Compte-rendu de la conférence Botconf 2022

Botconf est une conférence créée en 2013 pour lutter contre les botnets. Cependant, elle traite plus généralement de la lutte contre les malwares et les cyber-attaques (cybercriminelles aussi bien qu’étatiques). Même si elle se déroule en France  (dans une ville différente chaque année),c’est une conférence anglophone qui réunit tous les acteurs mondiaux du domaine. Sont intervenus cette année (par ordre d’apparition) : ProDaft, Group-IB, ESET (3 fois), Trend Micro, Flashpoint, NTT (Japan), BlueLiv, Avast, Alibaba Cloud, Imperva, CheckPoint Research, Kaspersky, CrowdStrike, Human, Akamai, Intel471 et ThreatRay.

300 personnes étaient présentes à Nantes du 27 au 29 avril. Le programme, les supports de présentation et les enregistrements vidéo des sessions sont disponibles sur le site de la conférence.

Aperçu général

Beaucoup des présentations étaient cette année dédiées à l’étude de malwares de type « Loaders », et les « Loaders » suivants ont été présentés : Qbot, PrivateLoader, SmokeLoader, SilentNight (Zloader), Cyax-sharp. Les Loaders sont des malwares qui infectent des milliers d’ordinateurs (formant ainsi un botnet de machines infectées) puis vendent à d’autres, le service d’installation d’un malware sur ces ordinateurs. Les autres malwares qui ont été présentés sont: Formbook (un InfoStealer), Sysrc (un mineur), Winnti (un RAT) et RTM botnet.

Nota : le terme de Loader est aussi utilisé pour décrire l’étape d’une infection qui consiste à installer la charge utile d’un malware, mais ce n’est pas ce sens que nous utilisons ici.

Au cours des présentations, il a été souvent mentionné les InfoStealers : il s’agit de malware spécialisés dans le vol de données (en particulier le vol de login et de mots de passe). Les InfoStealers les plus cités ont été : Vidar, Racoon, AZORult, Taurus, Redline et Formbook.

D’autres présentations ont été consacrées à des groupes d’attaquants : TA410 (et les sous-groupes JollyFrog, FlowingFrog et LookingFrog), Gambling Puppet, Sandyblacktail ainsi qu’une revue de tous les groupes ayant utilisé l’attaque ProxyShell dans Exchange (présentation d’ESET intitulée « ProxyChaos »).

Dans la suite de ce compte-rendu, nous parlons de 3 autres présentations qui nous ont particulièrement intéressées.

Fingerprinting Bot Shops: Venues, Stealers, Sellers (Flashpoint)

En 2018 est apparu sur Internet au nouveau type de "boutique" pour les cybercriminels : les Bot Shops (aussi appelé Log Shops) : plutôt que de vendre simplement des identifiants volés (des couples login et mots de passe), le Bot Shop vend un ensemble complet de « Log » volés sur une machine : les identifiants, les cookies, mais aussi les caractéristiques techniques de la machine (résolution d’écran, CPU, RAM). Cette panoplie d’informations permet à l’acheteur de se faire passer pour l’ordinateur de la victime, de contourner des protections anti-fraude (les outils de détection de bots) et même dans certains cas de  contourner l’authentification MFA (le CERT-FR vient de publier sur ce sujet la note CERTFR-2022-CTI-005).

Les Bot Shops sont particulièrement actives depuis 2021. Les plus connues sont : Genesis, Russian Market, 2Easy et Amigos. Parmi les acteurs de second rang, on peut citer aussi : DarkLog, TopCCWorld, MouseInBox, RossLog.

Nota : Cet article de BankInfoSecurity.com explique de manière plus détaillée, le principe des Bot Shops.

Detecting Emerging Malware On Cloud Before VirusTotal Can See It (Alibaba Cloud)

Cette présentation part du constat qu’il existe de multiples variantes d’un même malware et que très souvent un service comme VirusTotal ne connait pas ces variantes alors qu’il a déjà analysé un exemplaire de la même famille de malwares. Pour combler ce manque, Alibaba Cloud a créé une base de données qui contient les fuzzy-hashes des binaires rencontrés. Un fuzzy-hash (par exemple « ssdeep ») est un hash cryptographique qui est construit pour que 2 binaires qui se ressemblent aient des fuzzy-hash proches. Si certains des binaires de la base de données sont connus comme malveillants par VirusTotal alors les binaires ayant un fuzzy-hash proche sont sans doute aussi malveillants.

La base construite par Alibaba Cloud contient de l’ordre de 100 millions de fuzzy-hashes. Elle permet d’augmenter la détection qu’une solution comme VirusTotal propose.

Jumping The Air-Gap: 15 Years Of Nation-State Efforts (ESET)

ESET a fait une étude historique des malwares conçus pour exfiltrer les données d’un système isolé (non interconnecté au réseau d’entreprise). Il en a identifié 17, le plus ancien (nommé USB-Stealer) datant de 2005. Malgré toutes les méthodes déjà documentées pour réaliser une exfiltration par-dessus un air-gap, les seules trouvées réellement dans des vraies attaques sont des exfiltration au moyen de clés USB.

Dans ce cas, deux problèmes sont à résoudre :

• Comment infecter avec une clé USB le système interne ? Cet aspect est assez classique et repose par exemple sur l’utilisation d’une vulnérabilité (cf. la CVE-2010-2568 de Stuxnet), ou par le remplacement des documents authentiques sur la clé par des documents piégés.
• Comment cacher les documents à exfiltrer sur la clé USB (sans qu’ils soient visibles) pour les envoyer vers le système externe ? Une des techniques qui a déjà été utilisée est de créer des anomalies dans le file-système de la clé USB pour rendre invisible certains fichiers ou répertoires.

A l’occasion de la session de questions réponses de cette présentation, un des auditeurs a proposé un système de détection des tentatives d’exfiltrations de données via clé USB. Le principe est d’analyser la clé USB sur une station de contrôle (sous Linux), avant et après qu’elle soit branchée sur le système air-gapped, pour détecter et signaler à l’opérateur les fichiers cachés.

Conclusions

Botconf 2022 était une des premières conférences sécurité en présentiel après 2 ans de COVID ; les participants ont été au rendez-vous. La fréquentation a été équivalente à la conférence de Bordeaux fin 2019 et visiblement tout le monde était content de se retrouver pour cette édition 2022. Deux présentations avaient néanmoins été préenregistrées puisque les orateurs n’ont pas pu se déplacer du fait de restrictions sanitaires. La prochaine édition de la Botconf a été annoncée : elle se déroulera à Strasbourg en avril 2023.

Pour plus d’informations

Voici les autres comptes rendus qui ont été publiés à propos de la Botconf 2022

• https://blog.rootshell.be/2022/04/27/botconf-day-1-wrap-up/
• https://www.n0secure.org/2022/04/botconf-2022-j1.html
• https://blog.xmco.fr/botconf-resume-du-27-avril/