser autant que possible aux notions de sécurité informatique. Encore une fois, on n'imaginerais pas confier une voiture à une personne sans permis de conduite...
  • Les enfants ? Quid des adultes ? La principale préoccupation des parents a toujours été de protéger leurs enfants en ligne. Mais songent-ils à se protéger eux-même ? Quelqu'un me murmure "fail" à l'oreille...

Sur un plan purement malware :

  • Progression forte des attaques par document PDF au détriment des attaques exploitant Flash. (Et augmentation significative du nombre de vulnérabilités recensées par Adobe...)
  • Le botnet le plus prolifique en 2009 a été Gumblar.
  • Les infections Conficker + KoobFace ne représentent que .05% des infections web malware de 2009.

Enfin, le document souligne le fait que si les entreprises ne sont pas capables de tirer profit de leurs erreurs passées, elles courent à la catastrophe. Je clotûre donc ce post par cette citation qui a une saveur toute particulière à mes oreilles:

"Those who cannot remember the past are condemned to repeat it".

A bientôt ;-)

mardi 6 octobre 2009

Les surprises d'URLZone

Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.

Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)

Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.

Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.

Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...

Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).

C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.

Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.

- page 1 de 2