Après quelques heures de repos afin de se remettre des breuvages de l’Anthologist, nous voilà repartis pour une nouvelle série de présentations. Cette journée sera constituée de 11 talks, entrecoupés de Tea Time et d’un déjeuner. La journée s’achèvera à 17h, laissant une pause afin de nous faire beaux pour le dîner de gala de la conférence.
Retrouvez ci-dessous le résumé d’un échantillon de ces présentations. Nous vous rappelons également que l’ensemble des conférences auxquelles nous avons assisté seront disponibles dans le prochain numéro de l’ActuSécu.
Simjacker – the next frontier in mobile espionage (Cathal Mc Daid – @mcdaidc)
Nous attaquons cette seconde journée par la présentation d’une attaque s’intéressant aux cartes SIM de nos appareils connectés : il s’agit de la vulnérabilité connue sous le nom de Simjacker. Son exploitation repose sur l’envoi d’un message spécifiquement conçu à un téléphone, et entrainant l’envoi de données à l’attaquant : l’identifiant de l’antenne actuellement utilisé (Cell-ID) et le numéro IMEI du mobile.
Cette attaque repose principalement sur deux mécanismes :
- Les messages SIM Over-The-Air (OTA) : il s’agit de messages adressés directement à la carte SIM et ils constituent le vecteur d’attaque. La première attaque reposant sur ces messages spécifiques date de 2011 et a été découverte par Bogdan Alecu.
- L’absence de maintenance pour l’environnement S@t Browser sur les cartes SIM : cet environnement fournit un environnement d’exécution pour les commandes SIM Application Toolkit (STK) permettant l’interaction avec le réseau. Cette technologie n’avait pas été mise à jour depuis 2009.
La vulnérabilité provient d’un manque de spécification du S@T Browser, qui ne requiert aucun niveau de sécurité pour l’exécution des commandes High Priority Push et Low Priority Push. En conséquence, un grand nombre d’opérateurs ne demandait aucune forme d’authentification, permettant à un attaquant d’envoyer des messages Push directement acceptés par les cartes SIM vulnérables.
L’attaque identifiée est sophistiquée et vise principalement le Mexique, et en moindre mesure la Colombie et le Pérou. En prenant une période de 31 jours représentative de la globalité de l’attaque, les chercheurs ont pu constater l’envoi de 25 000 messages Simjacker à 1 500 identifiants uniques, mais il est précisé que 45% des numéros n’étaient ciblés qu’une seule fois, alors que d’autres recevaient des milliers de messages.
Cette attaque est notamment utilisée afin de traquer un utilisateur avec une précision allant jusqu’à quelques dizaines de mètres près, dépendant de l’inventaire des antennes relais à notre disposition. Elle peut également être utilisée pour envoyer de fausses informations, réaliser un déni de service, ou encore déployer des malwares via l’ouverture d’une URL dans le navigateur de la victime. Il serait également possible de réaliser une interception des appels entrants.
Les chercheurs ont conclu leur présentation par un message rassurant, spécifiant qu’il s’agit d’une attaque ciblée et sophistiquée. Elle démontre toutefois l’avance des attaquants sur les défenseurs dans le secteur mobile.
Attor spy platform with curious GSM fingerprinting (Zuzana Hromcová – @zuzana_hromcova)
Au cours de cette seconde présentation, la chercheuse nous présente le malware nommé ATTOR. Ce nom provient de l’un de ses plug-ins permettant l’utilisation de commandes AT pour interagir directement avec des appareils connectés en série (port COM), et du module de communication avec le serveur C&C utilisant TOR.
Cette campagne a été particulièrement ciblée. En effet, seule une trentaine de victimes ont été recensées. Toutes étaient russophones et étaient sensibilisées à la protection de la vie privée (utilisation de VPN et de TrueCrypt).
Le malware présente une structure fortement segmentée, utilisant une architecture basée sur des modules et plug-ins. Il est à noter l’existence de modules spécifiques dédiés à l’établissement de la communication avec le serveur C&C, via la création d’un proxy SOCKS permettant l’accès au réseau TOR.
