Botconf 2017 – la conférence dédiée à la lutte contre les botnets
La botconf est une conférence dédiée à la lutte contre les botnets. Un botnet est un ensemble de machines infectées par un virus, contrôlées à distance par un pirate appelé botmaster via un serveur de commande et contrôle (C&C).
La botconf invite des conférenciers du monde entier qui exposent leurs méthodes mises en œuvre pour se défendre contre ces réseaux de machines infectées, sur la meilleure manière d’analyser des codes infectieux et sur les méthodes permettant de se protéger contre ces virus. Certaines conférences s’intéressent également aux aspects légaux de cette lutte. Cette manifestation se déroule la première semaine de décembre et cette année, pour sa cinquième édition, elle a eu lieu à Montpellier.
L’agenda est dense, puisqu’en trois jours, une trentaine de conférences sont présentées. Nous les avons organisées en trois grandes catégories.
1 : Tout d’abord les conférences qui permettent de mieux connaitre les botnets.
Cela passe par des analyses de configuration, d’infiltration de botnets, et de recherche du but visé par les attaquants : qui sont-ils, et pourquoi cherchent ils à créer ces botnets?
2 : La seconde catégorie de conférence est liée à l’aspect défense, sur les meilleurs mesures et contre-mesures à prendre pour éviter d’avoir des machines de son réseau infectée par un virus qui ira grossir les rangs d’un botnet.
3 : Enfin, la troisième catégorie regroupe les suites d’une défense contre ces bot.
Elles sont soit juridiques, soit techniques par des analyses post-mortem comme celle de Wannacry, Nyetya ou encore Nymaim. A noter qu’une des conférences était placée sous le signe TLP : AMBER, interdisant de communiquer publiquement sur le sujet.
Mieux connaitre son ennemi
La première catégorie de ces conférences permet de comprendre à quoi servent les botnets.
Pourquoi des informaticiens s’intéressent-ils à infecter des machines? La réponse n’est pas unique. Classiquement, certains intérêts sont financiers : les pirates vont chercher à faire chanter leurs victimes, à leur extorquer de l’argent ou à leur voler des identifiants de connexion (Facebook, Gmail, bancaires, etc… PWS, Common, Ugly but Effective).
Le talk « Get Rich or Die Trying » montre par exemple un pirate (peu doué) qui a réussi l’exploit de s’infecter lui même avec un virus dont les analystes ont pris le contrôle !! Ils ont eu accès à la machine du pirate et présentent une plongée intéressante (et amusante) dans les buts visés par ces infections.
D’autres s’ingénient à revendre les adresses IP de leurs victimes comme points de sortie sur internet à d’autres pirates : ainsi, si le pirate est traqué, c’est l’adresse IP de la victime qui sera coupée ou qui se fera inspecter par les autorités, offrant une impunité au pirate (SOCKs as a Service and Botnet Discovery).
Les botnets sont difficiles à mesurer en nombre de machines infectées, les botmasters ne divulguant pas de statistiques publiquement. Toutefois, après analyse de leurs protocoles de communication, certains chercheurs ont pu se faire enrôler et ont commencé à observer l’étendue de certains ensembles : cela dépasse plusieurs millions de machines ! (Exploring a P2P Transient Botnet – From Discovery to Enumeration et Use Your Enemies : Tracking Botnets with Bots). Le SPAM que vous recevez quotidiennement dans votre boite mail est envoyé (entre autre) par des botnets, comme on peut s’en douter : un pirate s’appuie sur des milliers de machines pour envoyer des millions de mails à bas coût rapidement. Necurs (Malware, Penny Stocks and Pharma Spam – Necurs Deliver) serait responsable d’une grande partie du SPAM émis sur internet.
Des malwares ciblant les machines Android ont été décortiqués afin de permettre aux analystes de comprendre leur raison d’être. L’un deux vole des tokens de sessions et a obligé Google à resetter 1 million de comptes, leur donnant un bon exercice de communication (Hunting down Gooligan), et l’autre vole des identifiants bancaires (The New Era of Android Banking Botnets), ce qui confirme l’intérêt des pirates pour cette plateforme.
Un moyen de se rendre compte du dynamisme du marché du botnet est de constater qu’il existe des publicités sur youTube vantant les mérites d’un keylogger (enregistreur de frappe volant les mots de passe). Verra-t-on bientôt des publicités papier dans les magasines ?
Se défendre des botnets
La seconde catégorie de conférences permet de voir des chercheurs luttant activement contre ces botnets. Cette année une tendance se dégageait, qui tente d’expliquer comment se défendre contre un adversaire possédant des ressources immenses. La keynote d’ouverture de la botconf expliquait comment trier rapidement en grandes familles des *millions* de malwares afin que l’analyste puisse travailler sur les souches communes et ne pas se perdre en analyses redondantes (How to compute the clusterization of a very large dataset of malware with Open Source tools for Fun & Profit ?).
Concernant également ces malwares, un conférencier a présenté malpedia, l’encyclopédie des malwares. Paradoxalement, il n’est pas si simple de trouver des malwares, récents ou anciens car les pirates tentent de se cacher de plus en plus. Les chercheurs sont obligés de demander entre eux, de placer des honeypots ou d’espérer trouver une machine infectée. Malpedia répond à ce besoin (Malpedia: A Collaborative Effort to Inventorize the Malware Landscape) et pourrait correspondre au Wikipedia des malwares.
