S0obi's Blog

[Tumblr] - Parce que je le vaux bien

2011-05-17T09:59:00.000-07:00

Salut,

J'annonce que j'arrête d'entretenir ce blog (qui se fait bien vieux et sale) pour passer à tumblr, toujours sur les mêmes thèmes : sécurité, informatique et malware. Même si c'est pas forcément adapté pour ce genre de thème, je trouve le service extrêmement pratique et bien plus adapté aux billets que je voudrais faire partager.

L'adresse : http://s0obi.tumblr.com/

J'ai activé les commentaires pour que ça reste entre le blog conventionnel et le microblogging ;)

@+

[Info] - Le challenge SSTIC, c'est bientôt fini !

2010-05-26T05:02:00.000-07:00

Y0,

Cette année les organisateurs du célèbre évènement réunissant les acteurs de la sécurité informatique, nous proposaient un défi des plus original et passionnant :
Decortiquer le dump mémoire d'un téléphone Android stocké dans une archive 7z pour retrouver un mail; les pièges, les fausses pistes étaient de la partie et ce défi presque forensic a dû en occupé plus d'un !

Les actuels gagnants sont évidemment les grands m4nit0u de la sécurité, notamment Nicolas Ruff (aka news0ft) qui se voit classer 5ème (remarquons le fait que la majorité des gagnant taff chez EADS).

Les retardataires n'auront que jusqu'à ce soir 23h59 pour envoyer leurs réponses.

Prochain évènement, le concours crackme organisé par ESET; c'est à mon avis la rapidité qui va primer !

[Study] - An ugly Rogue

2010-03-26T08:37:00.000-07:00

Hep,

Que faire quand on a une après-midi de libre devant soi à cause d'une laryngite (c'fragile un geek), un PC et un rogue magnifique tout droit sorti de l'antiquité ? Reverse \o/

Merci à S!RI pour la découverte de ce joujou.

Le dropper a un détection correcte sur VT :

Fichier securityupdate.exe reçu le 2010.03.26 13:43:56 (UTC)
Résultat: 12/41 (29.27%)

Packed with UPX

Le dropper va tranquillement installer 2 modules :

SHR C:\WINDOWS\chnb8895.exe <= Modificateur de clef de registre
SHR C:\WINDOWS\000b09274b.exe <= Interface

Commençons par 000b09274b.exe c'est l'interface, écrit en VB, ça sent déjà l'originalité :]
L'interface est sobre et sans fioritures :

On se demande un peu comment l'infection est concrètement monétisée, mais on a vite la réponse, après avoir cliqué sur "Get a key" :

Le bonhomme veut simplement que vous lui envoyiez 5$ sur son mail
De toute manière quelque soit la clef entrée le programme n'est pas fait pour une quelconque "désinfection", comme le prouve cette routine :

Tout ce petit monde est simplement démarré à partir de deux clefs run :

O4 - HKCU\..\Run: [avguard3876] C:\Windows\000b09274b.exe
O4 - HKCU\..\Run: [avagent3974] C:\Windows\chnb8895.exe

Puisqu'on est lancé, on va un peu étudier ce que modifie chnb8895.exe, on fait vrombir le debbuger et on observe :

Ce comportement est observé pour les programmes suivants :

notepad.exe
iexplorer.exe
taskgmr.exe
rundll32.exe
mbam.exe
wordpad.exe
mspaint.exe (exemple)
freecell.exe
limewire.exe
itunes.exe
wmplayer.exe

L'ajout de ces clefs va avoir pour effet d'attacher c:\78gbc8r.exe lors de l'exécution de ces programmes, comme ci après :

Plutôt subtil pour un malware de cette envergure.

Remarque : Ce module vérifie aussi que les clefs run soit bien en place.

Voilà un des rares cas de "rogue" créer à priori par une seul personne, pas trop cupide (5$) mais pas vraiment talentueuse :=)

[Info] - FP BitDefender

2010-03-20T12:57:00.000-07:00

y0,

Grosse vague de victimes de faux positif BitDefender (vers 19h) avec une détection Trojan.Fake alert.
L'antivirus détecte des fichiers système sains et les supprime/quarantine sur ordre de l'user.

Gof a signalé le problème sur le forum de BitDefender.

A suivre.

Edit [Suite & Fin] : Les fix ont été publié par l'éditeur pour restaurer la quarantaine; l'éditeur précise également qu'un geste commercial sera adressé aux victimes (1 an d'abonnement gratuit ?).
Précisons enfin, que comme à chaque évènement un peu médiatique, une campagne de SEO poisoning surf sur cet incident en proposant de faux fix.

