Cedric PERNET - Computer Security, Forensics, Malware & Cybercrime

Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.

F-Secure et Microsoft nous fournissent quelques informations intéressantes.

Ce que j'en retiens :

• Une fois qu'il arrive sur un réseau, il scanne tout le réseau local pour trouver des machines acceptant les connexion RDP. Du coup, il génère beaucoup de trafic sur le port 3389/TCP (RDP), ce qui le rend facilement détectable.
• Une fois une machine trouvée, il tente de bruteforcer l'Admin avec une liste de mots de passe bien générique, non sans rappeller celle de Conficker/Downadup à l'époque.
• Sur un poste infecté, la présence de 2 fichiers en particulier doit mettre la puce à l'oreille quant à une infection: \windows\system32\sens32.dll et \windows\offline web pages\cache.txt
• Pour le moment, une autre méthode de détection pourrait être de tester des connexions vers les domaines jaifr.com et qfsl.net (command&control du worm), mais cela reste très temporaire, les contrôleurs de tels bots changeant en général très fréquemment de c&c.

Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).

Bonne rentrée à tous ;-)

Voici une rapide synthèse de l'excellent document de MalwareIntelligence sur ce malware, dont j'avais déjà parlé précédemment.

Ce malware dispose de plus en plus de fonctionnalités avancées, alors qu'au départ il n'était qu'un dropper (un binaire malveillant dont le seul but est d'installer un autre malware sur le poste de la victime). La seconde génération de CARBERP a permis de créer des botnets "carberp" disposant de communications HTTP avec un serveur de command&control (c&c). Cette seconde génération a également ajouté un module additionnel (plugin) nommé "grabber" permettant de voler les identifiants et mots de passe d'une longue liste d'applications Windows diverses et variées (MSN, Firefox, etc.), ce qui a fait entrer Carberp dans la liste des familles de malware de type chevaux de Troie (trojan).

La troisième génération intègre d'autres modules : "stopav", "miniav", "passw". Ces modules ne sont pas exactement les même sur toutes les variantes découvertes sur Internet, du fait de la possibilité de "customiser" ces modules en fonction du client privé à qui Carberp est vendu. Car le modèle économique choisi par les auteurs de Carberp n'est pas le même que celui de ZeuS/Zbot par exemple. Alors qu'il est possible d'acheter ZeuS/ZBot sur des forums, Carberp n'est pas vendu publiquement (Tout comme Torpig/Anserin/Sinowal d'ailleurs).

Niveau systèmes d'exploitations, Carberp est capable d'infecter des systèmes Windows 95/98/Me/NT/2000/XP/Vista, et 7. Pour infecter un système 7, Carberp créé des fichiers dans certains répertoires qui ne nécessitent pas d'être administrateur du poste, à savoir Startup, Application Data et Temp. Carberp n'a pas besoin des droits d'administrateur parce qu'il ne change rien à la base de registre, contrairement à la plupart des autres malware : une fois un poste infecté, Carberp créé une copie de lui-même dans "Startup", il sera ainsi exécuté à chaque redémarrage du système. Il dispose du coup de fonctionnalités de type rootkit, pour éviter que l'utilisateur ne le voie dans ce répertoire (injection dans diverses API).

Carberp se propage de diverses façons, la plus intéressante étant qu'il utilise des accès dérobés de FTP pour injecter des iframes dans des pages web, de façon totalement automatisée, pour infecter d'autres postes.

La première connexion vers le c&c est une requête POST vers /set/first.html qui contient la liste des processus en cours de l'utilisateur, ainsi qu'un identifiant (ID) unique.

La seconde connexion vers le c&c est une demande du malware pour recevoir les modules additionnels. Puis vient une requête GET /cfg/gsbcc permettant de télécharger la configuration du botnet.

Enfin, une connexion POST vers /set/task.html permet au malware de savoir s'il doit accomplir une tâche particulière.

