mardi 16 juillet 2019
Par Cedric Pernet le mardi 16 juillet 2019, 14:40 - APT
The SLUB guys are back !
We detected them from another watering hole, and they updated their malware. More about it here.
As a reminder, we first published about them here
jeudi 13 juin 2019
Par Cedric Pernet le jeudi 13 juin 2019, 14:20 - Cybercrime
Hey there :-)
I just contributed to a new blog post about some cybercriminals using advanced tools to spread a cryptocurrency miner.
The full blog post is here.
Cheers !
jeudi 7 mars 2019
Par Cedric Pernet le jeudi 7 mars 2019, 16:20 - APT
So here is a new blog post. It was a great collaborative work with several of my highly skilled colleagues :-)
It is all about a new malware we discovered recently, used in an APT, and sitting on an interesting watering hole.
lundi 11 décembre 2017
Par Cedric Pernet le lundi 11 décembre 2017, 13:54 - APT
Hi guys,
We released a new technical paper about a known APT threat actor named "Patchwork".
The blog entry is here, while the full paper is there.
Cheers ! :-)
jeudi 21 septembre 2017
Par Cedric Pernet le jeudi 21 septembre 2017, 12:39 - Malware
Hi all,
I have written this blog post in collab with my good friends Kenney and Lenart... ;-)
Available HERE.
jeudi 20 juillet 2017
Par Cedric Pernet le jeudi 20 juillet 2017, 09:58 - Malware
Some days ago we published this blog post. It seems that some cybercriminals are heavily using it at the moment to spy audio conversations. I guess it's pretty interesting.
mercredi 22 mars 2017
Par Cedric Pernet le mercredi 22 mars 2017, 22:11 - APT
Hi folks,
I've published a new blog post today on Trend Micro's blog. This is once again about some APT campaign, this time showing some of the new modus operandi from a threat actor named Winnti.
It is available here.
lundi 5 septembre 2016
Par Cedric Pernet le lundi 5 septembre 2016, 16:40 - Cybercrime
Hello à tous/toutes,
Je vous avais promis un article MISC qui pour une fois ne parlerait pas d' APT, c'est chose faite dans MISC 87.
Vous y trouverez un article que j'ai écrit sur le phénomène du "Business e-mail compromise". J'espère qu'il vous plaira ! :-)
Je suis un peu sec pour de nouveaux sujets MISC en ce moment, si vous avez des idées n'hésitez pas à me solliciter ! ;-)
jeudi 17 septembre 2015
Par Cedric Pernet le jeudi 17 septembre 2015, 12:10 - APT
I have published a new report about an APT threat actor known as "Emissary Panda" which originates from China. The blog entry is here, while the full paper is here. There is also an appendix here.
This research paper involved a lot of work with my great colleagues from CSS/Trend Micro. It was a great pleasure to write it :-)
I hope you will enjoy this long (more than 50 pages) paper ! :-)
mardi 1 septembre 2015
Par Cedric Pernet le mardi 1 septembre 2015, 09:46 - APT
Following my first research paper about the Rocket Kitten APT threat actor, I have released another one, this time as a collaboration work with one researcher from ClearSky.
The blog post is here: Rocket Kitten Spies Target Iranian Lecturer and InfoSec Researchers in New Modus
The full paper is here: The Spy Kittens Are Back : Rocket Kitten 2
mardi 31 mars 2015
Par Cedric Pernet le mardi 31 mars 2015, 11:44 - Cybercrime
Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.
It has several interesting aspects, in my mind:
Hope you will enjoy the read ! :-)
mercredi 18 mars 2015
Par Cedric Pernet le mercredi 18 mars 2015, 11:38 - APT
jeudi 29 août 2013
Par Cedric Pernet le jeudi 29 août 2013, 09:44 - APT
On a recent blog post, Claudio Guarnieri analyzes an APT attack campaign launched by the "Calc Group".
This group of attackers used the soon-coming "G20 Summit" to spear phish their targets. which are mostly financial institutions and governments. The attack in itself is really not sophisticated, it is just made of an archive file (.ZIP) containing a malicious executable file (.EXE).