[UPDATE] - Study about GibMedia

2010-01-26T09:26:00.000-08:00

Une étude sur le malware devenu courant sur les forums : Gibmedia.

Étude au format PDF :

Etude d'une infection : Gibmedia

Vous pouvez laisser un commentaire pour les éventuelles remarques/question/critiques, ou pas.

[UPDATE] - UploadMeThat

2010-01-09T07:34:00.000-08:00

Salut à tous,

UploadMeThat est un utilitaire permettant de sélectionner un fichier (en tapant son path en dur, ou avec un script) et de le compresser au format .gz, l'archive se trouvera sur le Bureau.
Le programme ne peut actuellement compresser qu'un fichier à la fois, la version 1.2 prévoit de régler ce problème.

Téléchargement : UploadMeThat-1.1c.exe

Aperçu du menu :

TODO list :

# Création d'un VBScript pour donner la marche à suivre pour l'upload.
# Permettre la sélection multiple de fichiers et les regrouper grâce à TAR
# Une interface graphique (futur lointain) .

[S0FT] - PE Guard

2010-01-06T06:36:00.000-08:00

Salut à tous,

PE-Guard est un système de protection préventif très léger et portable, en effet il n'est composé que d'un exécutable et d'un driver.
Ce programme de part son fonctionnement et de sa méthode de configuration n'est pas destiné au néophytes mais peut être intéressant dans le cas d'un utilisateur avancé (voir très avancé).

Figure-1 : First Run de Pe Guard

La configuration de Pe Guard est possible via le fichier pegconfig.ini, il suffit d'ajouter le path de l'exécutable à mettre en exclusion.

Figure-2 : Fichier de configuration pegconfig.ini

Figure-3 : Exemple d'alerte sur un exécutable en cours de décompression

Figure-4 : Menu déployé dans le systray de PE Guard

Test rapide avec une étude de cas :

Voyons maintenant le comportement de l'application dans le cas d'une infection.

1er alerte : IEXPLORE.EXE demande les droits pour accéder au fichier License.v.3.Setup.exe (Malware - dropper).

2eme alerte : L'application demande les droits d'écriture sur atapi.sys

Figure-5 : Echantillon du code injecté dans atapi.sys

(La section .reloc n'existe pas dans le atapi original)
Atapi patché :

.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

Si on n'autorise pas l'accès au driver, le processus du dropper s'arrête.

GMER indique :

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

La charge infectieuse est détenue par un exécutable dans %system32% qui permettra les redirections pendant le surf.

Face à un dropper mal détecté par les AV, ce genre de protection est d'une utilité certaine, mais elles nécessite de très bonne connaissance du système.

GibMedia's programms : Hijacker ?

2009-11-19T12:58:00.000-08:00

Yop =)

Un article sur un type d'infection maintenant courante, les détournement de page d'accueil avec un moteur de recherche bidon à la clef.
Un exemple parmi tant d'autre : les programmes tagués GibMedia .
Ces programmes sont en téléchargement sur des sites vitrines. Ex : pages annuaire, résultat du Bac.

Analyse statique, dynamique & Conclusion

Prenons l'exemple de :

hxxp://www.pages-annuaire.net/exe/ff/pages-annuaire.exe

Le programme pages-annuaires.exe est téléchargé puis désassemblé.

I - Etude statique de pages-annuaires.exe

Scan sur virus total :


ClamAV	0.94.1	2009.11.17	Trojan.Agent-123523
DrWeb	5.0.0.12182	2009.11.17	Adware.Gibmedia

Les résultats aux scans ne sont pas très concluants ...

Observons les routines intéressantes :

Figure-1 : Fonction GETPassword.

Hypothèse 1 : Les différents composant de l'infection sont contenues dans une archive compressée.
Hypothèse 2 : La fonction GetPassword serait une fonction permettant à l'exécutable de décompresser une partie de son contenu, grâce à un mot de passe.

Figure-2 : Strings suspectes

L'hypothèse 1 semble être confirmée par quelques strings contenus dans le code de l'exécutable.
Je précise qu'il y a plusieurs traces dans l'exécutable de Winrar, notamment, le bidouillage de certaines clefs de registre le concernant.

Grâce à un debogueur, on peut voir se qui se passe :

L'hypothèse 2 fait donc parti du domaine du probable.

