Wavestone était présent la 9ème édition de la conférence de sécurité québécoise « Hackfest » qui a cette année rassemblé plus d’un millier de participants et où Thomas DEBIZE de la practice Cybersecurity & Digital Trust a eu la possibilité de présenter les travaux autour de la sécurité Hadoop (Wavestone-Hackfest-2017-Hadoop-safari-Hunting-for-vulnerabilities-v1.0.pdf)
Nous vous proposons ci-dessous un compte-rendu d’une sélection de talks.
Les vidéos associées seront prochainement publiées sur la chaine Youtube de la conférence disponible à l'adresse suivante : https://www.youtube.com/user/hackfestca/videos.
Nous tenons à remercier les organisateurs pour leur accueil chaleureux et l’ambiance détendue pour notre première participation, et qui nous l’espérons, ne sera pas la dernière !
Stantinko : Un botnet aux multiples facettes opérant depuis plus de 5 ans - Matthieu Faou & Frédéric Vachon
Les deux chercheurs de la société ESET ont détaillé un écosystème de malware affilié à un botnet important d’au moins 500 000 machines nommé « Stantinko » visant plusieurs objectifs :
- Détourner le trafic Web des victimes en les faisant passer par une régie publicitaire (click-fraud)
- Trouver et compromettre des CMS Wordpress et Joomla en distribuant des tentatives d’authentification sur les interfaces d’administration
- Installer un outil d’accès à distance sur les postes des victimes
- Piéger les comptes Facebook des victimes
Ce botnet vise uniquement les pays russophone dont entre autres la Russie, l’Ukraine, l’Azerbaidjan et la Géorgie.
La grande particularité de ce botnet est le soin très méticuleux apporté au développement des différents malwares impliqués par leurs auteurs, soin qu’il est courant de retrouver au sein de campagnes APT et non d’à-priori « simple » adware :
- Les fonctions malveillantes sont insérées au sein de codes légitimes de projets open-source, telle que l’encodeur audio MP3 « Lame », l’encodeur vidéo « VP9 » ou encore une bibliothèque d’analyse de radiographies neurologiques. Cette pratique augmente sensiblement la probabilité de non-détection par les éditeurs anti-malwares, dans la mesure où le rapport code malveillant / code légitime est minimal et qu’il n’est pas courant de voire de telles bibliothèques utilisées dans des attaques
- Les serveurs de commande et contrôle (C2) servent les véritables pages Web de description des projets open-source utilisées, les liens de ces pages pointant vers les dépôts officiels
- Les malwares sont packés avec la solution VMProtect, solution complexe virtualisant le code original et pour laquelle il n’existe pas d’outil d’unpacking générique
- Les malwares des différentes étapes (stage 1, 2 etc.) sont hébergés sur Yandex avec un lien à usage unique, complexifiant encore une fois le travail des analystes anti-malwares désireux de récupérer des échantillons
- Les malwares mettent en œuvre de multiples protections anti-debug et anti-détection, dont par exemple l’usage de clé de chiffrement unique pour la communication avec le C2, le stockage de code malveillant au sein du registre Windows, ou l’utilisation de control-flow flattening (cf. image ci-après) visant à applatir la structure d’exécution et ainsi complexifier grandement l’analyse
L’infection initiale par ce botnet passe par le téléchargement d’un logiciel « FileTour » promettant notamment à ses utilisateurs de leur délivrer des coupons de réduction…et cette promesse est tenue, des coupons fonctionnels sont véritablement délivrés aux utilisateurs.
Cette caractéristique, couplée à la sophistication des malwares, traduit le fait qu’un groupe très compétent et très organisé est derrière ce business très rentable de la fraude à la régie publicitaire.
Enfin, les chercheurs ont souhaité informer qu’une version Linux de cet écosystème a récemment été découverte et est pour l’instant limitée à l’injection d’un module de proxy SOCKS sur les machines victimes.
How To Pwn an Enterprise in 2017 (or 2016, or 2015...) - Johnny Xmas
L’auteur de ce talk a dressé une liste de différentes étapes, qui fonctionnent malheureusement à tous les coups selon lui, pour s’introduire et compromettre à distance le SI d’une entreprise :
- Pour la phase de reconnaissance :
- La cartographie des actifs sur Internet, par exemple via l’outil « Scancannon » (https://github.com/johnnyxmas/ScanCannon)
- La récupération de noms d’utilisateur, pour mener une attaque par bruteforce sur les infrastructures communes telles qu’un VPN ou un webmail
- Via le site hunter.io
- Via l’outil FOCA, en analysant les métadonnées de documents trouvés sur Internet
- Pour la phase d’exploitation
- L’utilisation de mots de passe triviaux : <mois><année>, <saison><année>, Password1 etc.
- L’utilisation de l’outil « mailsniper » permettant d’attaquer les WebServices Exchange (EWS), l’auteur rappelant que ces WebServices ne requièrent pas d’authentification forte même si celle-ci est déployée sur le webmail
- L’utilisation de l’outil « fiercephish » pour réaliser facilement une campagne de phishing
- Pour la phase de post-exploitation, c’est-à-dire une fois l’attaquant positionné sur le réseau de l’entreprise
- L’utilisation de l’outil « Responder » pour intercepter des requêtes d’authentification et récupérer des hashes utilisateur
- La réalisation d’attaque par bruteforce sur les services SMB et WMI
- L’utilisation des outils « Bloodhound », « Mimikatz », « Empire » et « Deathstar » pour facilement localiser des comptes possédant des privilèges d’administration du domaine/forêt, et récupérer les authentifiants associés
SniffAir: An Open-Source Framework for Wireless Security Assessments - How To Pwn an Enterprise in 2017 (or 2016, or 2015...) - Matthew Eidelberg & Steven Daracott
Cet outil open-source facilite la collecte, la manipulation et l’analyse de traces Wi-Fi ainsi que la réalisation d’attaque sur les réseaux sans-fil tel que le bruteforce de nom d’utilisateur pour les réseaux utilisant EAP-TLS ou l’instanciation d’un point d’accès malveillant avec portail captif.