The names of the zip files are:
These archives contains the following files:
One might be surprised that people really do open such zip files and click on these executables, but believe me, some people still do. Once again, it shows us that it is not necessary to deploy brilliant strategies to infect people with targeted malware.
Claudio makes a great analyse of these attacks in his blog post, so I won't write about it and let you read it instead. Now what I wanted to know was what happened next. I was especially interested in the second attack, because it had been submitted to Virus Total (VT) from France.
To summarize Claudio's analysis, the attack scheme goes like this :
This last point is very important to me: what malware is downloaded, and why? (the "why" can be expected though...)
To quote Claudio, "these samples are just an initial stage of a larger suite of malware, possibly including Aumlib and Ixeshe, which it will try to download from a fixed list of URLs embedded in the binary".
Luckily enough, the second stage malware was still available and I could download it for analysis. It turns out that it is not an "AumLib" or an "Ixeshe", but a variant of a less known malware, called "Bisonha" by the malware researcher's community.
To bypass anti-virus and IDS/IPS products, it is downloaded "upside down" (the first byte becomes the last byte, etc.) and written locally as a regular executable once it is downloaded successfully, then executed.
The file shows a "Java" icon, to try to look more "legitimate" to users. At the time of writing, the sample I downloaded had not been submitted to Virus Total, so I did. The detection rate for this sample is 12/46.
This malware has no persistence mechanism (the first stage downloader makes it persistent), and once executed starts communicating with an IP address 23.19.122.196 on port 443:
GET /300100000000F0FD1F003746374637433731333433363334333600484F4D45000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000070155736572000000000000000000000000000000000000000000000000000000000000000000006444000000000000000000000000000000000000000000 HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) Host: 23.19.122.196 Connection: Keep-Alive Cache-Control: no-cache
As you can see, the network traffic is on port 443 (HTTPS) but it is definitely no HTTPS traffic, rather hex-encoded data:
0000000: 0000 0000 f0fd 1f00 3746 3746 3743 3731 ........7F7F7C71 0000010: 3334 3336 3334 3336 0048 4f4d 4500 0000 34363436.HOME... 0000020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000030: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000040: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000050: 0000 0000 0000 0000 0007 0155 7365 7200 ...........User. 0000060: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000070: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0000080: 0064 4400 0000 0000 0000 0000 0000 0000 .dD............. 0000090: 0000 0000 0000 0000 ........
My reverse engineering rockstar friend Fabien Perigaud had a closer look at the malware and provided me with more information:
Offset: 0x4: RAM size in kilobytes
Offset: 0x8: Hard-drive ID, xored with the machine name then hex-encoded
Offset: 0x19: Machine name
Offset: 0x59: Operating system version (in malware author's writing)
Offset: 0x60: Number of processors
Offset: 0x61: User name
Offset: 0x81: A unique identifier (probably used as a campaign identifier?) - Here it is "dD" but other two characters identifiers have been witnessed in the wild.
The commands which can be sent to the malware are sent in answer:
3004: File writing 3005: File reading 3006: Writing and execution of a file 3115 : provide a shell 3222 : write a new ID in %APPDATA%\recycle.ini 3223 : auto deletion of the malware 3224 : update
This quick analysis shows us that no matter how deep your knowledge is about an attacker, you're never safe from seeing him change his methods completely. That is why APT attacks attribution is such a hard task.
Thanks to Fabien, Jesse, Brian and Ned for the help while writing this small post ;-)
EDIT: (2013/09/04) Satnam Narang from Symantec just posted interesting material about the same APT campaign. You can read it here. In few words, Poison Ivy RAT is also in the game ;)
lundi 8 avril 2013
Par Cedric Pernet le lundi 8 avril 2013, 13:54 - APT
De nombreuses nouvelles informations sur le groupe d'attaquants APT1 ont suivi la publication de Mandiant que j'évoquais précédemment dans ce billet.
L'un des plus intéressants à ce jour, d'un point de vue forensic, était celui-ci. Il remettait en cause beaucoup de faits énoncés par Mandiant, de façon plutôt bien rédigée.
Un nouveau white paper vient de retenir mon attention, publié par malware.lu et itrust consulting. Ces derniers se sont lancés dans l'étude des attaques APT1 avec une approche plus surprenante qui consiste à... attaquer les attaquants.