Le plugin "passw.plug" contient la liste des logiciels dont le malware va voler les identifiants/mots de passe :

AIM - AIMPro - AOLInstantMessenger - ASP.NETAccount - AppleSafari - Becky - BitKinex - BlackwoodPRO - BulletProofFTPClient - CamFrog - CiscoVPNClient - ClassicFTP - CoffeeCupFTP - CoreFTP - CuteFTP - Dev Zero G FTPUploader - Digsby - DirectoryOpus - Eudora - ExcitePrivateMessenger - ExpanDrive - FARManagerFTP - FFFTP - FTPCommander - FTPExplorer - FTPRush - FTPUploader - FTPWare - Faim - FileZilla - FinamDirect - FlashFXP - FlingFTP - ForteAgent - FreeCall - FreeFTP/DirectFTP - Frigate3FTP - GAIM - GizmoProject - GmailNotifier - GoogleChrome - GoogleTalk - GrayBox - GroupMailFree - ICQ2003/Lite - ICQ99b-2002 - IncrediMail - InternetExplorer - JAJC - LeapFTP - LTGRoup - MSNMessenger - Mail.RuAgent - MailCommander - Mbt - Mirabilis - MirandaIM - MozillaFirefox - MySpaceIM - Odigo - Opera - Opera 9 Beta - Outlook - POPPeeper - PSI - Paltalk - Pandion - Pidgin - PocoMail - QIP - QIP.Online - Remote Desktop ..Connection - RimArts - Safari - SaxoTrader - ScotTrader - ScreenSaver9x - Scribe - SecureFX - SIM - SmartFTP - SoftXFTPClient - TheBat! - Trillian - Trillian Astra - UltraFXP - WebSitePublisher - WS_FTP - Wi - WinSCP - WinSCP 2 - WinVNC - Windows / ..TotalCommander - WindowsCredentials - WindowsLiveMail - WindowsLiveMessenger - Yahoo!Messenger

Carberp dérobe également des identifiants/mots de passe de certains sites bancaires, et de certains sites d'e-commerce. (iBank, CyberPlat ...)

A noter que les données volées sont transmises directement vers le c&c, sans aucun chiffrement. Il doit donc être possible de créer de bonnes règles de détection sur votre trafic sortant afin de déterminer les données volées et obtenir la certitude d'une infection (Ceci dit, de bonnes règles d'IDS en entrée doivent également permettre de détecter une infection Carberp). De bons screenshots sont disponibles dans le document de MalwareIntelligence.

Le plugin "stopav.plug" contient la liste des solutions anti-virales connues et stoppées par le malware :

ESET NOD32 Antivirus - ESET Smart Security - ArcaVir Antivirus - AVG8 - Mcafee Antivirus - Avast! - Avast5 - Avast4 - Microsoft Security Essentials - Sophos - DrWeb - BitDeffender - Avira

Le plugin "miniav" mène la guerre contre les autres malware de type trojan : il détecte et nettoie les infections des malware suivants:

ZeuS - Limbo - ImageFileExecution - Barracuda And BlackEnergy - MyLoader - Adrenalin - Generetic

Détail amusant et plutôt malin concernant les c&c de Carberp : lorsqu'accédés par le web, ils affichent une page "This account has been suspended", phrase bien connue indiquant que le compte a été suspendu, généralement du fait de contenu illicite. Un point de détail qui fera peut-être stopper les investigations des moins curieux. En fait, l'accès au c&c se fait par une page /accounts/authorization.html.

A noter que toute l'interface est en russe et ne propose pas d'autre langue.

Les accès de MalwareIntelligence sur certains c&c indiquent des botnets de plus de 500 000 machines. Les statistiques sont d'ailleurs plutôt agréables graphiquement, à voir les captures d'écran du rapport.

D'autres captures sont très intéressantes, notamment celle exhibant la configuration du malware: alors que Carberp est livré avec 3 modules par défaut, il en existe d'autres, certains aux noms évocateurs tels que "vnc.plug" et d'autres semblant présenter des pseudonymes de fraudeurs.

Carberp est donc un malware très dangereux : il dispose de fonctionnalités impressionantes qui le mettent en concurrence directe avec les meilleurs trojans tels que ZeuS ou Torpig, et son business model le rend peu détecté, parce que vendu uniquement à des clients de confiance, vraisemblablement tous russes. Même s'il semble "down" depuis peu au niveau de son développement (les principaux c&c sont downs), nous ne sommes pas à l'abri d'en voir ressurgir.

