Analyse d'un botnet venu du froid

Transcription

1 Sogeti/ESEC Analyse d'un botnet venu du froid 1/47 Analyse d'un botnet venu du froid Damien Aumaitre - damien.aumaitre@sogeti.com Christophe Devaux - christophe.devaux@sogeti.com Julien Lenoir - julien.lenoir@sogeti.com Sogeti/ESEC

2 Sogeti/ESEC Analyse d'un botnet venu du froid 2/47 Sommaire

3 Sogeti/ESEC Analyse d'un botnet venu du froid 3/47 Plan Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse 1 Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse 2 3 4

4 Sogeti/ESEC Analyse d'un botnet venu du froid 4/47 Dénition Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Wikipedia : Le terme botnet désigne un ensemble de machines zombies qui sont exploitées de manière malveillante. Dénition Machines compromises à l'insu de l'utilisateur Un ou plusieurs serveurs de contrôle Piratés ou loués à un hébergeur bulletproof

5 Sogeti/ESEC Analyse d'un botnet venu du froid 5/47 À quoi ça sert? Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Déni de service distribué Spam Fraude aux clics Blackhat SEO (spam indexing) Vol d'informations personnelles

6 Sogeti/ESEC Analyse d'un botnet venu du froid 6/47 Caractéristiques Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Surface mouvante Fast ux DNS Peer to peer ou irc Protocole de communication chiré Exploitation professionnelle Algorithme de génération de noms de domaines (permet de reprendre le contrôle du botnet si les serveurs de contrôle sont fermés) Utilisation de composants réutilisables

7 Sogeti/ESEC Analyse d'un botnet venu du froid 7/47 Botnets les plus importants Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse bots Conficker Kraken Srizbi Rustock Cutwail Storm spams (par jour) apparition octobre 2008 avril 2008 juin 2007 juin 2008 mars 2007 janvier 2007

9 Sogeti/ESEC Analyse d'un botnet venu du froid 9/47 Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Serveur de distribution de malwares "Candy-box" Clé USB Faux logiciel Spam Exploit BOTNET infection LANCEUR MALWARE BOTNET charge utile Machine saine Machine infectée Machine zombie TEMPS

10 Sogeti/ESEC Analyse d'un botnet venu du froid 10/47 Infection Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Plusieurs sources possibles Clés USB infectées Faux programmes (codecs, keygens,...) sur Internet s contenant un malware en pièce jointe Vulnérabilités (exploit pour MS08-067,...) L'installation du malware se déroule souvent en plusieurs étapes

11 Sogeti/ESEC Analyse d'un botnet venu du froid 11/47 Lanceur Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Caractéristiques Petit exécutable, chargé de télécharger le vrai malware Généralement il connait l'adresse de plusieurs Candy-box Plusieurs lanceurs peuvent être combinés (poupées russes) Avantage Utiliser un lanceur permet de modier facilement au cours du temps le malware qui infectera les machines (mécanisme de mise à jour)

13 Sogeti/ESEC Analyse d'un botnet venu du froid 13/47 Analyse d'un PC portable infecté Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse Récupération du malware Infection d'un poste sous contrôle Observation in-vivo du malware Originalité du malware Très artisanal Serveur de contrôle très récent (5 jours au commencement de l'analyse) Patriote

14 Sogeti/ESEC Analyse d'un botnet venu du froid 14/47 Patriotisme... Qu'est-ce qu'un botnet? Comment rejoint-on un botnet? Contexte de l'analyse

15 Sogeti/ESEC Analyse d'un botnet venu du froid 15/47 Plan globale 1 2 Psyche le spammeur Putmuk le voleur de comptes FTP Le banker FakeAlert le fournisseur de scarewares globale 3 4

16 Sogeti/ESEC Analyse d'un botnet venu du froid 16/47 Psyche le spammeur globale Rôle principal Envoyer du spam Actions S'enregistre en tant que service Windows Se cache en utilisant des techniques de rootkit (NtIllusion) Se connecte à un serveur de contrôle Fonctionnement A chaque démarrage de la machine, le malware met à jour sa conguration et lance une campagne de spam

17 Sogeti/ESEC Analyse d'un botnet venu du froid 17/47 Fonctionnement globale Ordinateur Zombie connexion configuration texte à envoyer courriels à spammer Contrôleur SPAMS résultats