Figure-3 : Création d'un raccourci

Fichier .ink crée sur le Bureau (voir partie dynamique)

Création de 3 executables :

.text:0040281D mov edx, offset a_exe ;".exe" .text:004028E0 mov edx, offset a_exe ; ".exe" .text:00406646 mov edx, offset aExe ; "exe"

Installation de tout ce petit monde grâce à un fichier .inf, un des exécutables sera surement chargé en service donc :

Figure-4 : Installation de l'infection grâce à un fichier .inf.

II - Etude dynamique de pages-annuaires.exe

1°) Introduction

Plusieurs clefs de registres sont modifiés afin de démarrer un service (valeur=gibsvc.exe)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSvc

Les trois fichiers crée précédemment sont bien là :

Répertoire de C:\Program Files\Winsudate

17/11/2009 22:06            73 968 gibcom.dll
17/11/2009 22:06            65 776   gibidl.dll
17/11/2009 22:06            70 896   gibsvc.exe <--- *Exe de mise à jour *

17/11/2009 22:06            57 072   gibupt.exe
17/11/2009 22:32           133 638 gibusr.exe <--- *Main exe*

Le fichier est démarré à partir d'une clef RUN :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
"WinUsr"Type: REG_SZ
Data: C:\Program Files\Winsudate\gibusr.exe

2°) Charge Infectieuse

Enfin, le plus intéressant, la charge véritablement infectieuse de l'infection, l'hijack de la HomePage (pas grand chose à se mettre sous la dent, sinon :

%internet_explorer%\SearchScopes\{c3d07853-c240-4565-a805-7f7f4f84315f}
"URL" Type: REG_SZ
Data: http://www.yougoo.fr/annuaire?search&q={searchTerms}




HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page"type: REG_SZ

Old data: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

New data: http://www.yougoo.fr/annuaire

Fonction lié à la charge malicieuse du programme gibusr.exe appliqué sur Firefox installé :

Figure-5 : Fonctions de la Section .rdata modifiant les fichiers de configuration de firefox

On peut observer les changements au niveau prefs.js avec modifications des attributs clefs comme keyword.URL et la startup homepage.
Enfin, gibusr va ajouter le search plugin yoogoo pour modifier le moteur de recherche par défaut

Figure-6 : Fonctions de la Section .rdata modifiant des clefs de registre sensible concernant Internet Explorer

Modification de la page homepage ainsi que d'autre fonctions de IE.

3°) Des protections contre le reverse ?

Je n'ai pas pu m'empêcher, en étudiant les composants de l'infections de trouver des détails permettant de penser que l'infection chiffre à la fois son trafic mais se protège aussi du deboggage.

Figure-7 : Image des dll chargées en mémoire

On peut remarquer la présence de secur32.dll (msdn) permettant entre autre de manipuler les certificats SSL.

Verifions en mémoire si quelquechose dans le genre apparait.

Figure-8 : Infrastructure lié au certificat SSL

Passons maintenant à la protection (légère) contre le debogage mais qui mérite d'être souligné, l'utilisation à l'adress &004032C8 de la fonction IsDebuggerPresent dans gibsvc.exe . Elle va renvoyé une valeur booléenne à l'executable qui saura si un debugeur est attaché à son processus et ainsi modifier son comportement.

4°) Conclusion

Deux dossiers crées :

c:\Documents and Settings\Mister_M@sk\Local Settings\temp\RarSFX0
c:\Program Files\Winsudate

Le dossier dans %tmp% me rappelle un peu la méthode de uncompress à la MSN WORMS, un peu artisanal ...



Au final :
- Deux repertoires crées
- 3 exe et 2 dll crées
- Plusieurs dizaines de clefs de registres sensibles ont été modifiées

Symtomes :
- HomePage modifiée (Firefox & IE)
- Moteur de recherche modifié (yoogoo)
- 2 processus sont lancés au démarrage (gibusr.exe et gibusvc.exe via services.exe)

Quel conclusion peut-on faire face à tout ces éléments :

L'étude statique a ici était simplifiée par le fait que l'exécutable (dropper) n'était aucunement chiffré ou offusqué, ce type d'analyse nous a permit de comprendre et d'appréhender les effets produits sur la machine.
Ici, la charge infectieuse n'est qu'un Hijack de la HomePage, mais on peut suspecter un comportement de spyware, notamment sur gibusvc.exe. Le serveur de mise à jour où il va chercher ses ordres ici :

hxxp://gibupdate(dot)hook-network(dot)com//gib.ashx(?)c=%s&gfx=ZGJY

Vous pourrez à loisir télécharger les exécutables et librairy pour les étudier, si vous le souhaitez.
Pour moi, ce genre de "petites" infections, que touts utilisateurs lambda peut installer, sont lucratives pour leurs auteurs. Les anciens Malware du genre, Navipromo et Lop se font obsolète et doivent laisser la place à un nouveau genre de Malware, les Hijacker et Toolbar infectieuses, plus discrètes et bien moins détectable par les logiciel antivirus (cf rapport VT).

