Retour sur l'édition 2023 de la BotConf

XMCO a pu assister à l’édition 2023 de la BotConf qui s’est tenue à Strasbourg du 12 au 14 avril 2023.

L’évènement proposait 28 conférences autour de la thématique des botnets. En complément des conférences, l’évènement a été précédé par une session de Workshop organisé le 11 avril dans les prestigieux locaux du Conseil de l’Europe, et a également donné lieu à la présentation de 16 lightning talk (courte présentation de 3 minutes) et d’un Social Event.

Nous vous proposons ici un rapide résumé des quelques conférences ayant marqué nos consultants :

You OTA Know: Combating Malicious Android System Updaters – Łukasz Siewierski (@maldr0id) et Alec Guertin (@guertin_alec)

Au cours de cette présentation, Alex Guertin et Lukasz Siewierski, deux analystes travaillant chez Google et spécialisés dans l’analyse des malwares ciblant la plateforme Android ont présenté, au travers de deux études de cas un type de malware présent sur Android. Ces malwares ont la particularité d’être directement installés via le mécanisme de mise à jour OTA (Over The Air) de certains appareils Android.

La présentation a commencé par un aperçu du fonctionnement de l’écosystème et des causes permettant à des acteurs malveillants de fournir une application de mise à jour Over The Air malveillante, installé sur des appareils grand public. Ces applications disposant de par leur nature de privilèges élevés sur le système, elles représentent un point d’intérêt pour les attaquants.

La majorité de la présentation s’est concentrée sur deux études de cas :

* La société digitime

* Le malware redstone

Au travers de ces deux exemples, les analystes ont présenté le fonctionnement de ces malwares, leurs objectifs (affiche d’encart publicitaire par exemple) ainsi que les méthodes utilisées par ces applications pour contourner le mécanisme de validation des applications distribuées via le Google Play.

La vidéo de cette présentation est disponible ici.

Security Implications of QUIC – Paul Vixie (@paulvixie)

Dans cette conférence plus philosophique que technique, Paul Vixie a abordé le sujet de la sécurité au vu de l’émergence de nouveaux protocoles réseau, dont QUIC. Paul Vixie est un scientifique américain qui a notamment participé au développement de Bind (serveur DNS) ainsi que plus généralement à l’écriture de nombreux RFC.

Il est d’abord revenu sur le changement de paradigme opéré depuis 2013 avec la révélation de surveillance de masse opérée par la NSA. Ces révélations ont entrainé la mise en place de nombreux mécanismes de chiffrement afin de fournir un chiffrement end-to-end par défaut et ainsi de prévenir un accès non autorisé au contenu des échanges.

Il a ensuite abordé la difficulté d’assurer la sécurité au sein d’un réseau privé quand l’ensemble des éléments du réseau communiquent de manière chiffrée. Une mise en parallèle des besoins d’un acteur étatique ainsi et ceux nécessaires à la sécurisation d’un réseau en entreprise (observabilité et blocage de flux). Par la suite, il est revenu plus longuement sur des changements au sein de certains protocoles provoquant un aveuglement des administrateurs des réseaux d’entreprise.

La présentation s’est finie par une citation issue du livre Age Of Surveillance Capitalism de Shoshana Zuboff, illustrant le changement de paradigme présenté lors de cette conférence.

La vidéo de cette présentation est disponible ici.

MCRIT: The MinHash-based Code Relationship & Investigation Toolkit – Daniel Plohmann (@push_pnx)

Daniel a présenté une méthodologie et l’outillage associé permettant de faciliter l’identification de similitudes dans le code des malwares. En effet, ce type d’approche donne une meilleure compréhension des liens existants entre les malwares, et permet d’accélérer leur analyse. Pourtant, les outils disponibles actuellement sont soit techniquement limités, soit propriétaires ; et ces limites sont problématiques quand il s’agit d’étudier le corpus de malwares maintenus à jour au travers du projet Malpedia.

Pour cela, les 2 approches « PIC Hashing » et « MinHash » sur lesquelles s’appuie l’implémentation MCRIT ont été présentées. Ces dernières permettent l’analyse et la caractérisation du code binaire des malwares. L’implémentation de la plateforme a également été présentée, ainsi que les interactions possibles avec les outils utilisés par les analystes. Une démo a conclu cette présentation.

Le support de présentation ainsi que la vidéo de cette présentation sont disponibles.

L’ensemble des conférences TLP:CLEAR est disponible publiquement sur la page de l’évènement ainsi que sur page YouTube de la BotConf.

Charles & William

William

Découvrir d'autres articles

  • Conférences

    Retour sur WestDataFestival 2024

    Lire l'article
  • Conférences

    DORA et la résilience opérationnelle des fournisseurs

    Lire l'article
  • Conférences

    Retour sur la Black Hat Europe 2023

    Lire l'article