Et voilà, encore un nouveau malware avec un nom improbable : CARBERP.

Ce malware est un malware de type cheval de Troie. Il dérobe des données de l'utilisateur après avoir infecté sa machine, les données les plus intéressantes pour lui étant vos coordonnées bancaires ainsi que tout couple login/mot de passe intéressant.

TrustDefender vient du coup de publier un excellent rapport sur ce malware, dont je vous invite à lire une synthèse ici. La version complète peut être obtenue sur simple demande.

Ce que j'en retiens ?

• Carberp prend grand soin de ne jamais avoir besoin de droits système. Aucune élévation de privilège n'est nécessaire pour qu'il fonctionne à 100%, que ce soit sous XP, Vista, ou Windows 7. Du coup, seul un user de la machine est infecté.

• pour le moment, il ne hooke qu'Internet Explorer -> les users sous Chrome/Firefox/etc. sont donc safe.

• Il n'écrit rien dans la base de registre. Se relance au reboot en copiant un exe caché (effet rootkit) dans la section "Startup" de l'utilisateur. GMER peut le voir par contre.

• Il envoie les données volées en temps réel vers le command&control, mais tenez-vous bien, les données sont envoyées en HTTP, EN CLAIR ! Nul doute qu'une des prochaines évolution de ce malware consistera à ajouter une couche de chiffrement.

• Il n'intercepte que les requêtes POST sur les sessions SSL. Il ne fait rien sur le trafic HTTP. Certaines banques africaines sont donc safe ;-)))

• Possibilités de détection de machines infectées :

- surveiller les requêtes POST vers URLduc&c/set/first.html. Pour éviter tout risque de faux positif, le paquet contient "id=debot" en entête.

- détecter les requêtes GET de format URL/cfg/passw.plug , URL/cfg/miniav.plug, et URL/cfg/stopav.plug : ces 3 fichiers sont toujours downloadés au moment de l'infection initiale.

• il tue les AV qu'il rencontre, mais aussi les ZeuS et les Limbo sur les postes qu'il infecte, apparemment.

Si vous voulez mon avis, on n'a pas fini de le voir évoluer, et rapidement je pense, parce que comme dirait l'autre, "il a tout d'un grand".

Ajout de dernière minute: on vient de m'informer qu'une souche capable de cibler Firefox vient de voir le jour... Quand je parlais d'évolution rapide... A suivre ! :-)

Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.

Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)

Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.

Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.

Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...

Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).

C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.

Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.

Trend Micro a publié hier une étude passionnante intitulée "A Cybercrime Hub".

Cette étude nous présente une compagnie estonienne qui sous des apparences légitimes se trouvait être totalement illicite. Cette compagnie, dont le nom est tu par Trend mais qu'il est facile de découvrir en googlant un peu, existe depuis 2005. Ses principales activités sont l'hébergement de contenus web, la distribution de trafic web, et la publicité. Jusqu'en octobre 2008 environ cette compagnie était même agréée par l'ICANN pour enregistrer des noms de domaines Internet.

Les data-center de cette compagnie sont répartis partout dans le monde, sous forme de serveurs achetés ou loués, avec une prédominance aux Etats-Unis. Ainsi, lorsque l'un de ces data-center est fermé, comme ce fut le cas en 2008 à San Francisco (ça ne vous rappelle rien ?) il suffit de basculer ailleurs ... Et de tout remettre en route en quelques heures !

Le quotidien de cette entreprise est en fait entièrement orienté vers la cybercriminalité sous des formes de fraudes diverses et variées. La plupart des jeunes employés de la compagnie, pour la plupart des étudiants ayant une vingtaine d'années et habitant dans la région de Tartu en Estonie, utilisent toutes leurs compétences techniques pour fournir des services frauduleux.