Les données à transmettre étaient regroupées dans un dossier spécifique, et transmises via une connexion FTP passive hardcodée. La transmission s’effectuait uniquement si le malware était injecté dans certains processus spécifiques, tels un navigateur ou une application de messagerie, cachant un peu plus le trafic illégitime. Il a également été remarqué qu’une adaptation au système compromis avait lieu : tous les plug-ins n’étaient pas systématiquement installés.
Les informations de versions et les identifiants de plug-ins laissent penser à l’existence de 16 plug-ins distincts, et dont le plus ancien serait le device monitor en version 14. Celui-ci cherche à communiquer via des équipements branchés en série. Il ne vise donc pas les nouveaux smartphones et périphériques, mais plutôt des modems, d’anciens téléphone, ou encore des équipements spécifiques à une entreprise ciblée.
La présentation se termine sur cette interrogation. Toutes les pièces du puzzle n’ont pas été réunies à ce jour.
HELO, is that you? New challenges tracking Winnti activity (Stefano Ortolani – @ostefano)
Après une décénie d’existence, la famille de malware Winnti constitue une redoutable menace, qui a été utilisée par de multiples groupes tels que APT17, Axiom ou encore Barium. Bien que toujours utilisée, cette menace est devenue bien trop connue pour encore servir dans le cadre d’APT.
Ciblant dans un premier temps l’industrie du jeu vidéo, la menace a ensuite évolué dans le domaine politique avant de finalement viser diverses entreprises pharmaceutiques allemandes en juin 2019. Il s’agissait alors de la dernière campagne identifiée. Toutefois, un pic d’activité a été constaté depuis le mois de juillet 2019.
L’une des particularités de Winnti est d’écouter le trafic réseau afin d’intercepter un message spécifique, appelé HELO, permettant à l’attaquant de débuter l’interaction avec le RAT installé. Il est donc facile de créer un scanner de détection de machines infectées via l’envoi d’un message HELO forgé : si la machine répond par une erreur, dépendante du service en écoute, alors celle-ci n’est pas infectée.
Cette technique, bien qu’efficace, a provoqué l’émergence d’un nouveau problème : le bruit. En effet, les systèmes de détection d’attaque se basent sur la réception de message HELO afin de lever une alerte. Un scan apparait alors comme une attaque, créant un grand nombre de faux positifs. Ce bruit était également amplifié à chaque publication d’une attaque Winnti : la médiatisation motivant plus de chercheurs à lancer plus de scanners, et donc à créer plus de faux positifs.
Nos chercheurs se proposent donc de trouver une méthode suffisamment élaborée pour distinguer une attaque d’un scan. Ils se sont intéressés à des tris par adresse IP source, par port de destination et par statut de connexion, sans succès. Seule l’inspection du contenu de la réponse a été pertinente. Tandis que cette analyse est relativement simple à mettre en place pour les protocoles non chiffrés, elle est plus compliquée dans le cas d’échanges HTTPS. Néanmoins, le protocole utilisé par Winnti implique une réponse d’au moins 16 octets à un message HELO, nécessaires pour encoder une clé de chiffrement requise à la poursuite de l’échange. Ainsi, toute réponse de taille inférieure à 16 octets témoigne d’une machine non infectée.
Ainsi, en appliquant ces règles, les chercheurs ont pu établir que toutes les détections identifiées depuis le mois de juillet avaient été de faux positifs causés par la réalisation de scans.
Exploring Emotet, an elaborate everyday enigma (Luca Nagy – @luca_nagy_)
Luca Nagy, nominée pour le prix Péter Szőr (prix décerné par la conférence), nous propose ici un état de l’art du malware Emotet. Ce botnet a été identifié pour la première fois par les équipes de Sophos en 2014, alors qu’il ciblait des banques allemandes et australiennes. Celui-ci a en suite évolué au fil du temps, implémentant des techniques de protection contre les analyses, puis gagnant des facultés de propagation sur les réseaux locaux, et enfin permettant la diffusion d’autres malwares.