Je ne chercherais pas ici à discuter des aspects légaux et éthiques d'une telle action. Par contre, il est extrêmement intéressant de lire ce papier pour voir un peu ce qui se cache "de l'autre côté". Il semble important cependant de souligner que les chercheurs n'ont jamais attaqué de serveur compromis (sous-entendu : un serveur appartenant à un tiers, compromis par APT1) et ont communiqué avec les CSIRT/CERT associés aux cibles des attaquants.
Passons un peu au crible (et en français, c'est le but de cette série de posts sur APT1 après tout...) ce document, point par point.
Phase de collecte d'information:
Les chercheurs se sont basés en partie sur les recherches de MANDIANT. Ils ont vu que le célèbre outil d'administration distant POISON IVY était utilisé et ont décidé d'écrire un scanner de serveurs Poison Ivy.
D'un point de vue technique, rien de bien compliqué : 100 envois de 0x00 vers un port spécifique et une adresse IP permettent de savoir qu'on a affaire à un serveur Poison Ivy s'il répond par 100 octets suivis de 0x000015D0.
Ces scans ont été lancés sur une plage d'adresse IP assez large à Hong Kong pour finalement restreindre leurs recherches à 6 plages particulières hébergeant des serveurs Poison Ivy.
Il nous est signalé au passage que la recherche n'était pas si simple : les attaquants stoppent leurs serveurs c&c lorsqu'ils ne s'en servent pas. Un graphe nous présente les horaires d'"ouverture" des c&c : principalement de 2 à 10h UTC+1. (Europe occidentale)
Sachant qu'entre Paris et Beijing le décalage horaire est de 7h en hiver, 6h en été, on est à peu près sur des horaires de bureau en Chine.
L'attaque.
Un descriptif de Poison Ivy nous est fait ensuite dans le document, pour rapidement arriver sur un aspect plus intéressant, une vulnérabilité d'exécution de code distant sur les serveurs c&c Poison Ivy. Se basant sur un exploit existant d' Andrzej Dereszowski (présent dans Metasploit), les chercheurs ont développé leur propre exploit, fourni dans le document.
Les portes des c&c Poison Ivy se sont alors ouvertes :-)
Une fois connecté au serveur, il fut constaté que le serveur n'avait pas d'adresse IP publique. Cela signifie que le demon Poison Ivy est caché derrière un proxy, utilisant du port forwarding pour masquer la véritable adresse IP du serveur de c&c. Autre constatation, la machine était sous VMware, permettant ainsi de masquer l'adresse IP du controleur.
Le schéma fourni dans le document est le suivant:
Après quelques jours, APT1 a détecté cette compromission, principalement parce qu'une machine accédait au c&c sans passer par le proxy. Les chercheurs ont alors dû changer leur méthode et sont passés par le proxy, en créant leur propre shellcode.
Ils ont ensuite installé un keylogger sur le serveur Poison Ivy, pour logger les identifiants et mots de passe d'accès RDP au proxy.
Une fois sur le proxy, un dump des Event logs Windows a permis de découvrir 384 adresses IP uniques.
L'analyse des données
Une collecte massive de données a été effectuée : fichiers, logs, outputs netstat, etc.etc. puis divisée en 2 catégories : les infos sur les outils des attaquants, et les infos sur les cibles des attaquants.
Une liste des outils des attaquants est fournie, avec un bref descriptif. Je passe sur cette partie, à noter quand même l'analyse d'un RAT "homemade" nommé TERMINATOR/Fakem RAT) découvert sur un serveur proxy.
Ce qui nous intéresse surtout dans ce document, ce sont les informations sur les cibles.
Sans surprise, les documents trouvés dans ces répertoires sont aux formats PPT, XLS, DOC, PDF, JPG.
Parmi ces documents ont été découverts des diagrammes de réseaux, des couples login/pass, des cartes d'accès physiques, des listings d'incidents de sécurité, de politiques de sécurité, etc.
Les documents sensibles sont protégés par mots de passe selon un format prédéfini et assez facile à brute forcer.