Spybot's vaccinations and their uselessness

2009-10-28T13:37:00.000-07:00

Salut à tous,

Ce billet va traité d'un point qui fait quelquefois débat sur les forums :

"Les vaccinations de Spybot sont elles efficaces ?"

I - Le fonctionnement de ces "vaccinations" :

Spybot permet de vacciner plusieurs logiciels ou fichiers :

Des navigateurs : IE, Firefox ou Opéra

Windows : Fichier Host

Mais que fait réellement Spybot ?

1°) Le cas de IE

Définissons deux variables préalables pour alléger le contenu des explications :

%internet_explorer% = HKLM\SOFTWARE\Microsoft\Internet Explorer\
%internet_settings% = HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

- Ajouter des clefs en %internet_explorer%\ActiveX Compatibility
Pour empêcher l'installation de certain ActiveX, vecteurs d'infection dans certain cas.
Sur la machine de test : 706 clefs de registre pour ce module de la vaccination

- Ajouter des clefs en %internet_settings%\P3P\History
Pour bloquer les cookies de certains site, les valeurs de ces clefs sont 0x00000005(h)
Sur la machine de test : 193 clefs de registre pour ce module de la vaccination

- Ajouter des clefs en %internet_settings%\ZoneMap\Domains
Pour changer le comportement du navigateur vis à vis de certain sites, en les classant en "site sensible"
Sur la machine de test : 11926 clefs de registre pour ce module de la vaccination

- Ajouter des clefs en %internet_settings%\ZoneMap\EscDomains
Sensiblement le même effet que les clefs si dessus mais s'applique aux protocoles définis par la configuration ESC.
Sur la machine de test : 11926 clefs de registre pour ce module de la vaccination

- Ajouter des clefs en %internet_settings%\ZoneMap\Ranges
Qui contienne en valeurs des plages d'adresse IP qui seront placés par Internet explorer comme site sensible (niveau 4).
Sur la machine de test : 36 clefs de registre pour ce module de la vaccination

Source : Description des entrées du Registre relatives aux zones de sécurité de Microsoft Internet Explorer

2°) Le cas de Firefox

%appdata%\Mozilla\Firefox\Profiles\12d7fkc0.default\permissions.sqlite
Spybot va concrètement "bourrer" le fichier permissions.sqlite du profil courant de Firefox pour lui ajouter toute sorte de règles sur : les cookies, images, popups, et extension install permissions.

Old size: 2 048 bytes
New size: 1 276 928 bytes

3°) Le cas du fichier Hosts

Le fichier Hosts ne va pas avoir un sort plus enviable et va lui aussi être bourré de site ou domaine dit "dangereux". Tous pointeront vers localhost.

New size : 339 ko

II - L'utilité de ces "vaccinations" :

On peut se poser alors la question suivante : Ces ajouts divers dans le registre et dans les fichiers de configurations des différents logiciels sont ils utiles et performants ?
C'est clairement la négative qui prédomine et cela pour plusieurs raisons :

La majorité des domaines et adresses ajoutée sont out.
Des doublons monstres sont effectués (même adresse IE et hosts)
Tout ces changements ralentissent quelquefois sensiblement le surf.

Ce sont quelques raisons qui m'amène à ne plus conseiller Spybot.
Je conseille également de retirer ces modifications en cliquant sur le bouton "Annuler" dans l'interface de SB.

Il est préférable d'utiliser un "Web Guard" ou un "Link.Scanner" pour éviter bon nombre de liens dangereux sur la toile. A noter que Firefox contient déjà une base de données plutôt à jour sur un nombre important de liens menant sur des sites malicieux.