Emotet est dans un premier temps déployé par des campagnes de SPAM. Il se propage en suite sur le réseau via le service SMB. Un dictionnaire d’environ 10 000 mots de passe est embarqué à des fins de bruteforce. Un module UPNP permet également la mise en place du port-forwarding sur une liste de ports, qui est identique à celle utilisée pour contacter les serveurs C&C. Enfin, différents malware sont délivrés avec en premier lieu un cheval de Troie bancaire, puis un ransomware. Les groupes identifiés sont les suivants :
- Emotet–TrickBot–Ryuk
- Emotet–Dridex–BitPaymer
- Emotet–Qbot–MegaCortex
De manière plus générale, voici les différentes étapes de l’infection :
- Collecte des informations et des identifiants du navigateur
- Mouvement latéral
- Collecte des carnets d’adresses mail
- Collecte des informations de comptes mails
- Collecte des objets des emails
- Démarrage de la campagne de SPAM
- Mise en place du proxy
- Distribution de malware
Ce malware s’est désormais bien installé dans l’écosystème des botnets. Bien qu’accusant une baisse de régime, celui-ci est revenu sur le devant de la scène depuis le mois de juillet 2019. Un nouveau business model a également été développé au cours de ces cinq années d’évolution, puisque les revenus proviennent maintenant en partie de l’installation de malwares sur les ordinateurs compromis, et non plus uniquement du vol d’information bancaire à son lancement.
Cyber espionage in the Middle East unravelling OSX.WindTail (Patrick Wardle – patrickwardle)
Pour terminer mon retour sur cette seconde journée, je vous propose l’analyse d’un malware visant macOS : Windtail.
Ce travail de recherche fait suite à la présentation du groupe Windshift, par Taha Karim. Bien que les souches n’aient pas été partagées, il a été possible de se servir de la base de données du site VirusTotal et de la fonctionnalité de recherche de fichiers similaires afin d’identifier de nouveaux exemples, non détectés comme malveillant par le service. Une fois ces exemples récupérés, l’analyse de la campagne a pu débuter. Il apparait que l’archive contient une application standard signée, mais dont le certificat a désormais été révoqué par Apple.
La compromission tire parti de deux mécanismes. Le premier vient de l’extraction automatique des archives lors de leur téléchargement par Safari. Le second provient de l’analyse en continu des nouvelles applications installées sur le système. Ce mécanisme, nommé Launch Services Deamon, permet l’enregistrement automatique des URLs pouvant être ouvertes par une application.
Ainsi, le scénario d’attaque repose sur l’ouverture d’un lien diffusé par email. Le navigateur Safari télécharge et extrait l’application contenue dans une archive. Le système analyse de manière automatique ladite application et enregistre le schéma d’URL pouvant être ouvert par cette application. À ce stade, le site initialement consulté n’a plus qu’à appeler une URL spécifique afin de provoque l’ouverture de l’application. Il reste tout de même à l’utilisateur à accepter l’ouverture de l’application.
En termes de capacités, le malware est persistent sur le système. Il s’enregistre dans les éléments lancés lors de l’ouverture de la session et se déplace dans le dossier Library. Il possède des capacités standards de téléchargement de fichier, d’exfiltration, et de suppression automatique.
Une dernière partie de cette présentation s’intéresse à la détection de la menace. Il est possible de détecter l’extraction par Safari, l’enregistrement du schéma d’URL, et l’ouverture de la nouvelle application. La combinaison de ces trois événements devrait lever une alerte. Une solution simple est également de contrôler l’ajout d’applications lancées automatiquement via le monitoring du fichier backgrounditems.btm.
Nous vous donnons rendez-vous dans le prochain numéro de l’ActuSécu pour un résumé complet et détaillé de cette édition !