18 Sogeti/ESEC Analyse d'un botnet venu du froid 18/47 Protocole de communication globale Protocole Protocole chiré (XOR avec Poshel-ka tina hui drug aver) Deux types de datagrammes (reçu et envoyé) Datagramme reçu Ordre Données chirées relative à l'ordre en question Datagramme envoyé Identiant de machine Identiant de session Données chirées en réponse à l'ordre précédent

19 Sogeti/ESEC Analyse d'un botnet venu du froid 19/47 Ordres reçus globale Ordres 0 : Ping 2 : Exécute un shellcode 6 : Reçoit le texte à spammer 7 : Reçoit le chier de conguration 8 : Reçoit une liste d' s et de serveurs SMTP order number data size encrypted data

20 Sogeti/ESEC Analyse d'un botnet venu du froid 20/47 Ordre 6 : le texte à spammer globale

21 Sogeti/ESEC Analyse d'un botnet venu du froid 21/47 Statistiques globale Statistiques Environ 10 Go de log d' s sur le serveur en 5 jours 1 Go = s uniques Débit spams/heure

22 Sogeti/ESEC Analyse d'un botnet venu du froid 22/47 Putmuk le voleur de comptes FTP globale Rôle principal Déchire les mots de passes stockés par des clients FTP et les exltre Clients FTP ciblés VanDyke SecureFX Ipswitch WS FTP FTPWare CoreFTP FileZilla Rhino Software FTP Voyager Total Commander BulletProof FTP Client GlobalSCAPE CuteFTP...

23 Sogeti/ESEC Analyse d'un botnet venu du froid 23/47 globale Interface d'administration : 995 comptes en attente

24 Sogeti/ESEC Analyse d'un botnet venu du froid 24/47 globale Interface d'administration : vérication des comptes FTP

25 Sogeti/ESEC Analyse d'un botnet venu du froid 25/47 Le banker globale Rôle principal Récupérer des informations bancaires Browser Helper Object (plug-in) pour Internet Explorer BHO 3-en-1 Keylogger Hook des formulaires Injection de champs HTML sur des sites bancaires

26 Sogeti/ESEC Analyse d'un botnet venu du froid 26/47 globale Injection de champs sur les sites bancaires Source : Sergei Shevchenko ThreatExpert Blog

27 Sogeti/ESEC Analyse d'un botnet venu du froid 27/47 Exemple de données exltrées globale [ USERID=KEYSREAD:moncompte [ PASSWORD=KEYLOGGED:monpassword KEYSREAD:monpassword [ The New York Times > Log In is_continue=true URI= OQ= OP= USERID=moncompte PASSWORD=monpassword SAVEOPTION=YES Submit2=Log+In

28 Sogeti/ESEC Analyse d'un botnet venu du froid 28/47 globale Limbo : générateur de BHO banker Générateur du client (le malware) Génération automatique du malware à partir d'un chier de conguration Nombreuses fonctionnalités (Keylogger, injection HTML, capture de données,...) Application serveur Interface d'administration (PHP/MySQL) prête à déployer Collecte des informations exltrées Tri et mise en forme de ces données

29 Sogeti/ESEC Analyse d'un botnet venu du froid 29/47 Limbo 2 : Génération du malware globale

30 Sogeti/ESEC Analyse d'un botnet venu du froid 30/47 FakeAlert le fournisseur de scarewares globale Rôles Faire acheter à l'utilisateur un faux anti-virus Lui voler ses informations bancaires Moyens Simule une infection par plusieurs virus Modie l'achage de sites Web connus pour alerter d'une infection virale Simule des erreurs fatales Windows (Blue Screen Of Death)

31 Sogeti/ESEC Analyse d'un botnet venu du froid 31/47 Exemple globale

32 Sogeti/ESEC Analyse d'un botnet venu du froid 32/47 Exemple globale

34 Sogeti/ESEC Analyse d'un botnet venu du froid 34/47 globale Évolution des protections des binaires Packer UPX UPX UPX / FSG Chiffrement du code Aucun XOR avec un octet Par portions XTEA Chiffrement des chaines XOR avec un octet XOR avec une chaine Opérations diverses avec une chaine Protection Anti-Debug simples Anti-Debug Anti-Dump Anti-Debug Anti-Dump Protection avancée Aucune Anti-Heuristique Anti-VM 2 SEMAINES

