After the RBN (Russian Business Network) episode in late 2007, after the Atrivo/Intercage episode recently, here comes the McColo episode. We are very happy to see that this bulletproof hosting company has been shut down since a few days. We had followed this case quite closely, and had been investigating McColo on our own for some months...

It seems that McColo has been shut down after its Internet providers have been contacted by Security Fix. Brian Krebs wrote two great articles about it that you can find here and here. A study on the case has also been published by Jart on Hostexploit.com.

It's really amazing to see that McColo was responsible for 50% to 75% of the sent spam those days ...

Our own investigation also led us to think that McColo was only hosting fraudulent contents: spamvertised websites, botnet command&control, malware, childporn ... Just to name a few.

We had pushed our investigation further, but couldn't post anything about it until those days. I won't post infos about the fraudulent domains hosted at McColo, you can find plenty of them on the web. Instead, I've been curious about the "environment" of McColo. Who were these people ?

McColo had two main ICQ contact addresses. One was registered under "McColo Sales" while the other was registered under "Alexey (McColo)" ... Researches on these two ICQ identities soon led us to a number of russian underground forums. It seems like they were posting on them on a regular basis. We thought they might be russian and kept searching, finding some posts concerning adult content hosting, and found two other ICQ numbers associated to Alexey, or should I say "Alex" or "Alexey Bladewalker" ?
Digging more, I found several messages indicating that the leader of McColo could be dead since the 2nd or 3rd of september 2007. McColo might have been set up by a certain "Nikolaï", information I couldn't verify unfortunately, but which looks plausible. McColo died supposedly in a car crash, as the passenger of a BMW car which was racing with a Porsche Cayenne in the streets of Moscow. McColo was sitting on the front-right place of the BMW, while the driver was another well-know cybercriminal, known as "Jax". We found a local press article about this car crash here.

While we wouldn't ever be pleased of anyone dying, the famous malware developper "Corpse", responsible for A-311 Death (Haxdoor) / Nuclear Grabber trojan horses, laughed about it on one forum.

We didn't find other informations yet. Who kept on making McColo work after Nikolaï passed away? Were McColo only russian people operating from Russia or did they they have a few friends physically in the USA?

While we're still wondering about all this case, we are also very happy to see that all people involved in the neverending fight against cybercrime are communicating more and more. We believe exchanging data with other companies, LEOs and CERTs can only bring success to bringing bad guys down. But while the head is cut for the moment, the rest of the body (all customers of McColo) are probably already working on rebuilding their c&c and all other badness elsewhere...
Some pirates even tried to use the media buzz surrounding this takedown to push malware on insecured machines according to this FireEye article.

The fight continues, and fraudsters are learning every day. But so do we.

Le Patch-Day de ce mois-ci ne nous offre cette fois que deux bulletins de sécurité, dont un seul qualifié de critique et un d'important. Celui-ci, répondant au doux nom de MS08-068, concerne une vulnérabilité dans SMB vieille de ... 7 ans !
La vulnérabilité (Réf. Lexsi 10906) a en effet déjà été présentée en 2001, sous le nom de "SMB Relay". Celle-ci consiste à récupérer les identifiants envoyés par une station Windows pour se connecter à un partage SMB, et à les rejouer contre celle-ci afin d'exécuter du code arbitraire. Microsoft avait alors décidé de ne rien faire concernant la vulnérabilité, celle-ci étant basée sur une fonctionnalité de base de NTLM, afin d'éviter de nombreux problèmes d'interopérabilité.

Cependant, les développeurs ne l'ont pas oubliée, et ont fini par trouver un moyen de correction minimisant l'impact sur les applications réseaux.
Notons toutefois que cette vulnérabilité n'a été qualifiée que d'importante, étant donné que les stations ne faisant pas partie d'un domaine tentent par défaut d'utiliser le compte Invité pour se connecter à un partage SMB. De plus, la recrudescence des pare-feux personnels depuis la grande époque des vers tels que Blaster minimise encore l'impact de cette faille.

Le second bulletin, MS08-069, corrige quant à lui 3 vulnérabilités (Réf. Lexsi 10907 et 7994) dans XML Core Services. Celles-ci sont exploitables en visitant un site malveillant : deux d'entre elles permettent d'obtenir des informations provenant d'un autre domaine, et la dernière -connue depuis janvier 2007- permet quant à elle l'exécution de code arbitraire, même si la rédaction d'un code d'exploitation stable n'est pas triviale.

Profitons-en pour rappeler que Microsoft a sorti fin Octobre un bulletin de sécurité hors Patch-Day pour corriger une vulnérabilité de type 0-Day extrêmement critique dans le service Server (Réf. Lexsi 10828). Celle-ci est exploitable à distance pour exécuter du code arbitraire avec les droits SYSTEM, et un code d'exploitation stable couvrant la majorité des systèmes Windows est disponible dans le framework Metasploit.

