Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Botconf 2017 – day 2

CONIX, de retour au Corum de Montpellier pour la suite de cette édition de Botconf ! Le billet d’aujourd’hui portera sur les conférences de cette seconde journée. 

Malware Uncertainty Principle : an Alteration of Malware Behavior by Close Observation par Maria Jose Erquiaga, Sebastián García et Carlos Garcia Garino :

Cette intervenante (qui a travaillé sur le projet Stratosphere IPS) propose d’appliquer peu ou prou le principe d’incertitude d’Heisenberg à l’analyse de malware. Leurs recherches sur l’utilisation du protocole HTTPS par les malwares, ont souligné une évidence. Les malwares utilisent de plus en plus le protocole HTTPS pour ne pas être différenciés par les solutions d’analyse de trafic réseau. Il semblerait que l’utilisation de rupture TLS sur les dit réseaux altère le comportement des malwares en question. Les malwares récents ont, au fil des années, adopté TLS (via HTTPS) pour chiffrer leurs communications.

Le premier cas de différence de comportement avec ou sans rupture TLS présenté est le malware Swrort. Celui ci change radicalement la façon de se comporter lorsqu’il y a une rupture TLS. En plus de ce changement de comportement, il devient beaucoup plus bruyant sur le réseau. Elle présente aussi des résultats similaires concernant Vawtrak ainsi que d’autres souches virales.

Diverses raisons expliquent cela : dans les cas où le malware utilise un protocole particulier, la rupture TLS n’est pas capable d’interpréter le traffic, et donc bloque tout. Les malwares tentent alors de se reconnecter (en boucle, sur d’autre serveurs, d’autres ports etc.). Maria conclut par le fait que ce genre d’interception TLS doit être implémentée avec précaution, car cela fait changer le comportement des malwares et peut avoir des conséquences non prévues.

Malpedia : A Collaborative Effort to Inventorize the Malware Landscape par Daniel Plohmann :

Cette présentation met en avant un projet d’envergure en cours depuis 2 ans : créer un dépôt de malwares correctement inventorié.

Ce travail a commencé à la suite du constat suivant : l’identification de malware est compliquée en partie à cause des multiples noms utilisés par diverses entités. Le but est donc de « cartographier » le monde des malwares. Ceci passe par la représentation de diverses données pour chaque malware : données temporelles, plateformes affectées, familles, versions etc…  le tout de manière accessible (et donc non-packé). Le présentateur oriente ses recherches en favorisant la qualité à la quantité. Ainsi le parti pris est de « réduire » certaines familles, afin de ne garder qu’un sample de chaque famille-version.

Il arrive ainsi a des facteurs de réduction de 4000x pour certaines familles qui présentent beaucoup de samples uniques. Toutes les données insérées tendent à être structurées et actionnables pour divers cas d’usages. L’analyse statique est également favorisée, d’où l’orientation vers un stockage des samples dé-packés.

Malpedia est d’ores et déjà en ligne : https://malpedia.caad.fkie.fraunhofer.de/

Il contient environ 2500 samples de plus de 650 familles.

Place maintenant au Social Event de Botconf et à son lot d’exubérances !

Pour voir le résumé de la première journée : Botconf 2017 – Day 1

Botconf Retour CONIX

By | 2017-12-08T11:39:22+00:00 07/12/2017|Non classé|