36 Sogeti/ESEC Analyse d'un botnet venu du froid 35/47 Statistiques globale Des chires... 2 semaines d'observation spams envoyés Environ 100 nouveaux comptes FTP par jour 2 nouvelles versions de Putmuk 6 mois de conception

37 Sogeti/ESEC Analyse d'un botnet venu du froid 36/47 globale Hébergé par Hivelocity (NOC4Hosts) "Candy-box" (xx ) redirige malwares Log des comptes FTP (xx ) Sites web piratés à partir des comptes FTP volés Sites web piratés pour vendre des pilules SPAMS ordinateur infecté Contrôleur Psyche (xx , xx ,...) SPAMS HGNI Sites web piratés pour stocker les images Log des informations bancaires (xxx ) ordinateur spammé

38 Sogeti/ESEC Analyse d'un botnet venu du froid 37/47 Plan Qui dirige? Bilan comptable Qui dirige? Bilan comptable 4

39 Sogeti/ESEC Analyse d'un botnet venu du froid 38/47 Investigation Qui dirige? Bilan comptable Sources d'informations Les malwares Les serveurs de contrôle (log FTP, contrôleur spam,...) Internet

40 Sogeti/ESEC Analyse d'un botnet venu du froid 39/47 HGNI? Qui dirige? Bilan comptable Fig.: Contenu d'une table SQL sur le serveur de log FTP

41 Sogeti/ESEC Analyse d'un botnet venu du froid 40/47 HGNI? Qui dirige? Bilan comptable last du serveur de log FTP root pts/1 Thu Oct :36-00 :47 (01 :11) maskalev.radiocom.net.ua root pts/0 Thu Oct :10-01 :51 (02 :41) xx.xxx.xxx.xx root pts/0 Fri Oct :27-03 :48 (02 :20) xx.xxx.xxx.xx reboot system boot Wed Oct :31-22 :15 (29+02 :44) root pts/0 Wed Oct :56 - down (03 :33) xx.xxx.xxx.xx root pts/0 Tue Oct :41-14 :52 (00 :11) maskalev.radiocom.net.ua root pts/0 Sun Oct :45-02 :57 (00 :12) xx.xxx.xxx.xx root pts/0 Fri Oct 3 17 :45-20 :38 (02 :53) maskalev.radiocom.net.ua Bannière sur maskalev.radiocom.net.ua 220 This is internal hgni's ftp server

42 Sogeti/ESEC Analyse d'un botnet venu du froid 41/47 HGNI? Qui dirige? Bilan comptable

43 Sogeti/ESEC Analyse d'un botnet venu du froid 42/47 HGNI Qui dirige? Bilan comptable Qui est-il? Une personne (ou un groupe de personnes) nommée HGNI dirige le botnet Caractéristiques Compétences techniques limitées Recrute des développeurs sur le Russian Software Developer Network Prol de managers/investisseurs Contactable facilement par ICQ (ne se cache pas)

44 Sogeti/ESEC Analyse d'un botnet venu du froid 43/47 Plan Qui dirige? Bilan comptable Qui dirige? Bilan comptable 4

45 Sogeti/ESEC Analyse d'un botnet venu du froid 44/47 Vente de spam Qui dirige? Bilan comptable

46 Sogeti/ESEC Analyse d'un botnet venu du froid 45/47 Qui dirige? Bilan comptable Bilan comptable Coûts Développement des malwares Salaires des développeurs Achat de Limbo Accès au distributeur de malwares Location des serveurs Sources de prots Vente de spam Vente de données condentielles Vente de faux anti-virus Utilisation d'informations bancaires volées

47 Sogeti/ESEC Analyse d'un botnet venu du froid 46/47 Ce botnet Plusieurs briques pour maximiser les prots Évolution rapide Artisanal mais plutôt ecace Serveurs de contrôle facilement identiables, mais toujours en ligne Investissement minimal Rapidement lucratif Nous ne sommes pas prêts d'en voir la n...

48 Sogeti/ESEC Analyse d'un botnet venu du froid 47/47 Avez-vous des questions?? Merci de votre attention