Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Botconf 2015

L’équipe Conix était présente pour la troisième édition de la Botconf 2015 en décembre. Après Nantes et Nancy, cette édition s’est tenue à Paris, dans les locaux de Google. Une ambiance aux couleurs de notre hôte, une belle et grande salle pour l’ensemble des participants.

Les sujets étaient toujours aussi passionnants ! En passant par la keynote d’Europol sur la lutte contre Shylock, l’étude de Ponmocup avec l’équipe de FOX IT ou encore la présentation du malware Andromeda avec Jose Miguel Esparza.

Un sujet d’actualité, les botnets mobiles, nous a particulièrement intéressé : « Whose phone is in your pocket ? ».

Prenant de plus en plus d’ampleur, les botnets mobiles sont un sujet d’actualité et loin d’être dépassé comme nous l’explique Mikhail Kuzin et Nikita Buchka du Kaspersky Lab. La première surprise est l’annonce des statistiques liant malwares et plateformes Android. Plus de 1,5 million d’applications malveillantes détectées au troisième trimestre 2015. Environ 50% des applications  malveillantes sont des AdWare affichant de la publicité lors de leur utilisation, parfois (plutot « constamment » car un Adware sans trojans c’est pas grand chose)  incluant des trojans. La plupart des attaques utilisent les privilèges root pour arriver à leur fin.

L’équipe nous explique que le modèle de sécurité d’Android repose sur trois principes :

  • Sandboxing
  • Permissions (root)
  • Read Only system partition

 

Les privilèges root sont obtenus grâce à l’exploit d’une vulnérabilité sur le système Android, plutôt simple sur les anciennes versions. L’application lance ensuite « zygote », un daemon ayant pour but de lancer d’autres applications (par exemple, un code malveillant) :

  • Il reçoit une requête demandant le lancement d’une application via /dev/socket/zygote. À chaque demande de lancement, il effectue un fork()
  • Au fork(), le système créé un clone du processus, un processus enfant qui est une copie complète d’un processus parent
  • En dépit des performances, c’est aussi un moyen pratique pour les logiciels malveillants de s’injecter dans chaque application sous Android

 

Et donc pour l’installation du malware, il faut :

  • Obtenir des accès Root (kernel root exploit)
  • Monter la partition système en read-write (# mount -o remount,rw /system)
  • Installer l’apk malveillant (# cat /mnt/sdcard/Download/Malware.apl > /system/app/Malware.apk)
  • Remonter la partition système en read only (# mount –o remount, ro /system)

 

Grâce à cette méthode, les cybercriminels sont capables de créer leurs propres réseaux de publicité basés sur les botnets présents sur les plateformes Android. En plus des publicités, ils peuvent installer n’importe quelle application sur l’appareil.

L’équipe du Kaspersky Lab nous montre différentes méthodes de distribution de malware comme, par exemple, les stores « tiers », mais pas seulement, nous retrouvons des terminaux Android déjà infectés, vendus par des « Top-rated Seller » sur certains sites en ligne.

Cependant, les Adware ne suffisent pas toujours et d’autres codes malveillants entrent en jeu. L’exemple concret est Triada (Backdoor.AndroidOS.Triada.a), un malware à l’architecture complexe, loin d’être simple à détecter et supprimer.

La partition système étant en read only, il est presque impossible de le supprimer, mais il existe quelques solutions :

  • « Rooter » l’appareil afin de supprimer l’application manuellement
  • « Flasher » le firmware de l’appareil

 

Les botnets mobiles ne sont pas la seule évolution en cours. L’évolution et la généralisation des objets connectés nous laissent entendre que nous verrons de nouveaux botnets toujours aussi complexes dans les années à venir.

Encore félicitation à Eric Freysinnet et l’ensemble de son équipe pour l’organisation parfaite de cette nouvelle édition de la Botconf 2015 et à l’année prochaine pour de nouvelles aventures avec l’alliance internationale de lutte contre les botnets.

L’ensemble des informations sont disponibles sur le site de la Botconf.

By | 2017-04-11T11:23:47+00:00 11/01/2016|Conférences|