Full-contact recon: winning without exploits - Dual Core
Dans la même lignée que le talk de Johnny Xmas, l’auteur a voulu ici lister les différentes méthodes permettant d’obtenir des informations permettant de s’introduire sur un SI d’entreprise, sans même effectuer un scan de port ou de vulnérabilité sur celle-ci, et ainsi minimiser la probabilité de détection.
En guise d’introduction, l’auteur a relaté une anecdote où il récemment pu s’introduire sur le SI sans même envoyer un paquet sur ses infrastructures d’une société en découvrant le nom d’un administrateur IT, en repérant son profil LinkedIn et en cassant son mot de passe via les dumps LinkedIn de 2013 et 2016. Le mot de passe cassé a été rejoué sur un serveur SSH exposé sur Internet et a permis d’obtenir instantanément les droits root sur la machine cible, ainsi que toutes les autres du SI.
Les plateformes et outils suivants ont été cités :
- GeoIP et PTRarchive.com, pour obtenir les plages IP et domaines publiques d’une entreprise
- Sublist3r, pour énumérer les sous-domaines
- Shodan, pour identifier les services exposés
- Github, pour collecter les adresses mail de collaborateurs de l’entreprise. Une démo de l’outil « githump » a été réalisée
- Travis-CI, pour également collecter les adresses mail de collaborateurs
- emailformat.com, pour lister les formats possibles de nom d’utilisateur sur un webmail
- allmytweets.net, pour collecter diverses informations par un twittos
- LinkedIn et notamment ses dumps de base de données volés
- Des wikis d’entreprise, par exemple Atlassian, qui contiennent souvent des authentifiants
- AWS S3, à la recherche d’éventuels buckets en lecture à tout le monde
BITSInject - Dor Azouri
Le service “Background Intelligent Transfer Service (BITS)” de Windows est un système d’ordonnancement d’envoi/réception de fichier, notamment utilisé par Windows Update.
L’auteur a détaillé ici une faille qui permet à un attaquant disposant de privilèges d’administration sur une machine d’obtenir une invite de commande avec les privilèges « NT SYSTEM/AUTHORITY », permettant ainsi d’atteindre à la traçabilité des actions :
Microsoft a jugé qu’un attaquant disposant au préalable de privilèges d’administration pouvait faire beaucoup plus de dégâts sur un système, que cette faille n’apportait ainsi pas grand-chose et qu’elle n’allait pas être corrigée.
Genetic Algorithms for Brute Forcing - Christopher Ellis
Effectuer une attaque par bruteforce peut être réalisée suivant plusieurs méthodes dont entre autres :
- L’énumération exhaustive d’un espace de possibilité
- L’utilisation d’un dictionnaire, réduisant l’espace total à des cas déjà connus
- L’utilisation de propriétés statistiques via les chaines de Markov, qui permettent de construire une liste de candidat basée sur la probabilité qu’un caractère en suive un autre. Par exemple dans la langue française, il est fort probable d’avoir un « e » ou « a » (et plus globalement une voyelle) après un « n » (et plus globalement après une consomme), plutôt qu’un « b »
L’auteur a présenté ici une méthode de bruteforce basée sur un algorithme d’évolution génétique, ayant pour principe que les candidats potentiel sont construits suivant le succès des tentatives précédents. Les futurs candidats calquent ceux ayant été précédemment fructueux. Par exemple, si pour le cassage d’une base de mot de passe, le motif « 4 caractères alphabétiques + 2 caractères numériques » est fructueux, l’algorithme va naturellement se concentrer sur celui-ci au détriment des autres possibilités.
L’auteur a publié le code de son outil : https://github.com/ChrisJoinEngine/GAForcer
Dissecting a metamorphic file-infecting ransomware – Raul Alvarez
Le chercheur de la société Fortinet a détaillé le ransomware « Virlock » qui possède la caractéristique d’être polymorphique, en réécrivant sa charge malveillante après chaque exécution, complexifiant ainsi la détection par les solutions anti-malwares. La charge est en effet déchiffrée avec la clé précédente, exécutée, puis re-chiffrée avec une nouvelle clé générée aléatoirement.
Élection présidentielle Française 2.0 – Damien Bancal
Le journaliste du site ZATAZ est revenu sur les attaques de déstabilisation informationnelle ayant eu lieu tout au long de la campagne de l’élection française présidentielle 2017, en insistant sur les vulnérabilités des sites/blogs des candidats, les fuites de données recensées et la lutte médiatique sur les réseaux sociaux.
Lessons learned hunting IoT malware – Olivier Bilodeau
Le chercheur a détaillé ici les étapes et écueils pour analyser des attaques sur des composants IoT à l’échelle d’Internet, au moyen de honeypots, à travers trois cas d’études : LizardSquad, Linux/Moose et Chaos.