Une autre conférence traitait du problème qu’avait OVH. En tant que fournisseur Cloud, certains botnets achètent, détournent ou infectent des machines d’OVH pour lancer des dénis de service distribués, parfois même contre OVH lui-même. Des méthodes ont été développées pour détecter très rapidement les nouvelles versions d’outils de déni de service, et surtout leur serveur central (Command & Control : C&C) pour qu’OVH puisse blacklister les C&C le plus rapidement possible (Automation of Internet-of-things Botnets Takedown by an ISP). A l’échelle des FAI, un fournisseur de service DNS montre comment analyser les noms de domaines en temps réels (100 milliards de requêtes par jour !). Ils sont également capables en temps réel de détecter les variantes de domaines générées par les virus pour les bloquer avant que le virus ne reçoive des ordres de son C&C (Math + GPU + DNS = Cracking Locky Seeds in Real Time without Analyzing Samples et Augmented Intelligence to Scale Humans Fighting Botnets).
Encore dans l’analyse et la détection, le CERT japonais a effectué une compilation des travaux de recherches et mené leurs investigations sur les méthodes utilisées par les attaquant pour se déplacer dans un réseau infecté. Ils ont été capables d’en extraire des artefacts réseaux et des traces d’exécution prouvant une infection (Hunting Attacker Activities – Methods for Discovering and Detecting Lateral Movements).
Toujours dans la détection, nous avons entendu parler de RTF, document Rich Text Format, utilisé par Wordpad sous Windows, mais qui peut se lire avec Word. Ce format offre un grand champ d’attaques aux pirates car il est peu analysé, et des failles existent : un set spécial de règles Yara (analyse de fichiers) permet de vérifier la qualité et l’innocuité du document (Formatting for Justice : Crime Doesn’t Pay, Neither Does Rich Text).
Une analyse a montré qu’il existe un pourcentage élevé de sites webs qui tournent sous WordPress (5% ce qui est beaucoup). Les pirates s’y intéressent donc fortement, mais seulement en testant des combinaisons de login et mot de passe faibles (Knock Knock… Who’s There? admin admin and Get In! An Overview of the CMS Brute-forcing Malware Landscape). La solution est simple ! Protégez vos pages de connexion, mettez des mots de passe forts.
Un autre chercheur à montré comment il a mis en place une infrastructure de détection de sites webs infectés par des malwares (KNIGHTCRAWLER, « Discovering Watering Holes for Fun and Nothing »).
Enfin, une conférence a présenté les progrès d’Android pour le durcissement toujours plus fort du système et de la résistance aux attaques (Thinking Outside of the (Sand)box).
Dans la partie « outils utiles aux analystes », RetDec, un nouveau décompilateur qui vient de passer opensource est présenté. Il ne veut pas remplacer hexrays d’IDA, mais le compléter (RetDec: An Open-Source Machine-Code Decompiler).
Juridique et post-mortem
Dans la troisième catégorie de conférence, une seule parlait des aspects légaux (ce qui est moins que d’habitude). Cette conférence rappelait qu’il est illégal de s’attaquer aux attaquants et qu’un chercheur peut croiser des volumes importants de données personnelles, ce qui est encore une fois contraire à la loi et protection des citoyens. Il est dès lors nécessaire de s’associer avec les services légaux (A Silver Path : Ideas for Improving Lawful Sharing of Botnet Evidence with Law Enforcement).
Côté retours d’expérience, nous avons pu voir la genèse de Wannacry car ce n’est pas le virus d’un seul week-end. Une première version avait été détectée des mois avant l’attaque massive, et d’autres versions dérivées continuent d’infecter des postes sur internet (The (makes me) Wannacry Investigation). Le cri du coeur du présentateur : « Please, patch ! «
Il y a quelques mois, le virus Nyetya a infecté la majorité des postes en Ukraine et l’orateur a expliqué comment ils ont investigué le cas (Nyetya Malware & MeDoc Connection). Les analystes ont du couper Twitter car ils ne recevaient que du bruit et des informations non sourcées pendant la durée de l’analyse ce qui ne les aidait pas.
Un autre virus a été entièrement disséqué (YANT – Yet Another Nymaim Talk). Une conférence très technique, avec énormément d’assembleur à l’écran, ou l’on voit que l’auteur du virus parvient avec le même code machine à se faire exécuter par un CPU 32 bit et 64 bit, et détecter son architecture par du code polyglotte (Polyglot machine code fragment that detects 64bit mode at run time) !
Un autre aspect édifiant concerne l’utilisation de la Heaven’s Gate, du code 64 bit exécuté par le noyau Windows alors que le programme est 32 bit, contournant de cette façon les outils d’analyse et les antivirus !
Un autre talk a également présenté la dissection d’un malware extrêmement discret qui officie depuis 2012 (Stantinko : A Massive Adware Campaign Operating Covertly Since 2012) et qui réussit à échapper aux mains des analystes car il préfère ne pas s’exécuter lorsqu’il détecte un environnement d’analyse.
Conclusion
Ces trois jours sont donc riches en apprentissages et permettent de se rendre compte que les malwares ne sont pas seulement des petits bugs qui gênent l’utilisateur. Il s’agit de réseaux maffieux pour certains, d’espionnage d’états pour d’autres, ou encore des fraudes financières. La lutte s’intensifie, les pirates évoluent eux aussi, montrant que ce tracking est efficace. S’il ne fallait garder qu’un seule chose de ces trois jours, ce serait le « Please patch » de la conférence sur Wannacry. En effet, le patch existait depuis plusieurs mois lorsque l’attaque a débuté…
L’année prochaine, la conférence se déroulera à Toulouse, première semaine de Décembre. Nous y serons !