L'AFNIC, organisme de régulation des noms de domaine français, propose depuis quelques mois une procédure extrajudiciaire de règlement des litiges, en particulier des cas de cybersquatting manifeste. Cette nouvelle procédure d’arbitrage permet aux ayant-droits s’estimant lésés par un détenteur de domaine en .fr de requérir la transmission, le blocage ou la suppression du domaine en question.

Le dépôt de cette demande se fait très simplement en ligne depuis cette page. Lors de cette procédure, le domaine incriminé est gelé, et une décision est arrêtée sous 45 jours. Par ailleurs, le résultat de ces décisions est rendu public ici. Parmi ces 6 premières décisions, on notera plusieurs accords de transfert du domaine à l’amiable et un refus de la demande par l'Afnic, motivé par l'absence de preuve de mauvaise foi de la part du titulaire.

Cet arbitrage nécessite donc encore quelques rodages selon des experts, mais représente un service intéressant pour les entreprises, voire pour des particuliers victimes d'enregistrements de domaines abusifs :

• procédure peu onéreuse;
• prise de décision rapide et contraignante;
• simplicité des démarches.

En effet, les frais de cette procédure sont fixés à 250€ HT, contre une moyenne de 2000€ minimum pour d’autres organismes d’arbitrage tels que l’OMPI.

Following the recent post by Ivan on the legacy of the Nuclear Grabber trojan horses developed by "Corpse", I recently came across a command & control server (c&c) that "pays tribute" to this famous malware author.

This coder used for its own purposes the domains a311.com/.net/.org since 2005, in the name of its "A-311/Death" backdoor component. Someone registered in August "a311.ru", and used it (you already guessed) as c&c for old-fashioned Haxdoor (one of Nuclear Grabber aliases) trojan variants.

(example of md5 from Haxdoor-like binaries we received that connected to a311.ru between 08/23/2008 and 10/09/2008:

• 427bfed75b054c4a2f2de07f6c2cafeb
• ac0214fadb24e9526e8b85755bf1ba05
• c6d4675a69ea409a42be8887885fd5dc
• a0a78756b64bee5a45a22b8c47578480
• ...)

The "Death" of A-311?

But it seems that days of Corpse's trojans, almost automatically detected by most AV vendors, really are counted. The pirate behind a311.ru indeed changed its tactics on October, 24th, and started using rather ZeuS (PRG) variants:

    - http://a311.ru/cfg/cfg.bin (encrypted configuration file)
    - http://a311.ru/z/z.php?1={PARAMETERS REDACTED} (c&c server)

(md5 from ZeuS variants discovered since 10/24/2008 that connect to the above URLs:

• dafd137952ed35acfb1eb427f3092e6c
• 0ffc7ed072610963ad9073d88d9c29fa
• b9557528704dc1d930d2150b63c07b1e
• ...)

A311 vs. A322 ?

And don't worry for the pirate's fraudulent activities. If that domain name was to be deactivated, the campaign would probably not stop, as the domain owner took care to register a few days ago another domain name as a backup: "a322.ru".

Talk #1 : Investigating Mobile Phones for Malware and Spying Tools

Nous démarrons la matinée de cette seconde journée avec le talk 'Investigating Mobile Phones for Malware and Spying Tools' de Jarno Niemelä (F-Secure). Un talk sympathique sur un sujet particulièrement à la mode qu'est la téléphonie mobile. C'est l'occasion d'en apprendre un peu plus sur l'interne de systèmes d'exploitation embarqués tels que Windows Mobile et autres Symbian. En effet, ces systèmes sont devenus de véritables "usines à gaz" puisqu'on peut y voir installés pêle-mêle MUAs, browsers, python ... et autres applications. Nous retiendrons ici que si des virus existent sur ces plateformes, ils sont encore très peu propagés et représentent donc un risque très limité; en revanche les outils espions installés par un collègue peu scrupuleux ou par les forces de l'ordre par exemple (si si, y'en a ! ) sont tout à fait envisageables, et ce type d'outil n'est pas bien difficile à trouver (mobile-spy.com par exemple) ... Il n'est donc pas superflu de s'intéresser au problème.

Talk #2 : Sockstress - The Saga Continues...

Vient alors 'Sockstress - The Saga Continues...' de Jack C. Louis et Robert Lee (Outpost24 AB), ou la mort annoncée du net ! Ce talk sur cette faille TCP qui défraye la chronique en ce moment s'est tout de même clôturé sur cette conclusion fulgurante : "de nos jours vous pouvez encore faire "binder" un serveur Web sur Internet mais il vous faut faire des accès par listes blanches" (o_O).