Ce post n'a pas pour vocation de vous éviter de lire l'excellent paper de malware.lu et itrust consulting, en particulier de Paul Rascagnères.
Je remercie donc chaleureusement Paul pour cette étude qui nous en révèle un peu plus sur nos attaquants favoris... ;-)
jeudi 14 février 2013
Par Cedric Pernet le jeudi 14 février 2013, 08:04 - APT
"APT" est un acronyme que l'on entend depuis plusieurs années. Le terme a été usé largement par les commerciaux et marketeux de plein de sociétés IT vendeuses de peur, mais a toujours fait rugir les spécialistes du domaine.
"APT" signifie "Advanced Persistent Threat". Personnellement, je préfère parler d'"attaque ciblée" ou, lorsque j'en discute avec des collègues étrangers, de "targeted attack".
On a lu tout et n'importe quoi sur le sujet, ce qui m'a décidé d'en parler un petit peu ici. Cela me permet aussi de sortir mon blog de sa torpeur et des ricanements bêtes de mes collègues qui me reprochent son inactivité et son usage "self-advertise" des derniers posts (ils ont raison, mais ne leur dites pas que je l'ai admis).
Alors l'APT, ou attaque ciblée, c'est quoi ? C'est une attaque ciblée sur une/des entreprises, qui se maintient dans le temps, dans le but de se maintenir sur le système pour y dérober de l'information sensible/stratégique.
Cette attaque se déroule en plusieurs phases, que nous allons énumérer succintement.
1. Définition de la cible et collecte d'informations
Le choix d'une cible semble relativement aisé (bien que cela puisse se complexifier rapidement avec certaines entreprises qui disposent de nombreuses filiales et/ou de sous-traitants), La collecte d'information à ce stade se focalise sur les informations publiques disponibles rapidement sur Internet : employés facilement atteignables par les réseaux sociaux (LinkedIn, Viadeo, mais aussi copainsdavant, Facebook, etc.), adresses IP publiques de l'entreprise et/ou de ses filiales, etc.etc.
Cela ressemble beaucoup à la phase de reconnaissance d'un bon vieux pentest.
2. Définition de la stratégie d'attaque
L'attaquant va se retrouver confronté à une problématique : comment pénétrer le système ? Un ensemble de questions se pose alors.
-> Quelle est la meilleure méthode selon lui pour infecter cette cible ? Les choix habituels possibles:
Note: A l'heure actuelle, la compromission d'un SI par tout biais informatique est nettement favorisée par rapport aux techniques "à l'ancienne", à savoir soudoyer des sous-traitants pour avoir un accès physique aux machines (on peut imaginer qu'une femme de ménage puisse accepter facilement une certaine somme d'argent pour "simplement aller brancher une clef USB" sur un ordinateur...)
-> De quel laps de temps dispose-t-il ?
Plus l'attaquant dispose de temps, plus l'attaque sera discrète, tout simplement. Au lieu de noyer plusieurs employés de multiples mails, qui pourraient lever une alerte, un mail est envoyé de temps en temps... Autre exemple, quelques scans de ports par ci par là répartis sur une journée lèveront moins d'alertes que des milliers de scans en quelques heures.
3. L' attaque
Une fois toutes les décisions prises, l'attaquant se lance dans sa campagne d'attaque. Le but est d'obtenir un ou plusieurs accès au SI de l'entreprise. L'idéal consiste à infecter différents réseaux de l'entreprise, et d'y obtenir des droits élevés.
Il suffit parfois de peu pour compromettre tout un SI: un poste de travail avec un utilisateur loggé avec des droits d'administrateur permet souvent de rebondir sur de nombreuses machines et parties différentes du SI.
Bref, le but ici est d'obtenir des droits élevés sur une/des machines/serveurs de l'entreprise, et de pouvoir rebondir partout et ainsi pouvoir obtenir tout document intéressant.
Les attaques reproduisent souvent le même schéma :
- Compromission d'une machine - Elévation de privilèges : administrateur local, administrateur de domaine - Compromission des serveurs stratégiques du SI (Active Directory notamment)
4. La persistance
Une fois que l'attaquant "maitrise" bien les différentes parties du SI qui l'intéressent, sa première préoccupation est de s'assurer que son travail ne sera pas vain et qu'il pourra toujours revenir dans le réseau les jours suivants. Il va donc installer des RAT (Remote Administration Tools) ou des portes dérobées afin de toujours disposer d'accès. En général, plusieurs outils différents sont utilisés, augmentant les chances de se maintenir sur le système si l'une des backdoors était découverte.
