--- title: VIRO malware tags: VIRO --- Faire un VIRUS du feu de Zeus (lol vous avez compris Zeus c le nom d'un malware deja ^^) # Nom du Virus - c0tii Nom de groupe: e-croisé ### Serveur C2 - attends les botnets - (campagne de phishing) - Attaques: - Ransomware - Worm/ver - Backdoor (ajouter d'autres) - Scan réseau - Scan des lecteurs de la machine (USB, disques) ### Client Le programme client - connexion C2 - attente de requetes - lateralisation/propagation réseau ### Plateforme - Windows 10 (1ere) - Window XP (2eme) - Windows Vista - Windows 7 - Debian - z/OS - MacOS ### Langages - C# ### Moyen d'infection - Fichiers (macro) - HTTP/HTTPS (lien) # Parties projets - Intrusion - Télécharge le botnet - Lance le botnet dans un svchost - Serveur - Client - communication avec serv (rapide et par rapport au server) - actionman 1. **Se faire passer pour un programme ?** - genre logiciel Java (look du programme) - en fonction du programme => demande droit admin legit ? 2. **Enregistreur de frappes ?** récup MDP/DOC/URL 3. **envoie de menace apres recuperation de document ?** 4. **DL autre logiciel malveillants** 6. **RogueWare, delete avast + faux logiciel à la place?** 7. **Petit ransomware?** => mdrrr compte a rebour **'rancongiciel Jigsaw'** => supprime des fichiers au fur et a mesure jusqu'a ce que l'utilisateur accepte de payer. 8. Enregistre audio + clavier + activité réseau, incluant Skype. Captures d’écran. Capable aussi de voler infos de contacts depuis tout périphérique Bluetooth proche. 9. Cree un fichier cote server de chaque machine qui est corrompue puis mettre la commande que l'on veut effectuer dedans, si le fichier n'est pas lisible a l'instant T => envoyer une action RIEN Liens dont on s'est servi: - Ping Class: https://docs.microsoft.com/en-us/dotnet/api/system.net.networkinformation.ping?view=net-5.0 - HttpListener Class: https://docs.microsoft.com/en-us/dotnet/api/system.net.httplistener?redirectedfrom=MSDN&view=net-5.0 - Network Discovery: https://forums.xamarin.com/discussion/184333/how-to-do-a-list-of-devices-on-the-local-network - Async avec Net 4.0: https://gist.github.com/dgrunwald/1961087 - SafeCall in another Thread: https://docs.microsoft.com/en-us/dotnet/desktop/winforms/controls/how-to-make-thread-safe-calls-to-windows-forms-controls?view=netframeworkdesktop-4.8 JSON: pour le computer: 2 cas de figure FirstContact CommandDone { result: type: type of } type: nom_de_la_fonction result: { } Les Class de Result: - FIRST_CONTACT: - type: FIRST - mac: - ip: - ip_pub: - ip_gateway: - hostname: - mask: null - port: 9999 - RIEN: - type: RIEN - CARTOG: - type: CARTOG - computers: [ - address - hostname - mac ] # <span style="color: red">Chiffrement Ransomware</span> https://www.codeproject.com/Articles/26085/File-Encryption-and-Decryption-in-C https://www.codeproject.com/Articles/1259429/Simple-Files-Encrypt-Decrypt https://docs.microsoft.com/fr-fr/dotnet/standard/security/walkthrough-creating-a-cryptographic-application https://pingfu.net/creating-a-self-installing-windows-service-with-csharp ransomeware exemple de code malicieux: - https://github.com/Whiroo/KiddyAPI/blob/master/KiddyAPI/Crypt/Encrypt.cs - https://github.com/AyrA/CryptoTestTool - https://github.com/DKOnyx/OnyxLocker/blob/1cb12000eb24fd9d2c058b3ad6cdd70823173372/OnyxLocker/Program.cs # <span style="color: red">Keylogger</span> https://github.com/djhohnstein/SharpLogger/blob/master/Program.cs https://github.com/LimerBoy/ToxicEye/tree/master/TelegramRAT/TelegramRAT/core/stealer # <span style="color: red"> VIRO SLIDES </span> # Charge Active ## moyens d’infection initiaux ? Plus de 50% des menaces exploitent des failles de sécurité [K Labs, fin 2011] Top 10 des fichiers d'attaque (« exploits ») = Adobe (Flash/PDF), Oracle (Java, hausse) [K Labs 2011] 1% des attaques utilisent de vrais 0days [MS 2011] Top 3 des codes d’exploitation : HTML/javascript, documents (dont PDF), Java [MS SIR V14, 2012] Top des vulnérabilités présentes : https://blog.qualys.com/technology/2017/02/07/checklist-qualys-top-10-tips-for-a-secure-compliant-2017 # Type de malware ## Virus et défense **Rétro-virus = code viral avec :** - fonctions de défense : anti-terminaison de processus - 2 processus s’auto-vérifiant et rechargeant - Blocage de mises à jour - Signatures antivirales - Correctifs de sécurité (Windows Updates notamment) **Fonctions d’attaque :** - Tuer processus des solutions de sécurité - Plus de 350 pour certains codes récents…! - Antivirus, pare-feux, outils d’admin… - Changer réglages de sécurité ## Virus compagnon **Type de virus de fichiers classiques qui ne modifient (généralement) pas le fichier hôte.** - créent un fichier copie contenant le virus. - Lorsque le fichier infecté est lancé, la copie contenant le virus sera exécutée en premier. Ex : renomment le fichier hôte, enregistrent le nouveau nom en tant que future référence et ensuite écrasent le fichier original ## El botnet   Rentabilisation: - vol de doc - chantage au DOS - vols Ciblé: - check le systeme ciblé: version, SP, 32/64bits? - failles? - securité présente: - antivirus? - sonde /parefeu => plus difficile a detecter et stopper ## Dropper Dropper / implanteur = téléchargeur Programme capable d’implanter exécutable malveillant Ex: utilisé en exploitation de failles de sécurité Composant générique, téléchargement « à jour » Association courante « trojan dropper » Voir étude de cas plus loin ## Wrapper mais askip ils sont rapidement detecter par les AntiVirus (AV) # Tips      ## Furtivité: **evasion AntiVirus polymorphie** - chiffre le code viral - embarquer routine de dechiffrement evolutive - rechiffrement  **Xor + faux doc** # Injection  ## failes MS08-067 # Idee randoms 1. **Se faire passer pour un programme ?** - genre logiciel Java - en fonction du programme => demande droit admin legit ? 2. **Enregistreur de frappes ?** - recup mdp /url/doc 3. envoie de menace apres recuperation de document ? - mdr ca va loin 4. Bombe logique?  5. DL autre logiciel malveillants 6. RogueWare, delete avast + faux logiciel a la place? 7. Petit ransomware? => mdrrr compte a rebour 'rancongiciel Jigsaw' => supprime des fichiers au fur et a mesure jusqu'a ce que l'utilisateur accepte de payer 8. bootkit mais je pense que cest long mdr 9. Anti-bac a sable: malware utilise des technique d'anti virtualisation pour eviter d'etre analyser par des sandbox comme cuckoo