RSIT : Variable used without being declared (Error)

2009-10-24T13:10:00.000-07:00

Bonjour,

Sur un forum, j'ai découverts un problème ~~nouveau~~ et ~~plutôt rare~~ lors de l'exécution de RSIT sous Windows XP pro :

Autoit
Error : Variable used without being declared

Cause du problème :

Il semblerait que les services WMI/WBEM soit en cause.
Pour rappel, RSIT est un programme de diagnostic fait à partir d'un langage script : AutoIt pour effectuer facilement les appels aux différentes DLL système.
En bref, RSIT ne peut pas atteindre certaines fonctions ou structures (au bout de tout une chaîne d'appel)

En rouge, les fonctions pendant lesquels se déclarent l'incident.
Avant le call vers la fonction WnetUseConnection de MPR.dll pour télécharger le programme HijackThis.

Solution du problème :

Démarrer > Exécuter :

=> Insérer le CD de Windows

rundll32.exe setupapi.dll,InstallHinfSection WBEM 132 C:\WINDOWS\inf\wbemoc.inf

=> Ok

Pour diagnostiquer les problèmes au niveau de WMI/WBEM, on peut utiliser l'outil de Microsoft : The WMI Diagnosis Utility.

Soulution apportée par Lyonnais92

About security policy @ school

2009-10-12T10:59:00.000-07:00

Salut'

Un petit billet pour tenter de décrire et dénoncer le peu de considération qu'un organisme comme un lycée (dont les fonds viennent du conseil régional) accorde à la sécurité de leurs systèmes d'informations.

Un système d'information d'une taille dépassant le cadre d'un petit LAN, (> 150) machines dont la plupart sont reliés à Internet.
La majorité des postes sont équipé d'un antivirus, Kaspersky 6.0, mis à jour quelquefois, quand l'utilisateur ne l'empêche pas, par chance le SP2 de XP est installé, couplé à IE7 (!) et Acrobat Reader 7.0.

Tout irait bien, à part une chose : la moitié du réseau est infectée par VBS_RESULOWS.A , visible à chaque présentation d'un prof avec un IE titré "Hacked by Godzilla".
Chaque élève qui branchent sa clef USB permet d'infecter un peu plus de machine avec ce Vers obsolète, sauf si un antivirus fait barrage, heuresement que depuis le temps tout les AV le détectent.

Mais, qui assure la maintenance des machines ?

Pas grand monde : un prof de physique, dépassé par les événement et un technicien envoyé de temps en temps par le conseil régional, reconnaissable à sa barbe, sa chevelure abondante et son jogging mal repassé.
Je ne leur jette pas la pierre, il serait difficile d'assurer une politique de sécurité si les utilisateurs ne jouent pas le jeu.

Un bon point cependant, le CDI, qui contraste grandement avec le reste du réseau, une dizaine de PC, relié en switch vers Internet, protégé par IACA, des comptes méga limité, bourré de restrictions, IE7 et log des activités.

Quels sont les conséquences ? Une instabilité des machines, des réinstallations à faire, de l'argent pour des produits non-mis à jour, dépensé pour rien ...

Au final, tout le monde est perdant, la direction, le corps enseignant, les élèves, mais ça fait depuis tellement longtemps que ça fonctionne ainsi, pourquoi tout chambouler ?

Studies about infections or vulnerability vectors

2009-10-11T09:19:00.000-07:00

Mes études écrites à ce jour en format PDF pour les consulter :

Clique droit > enregistrer sous.
Sinon votre reader rammera grave avant de pouvoir ouvrir le PDF.

Je publierais un billet à chaque nouvelles études en plus de la modification de cette liste.
Vous pouvez laisser un commentaire pour les éventuelles remarques/question/critiques, ou autres.

A blog ! What for ?

2009-10-11T02:49:00.000-07:00

Bonjour ou Bonsoir à tous,

Voilà un blog de plus, quelques insignifiantes pages de plus.
Pourquoi alors faire un blog, que va t-il apporter ? Pas grand chose.

J'espère aborder les choses sous un autre angle, sous mon angle de vue, mais de quoi tu vas parler ?

- De sécurité informatique
- et d'autre choses, selon mes humeurs ...

Une présentation rapide, car je n'aime pas raconter ma vie :

- Lycéen décrété "Geek de la classe" par ses camarades.
Passionné comme beaucoup par tout ce qui a un processeur.
Je n'ai pas d'expérience en entreprise, je n'ai pas non plus d'énorme connaissance bas-niveau, mais je comprend vite paraît t-il.

Je suis sur plusieurs forums, sous le nickname de Mister_M@sk, pseudo choisit à la va-vite, il y a bien longtemps.

Les prochains billets ne devraient pas tarder.