A noter que l'attaquant peut très bien se créer des utilisateurs sur le réseau, ou utiliser des profils d'administrateurs existants pour rester discret.
5. Le vol de données
L'attaquant, arrivé à ce stade, dispose souvent de tous les droits sur le système d'information de l'entreprise. En tout cas, pour la blague, il dispose toujours de plus de droits que les pauvres "incident responders" qui vont devoir investiguer lorsque l'APT sera découverte.
La technique la plus courante ici pour exfiltrer de la donnée consiste à créer des archives chiffrées (RAR étant le format le plus courant) des données sensibles, puis à les transférer tranquillement à partir de l'un des clients du RAT installé sur la machine. Les attaquants exfiltrent la plupart du temps les données à partir d'une machine qu'ils ont plus ou moins dédié à cette activité.
Bref...
Bien des aspects des APT ne sont pas évoqués ici, ce billet se voulant générique.
Ce qui me chiffonne un peu, finalement, dans "APT", c'est le A. Pourquoi donc ? Tout simplement parce que :
Le seul aspect "avancé" de ces attaques que je vois serait plutôt dans la structure même des groupes d'attaques : le fait d'être un groupe formé à attaquer, avec des personnes s'occupant des malware, d'autres personnes s'occupant des compromissions initiales, encore d'autres attaquants ne s'occupant que de la persistance et du rebond sur de nombreuses machines du SI compromis, et probablement de l'exfiltration des données. A cela s'ajoutent des administrateurs des serveurs de command&control et de toutes les structures informatiques nécessaires aux attaquants (enregistrements de noms de domaines dédiés, configuration de serveurs dédiés, etc.).
Joe Stewart, grand expert du domaine, estime que les plus grands groupes d'attaquants sont constitués de plusieurs centaines de personnes...
L'aspect le plus intéressant est celui sur lequel on en sait le moins : l'économie souterraine autour des APT. Quels sont les commanditaires de ces attaques (on le sait dans certains cas, et jamais dans d'autres) ? Comment sont rémunérés les attaquants ? Comment est structuré exactement le groupe d'attaquants lié à telle ou telle attaque ?
mardi 6 mars 2012
Par Cedric Pernet le mardi 6 mars 2012, 14:59 - Malware
Hello,
Encore une minuscule entrée dans le blog, pour signaler que j'ai publié avec mon collègue Jean-Philippe TEISSIER un article dans le numéro 60 de MISC, intitulé : "Injections webs malveillantes".
vendredi 23 décembre 2011
Par Cedric Pernet le vendredi 23 décembre 2011, 10:49 - Malware
MISC 59 vient de sortir et le magazine fête sa 10ème année.
Vous y trouverez notamment un article de mon cru : "Analyse de malware avec Cuckoo Sandbox".
Bonne lecture, feedback apprécié :-)
vendredi 2 septembre 2011
Par Cedric Pernet le vendredi 2 septembre 2011, 10:26 - Malware
MISC #57 vient de sortir ...
Vous y trouverez notamment un article que j'ai écrit sur la Recherche « à froid » de malware sur support numérique.
Bonne lecture, et comme d'habitude, feedback apprécié ;-)
lundi 29 août 2011
Par Cedric Pernet le lundi 29 août 2011, 10:51 - Malware
Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.
F-Secure et Microsoft nous fournissent quelques informations intéressantes.
Ce que j'en retiens :
Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).
Bonne rentrée à tous ;-)
lundi 28 mars 2011
Par Cedric Pernet le lundi 28 mars 2011, 11:29 - Malware
MISC Hors-Série numéro 3 vient de sortir.
Vous y trouverez notamment un article que j'ai co-écrit avec mon collègue Guillaume Arcas, sur les analyses de malware par sandbox ou en lab... #shamelessselfadvertise ;-)
« billets précédents - page 1 de 2