Le document se focalise sur certains aspects techniques déployés par les cybercriminels :

• Installation et utilisation de serveurs DNS frauduleux (dits "Rogue DNS Servers") depuis 2005. Le principe est simple et efficace. Il s'agit de déployer de multiples serveurs DNS sur Internet, qui présentent tous les aspects d'un serveur DNS légitime, mais dont le comportement est tout autre : chaque requête DNS qu'ils reçoivent renvoient vers des sites frauduleux en lieu et place de sites légitimes.

• Infection de victimes par un malware de type "DNS Changer". Il s'agit du complément idéal d'un serveur DNS frauduleux : pour que les machines des victimes envoient leurs requêtes DNS vers les serveurs DNS frauduleux, il faut que la configuration de leur machine pointe vers eux. Le malware change la configuration des victimes, qui n'y voient que du pare-feu. Du coup, leurs requêtes DNS légitimes se voient obtenir des réponses telles que souhaitées par les fraudeurs : redirection vers des sites hébergeant d'autres malware, vers des sites de phishing, etc.

• Détournement des publicités dans les pages web du navigateur de la victime. La plupart des publicités que vous voyez sur Internet lorsque vous naviguez sont en fait hébergées par des tiers. Du coup, les fraudeurs ont pensé à détourner cette caractéristique, de façon transparente pour la victime infectée: alors qu'elle navigue tranquillement sur des sites de confiance, les publicités de ces sites (souvent des "Google ads") sont remplacées par des publicités de sites gérés par les fraudeurs. On pense ici en particulier à la contrefaçon pharmaceutique.

• Installation de faux anti-virus (dits "Rogue AV") sur la machine de la victime. Les victimes allant vers certains sites contrôlés par les fraudeurs, notamment pornographiques, voient leur accès refusé sous prétexte d'être infectés par un malware. En fait, il s'agit d'un message placé par les fraudeurs eux-même. Le message est suivi d'une proposition de téléchargement d'un logiciel anti-virus. En juillet 2009, environ 100 000 machines se sont connectées sur l'un de ces sites, selon Trend Micro. Bien sûr, l'anti-virus proposé n'est autre... qu'un autre malware. S'il décide en plus de payer la license pour ce prétendu anti-virus, devinez qui récolte l'argent ? Eh oui, ces cybercriminels sont partout...

• Détournement des requêtes Google des utilisateurs infectés : cette technique donne l'impression à l'utilisateur d'obtenir des résultats Google totalement cohérents, alors qu'en fait ils ont été manipulés par les fraudeurs.

Le papier de Trend Micro nous montre une structure élaborée, avec un intranet particulièrement bien conçu pour être déplacé régulièrement, sans trop entrer dans les détails techniques. La compagnie estonienne dispose de fortes compétences techniques, et sait les déployer et s'en servir de façon efficace. Leur niveau technique est impressionant, mais ce qui m'impressionne surtout, c'est cette capacité à toujours être innovant en termes de cybercriminalité. En seulement 4 ans, cette société a déployé des trésors d'imagination pour générer un maximum de profit.

Les "busts" récents sur un certain nombre d'hébergeurs bulletproof, non pas effectués par les services de Police mais par la communauté de la sécurité informatique et de la cybercriminalité, n'ont finalement eu pour effet sur le long terme que de rendre les cybercriminels plus méfiants, et plus prévoyants : s'attendant à se faire fermer à tout moment, ils sont capable d'apparaitre ailleurs très rapidement. On ne peut que craindre une augmentation de ce type de malveillances, tant que les législations internationales ne seront pas améliorées pour permettre aux forces de l'ordre de migrer ces fraudeurs vers une cellule bulletproof. :-)

Cisco a publié récemment un document très intéressant intitulé "Infiltrating a Botnet".

Nous y découvrons le travail de l'une des équipes de Cisco, lors d'investigations forensic "classiques" auprès d'un client, dans le but d'en savoir plus sur une compromission du S.I.

L'équipe de Cisco s'est vite rendue compte que de nombreuses machines du client concerné présentaient des symptômes assez alarmants, dont notamment une activité IRC sur un port exotique. Il s'est avéré qu'il s'agissait comme on pouvait le supposer d'un malware, entrant dans un schéma de botnet.

Pour rappel, le protocole IRC (Internet Relay Chat) est l'un des plus vieux protocole utilisé dans le cadre de communications entre des machines compromises (bot) et un serveur (command&control) géré par le ou les fraudeurs. Bien d'autres techniques existent, mais nécessitent plus de travail de la part des pirates. Ce protocole reste largement utilisé pour gérer des botnets "amateurs", les botnets plus professionnels déployant généralement des communications chiffrées.

Après une rapide investigation, de nombreuses machines du client ont été retirées du botnet et "assainies". L'équipe de Cisco s'est alors intéressée directement au fraudeur contrôlant ce botnet. En particulier, ils se posaient des questions sur le niveau de compétence du botmaster : était-il un "script kiddie" ou quelqu'un jouissant d'un bon niveau technique ?

Une seule façon de le savoir pour eux: après avoir surveillé le serveur IRC de contrôle du botnet en se faisant passer pour un bot, les chercheurs ont engagé le dialogue par ce biais avec le pirate. L'échange est assez savoureux. Le pirate en face semble rôdé, croyant que son interlocuteur est un autre botmaster. Du coup, il tient des propos plutôt intéressants. On y apprend que son botnet idle souvent, c'est à dire qu'il est souvent dormant, et que le pirate a récemment vendu quelques milliers de bots (800$ pour 10000 machines). L'activité majeure de ce pirate reste cependant le phishing. Le reste de la discussion tourne autour de l'underground de ce type de cybercriminalité, je vous laisse en prendre connaissance...

Je n'entrerais pas (ou si peu...) dans le troll habituel sur ce genre d'opération... Est-il éthique, pour un chercheur, de se connecter sur un serveur IRC qui est probablement hébergé sur un serveur compromis, pour aller discuter avec un fraudeur ? Les informations qui en sortent sont en tout cas intéressantes.

Enfin, s'il vous venait à l'idée de pratiquer ce genre de chose, je ne saurais que trop vous recommander la prudence : tous les botmasters ne sont pas aussi "zen" que celui présenté dans le document de Cisco. Bon nombre d'entre eux disposent de contre-mesures empêchant les chercheurs de se connecter sur leur serveur IRC, ces contre-mesures lançant généralement une attaque massive de déni de service vers l'adresse IP "suspecte", pour quelques minutes ou quelques heures...

Difficile de passer à côté des scareware ces derniers temps, même en ne travaillant pas dans la sécurité informatique ou la cybercriminalité.

Très succintement, un scareware est un logiciel qui se fait passer pour un respectable anti-virus mais n'en est pas un. Dans quel but ? Vous faire payer pour une license, ou même infecter votre machine et ainsi vous voler de la donnée...

Toute une économie souterraine est alimentée par ce type de maliciel, qui peut se révéler très lucratif pour certains escrocs. Une excellente étude du phénomène a d'ailleurs été publiée par Joe Stewart de SecureWorks il y a quelques temps.

Plus récemment, j'ai lu un article de Dancho Danchev qui m'a d'abord fait rire, avant de me dire que comme d'habitude, les fraudeurs avaient décidément beaucoup d'imagination...

Il est fait état d'un rogue anti-virus (scareware donc) nommé "Anti-Virus 1" qui une fois installé sur votre poste modifie certaines de vos navigations... En l'occurence, le logiciel procède en effectuant une légère modification du fichier host de votre système Windows. Le résultat ? Simple : lorsque vous naviguerez vers zdnet, toptenreviews, pc mag, pc pro, et j'en passe, vous verrez en fait une fausse page vantant les mérites... d'autres scareware !

Une méthode simple et probablement efficace de donner de la crédibilité à des applications néfastes...

J'en profite donc pour rappeller une bonne pratique pour les nouveaux-venus dans le monde informatique, qui sont les principales victimes de ce phénomène de scareware :

N'utilisez que des solutions anti-virales *connues* ! Et surtout, en cas de doute, plutôt que de télécharger et d'installer un anti-virus trouvé sur Internet, demandez son avis à quelqu'un qui a un peu plus d'expérience dans le domaine.