Malheureusement (ou pas), absolument aucun détail technique n'a filtré et il n'est toujours pas possible de comprendre le mécanisme exact mis en œuvre ici. Simplement, il s'agit de réussir à consommer énormément de ressources noyau en très peu de sockets par une astuce magique... La démonstration assez violente a consisté à littéralement exploser un Windows/IIS en quelques paquets.

Talk #3 : Now you see it, Now you dont - Obfuscation for fun and profit!

Nous finirons cette seconde journée avec le talk de Nishad Herath de chez Novologica (l'auteur du challenge) 'Now you see it, Now you dont - Obfuscation for fun and profit!' qui nous présente un état de l'art de l'obfuscation de code. Talk intéressant qui se conclut sur l'idée d'une obfuscation par parallélisme à l'aide de threads par exemple, le tout combiné à du depacking "on-demand" en fonction des parties de code requises et de multiples techniques plus classiques elles, qui pourraient rendre l'analyse extrêmement ardue (et pire encore pour des systèmes d'analyse automatique).

Ainsi se termine ce bien bel événement; intéressant et dans une bonne ambiance, le T2 de cette année aura été une réussite Espérons renouveller l'événement !

Direction Helsinki donc pour cet événement annuel rassemblant une bonne part de la scène sécurité des pays nordiques. Outre un accueil très chaleureux et une température (très) fraiche, c'est l'occasion de faire le point sur l'état de l'art des différentes disciplines propres au petit monde "sécu".

Talk #1 : The Bitter Tale of Desktop Security: Our 35-year War

Après l'ouverture par Tomi Tuominen nous enchaînons sur le premier talk : 'The Bitter Tale of Desktop Security: Our 35-year War'.

Ivan Krstic est un universitaire (Harvard), et cela se ressent dans l'aspect très formel mais très juste de son analyse. Dans les grandes lignes, il préconise un modèle de développement sécurisé sur la base de deux bonnes pratiques. La première est de diviser les différents privilèges avec une granularité la plus fine possible. Ceci fait, ils nous faut alors diviser le code en blocs fonctionnels. Les blocs sont alors parfaitement cloisonnés entre eux et communiquent par messages (très orienté objet tout ça !). Pour finir, il nous reste a attribuer à chaque bloc les privilèges minimaux requis à son fonctionnement. Le concept est sympathique, mais malheureusement très rarement appliqué. L'occasion de citer en exemple l'architecture de Google Chrome ou de découvrir des projets tels que caja qui permet d'implémenter ces concepts au code JavaScript.

L'idée est bonne mais, comme bien souvent, appliquer ce type de concept va d'un coté éliminer les vulnérabilités possibles dans le code mais d'un autre côté reposer sur une machine virtuelle apportant son propre lot de vulnérabilités ...

Talk #2 : Evolution of Kernel-Mode Malware

C'est d'ailleurs la thématique du talk suivant de Joakim Sandström (nSense) : 'SUN BURNS - Java Insecurities' que je n'ai malheureusement pas pu suivre en 'live' compte tenu d'un autre talk d'intérêt en parallèle : 'Evolution of Kernel-Mode Malware' par Kimmo Kasslin et Antti Tikkanen (F-Secure).

Sujet bouillant s'il en est, les malwares kernel-mode sont de nos jours de plus en plus nombreux. En première partie, ils nous présente les différents rootkits actuels utilisés dans différents chevaux de Troie tel que Haxdoor, Rustock ou encore Srizbi, principalement dans leur façon de "hooker" les fonctions du système d'exploitation.

On y voit effectivement une belle évolution lorsqu'on passe d'une simple modification de la SSDT aisément détectable à quelque chose de bien plus évolué comme la modification de l'adresse du sysenter (msr) vers un handler qui segfault, qui sera intercepté par un fake GPF handler, lui meme hooké dans l'IDT. Il est à noter tout de même que nous avons ici un état de l'art des rootkit ring0 viraux mais pas du monde rootkit ring0 Windows dans son ensemble. Nous n'avons pas encore vu de virus implémentant des rootkits réellement évolués tel que Shadow Walker ou encore FUTo, et entre nous fort heureusement !

Ceci étant, les malwares kernel-mode ont atteint un niveau jusqu'ici inégalé avec Mebroot qui sera le thème de la seconde partie du talk. Une très joli démonstration de ce rootkit MBR qui semble avoir encore beaucoup évolué depuis ma dernière analyse de celui-ci (il faut dire que cela remonte à 4 mois, au retour du SSTIC...).

Il est amusant de voir que selon Kimmo et Antti, Mebroot ne serait pas lié a un trojan unique (jusqu'à présent nous l'avons toujours vu lié à du Torpig/Sinowal), mais serait plutôt un framework qu'ils ont affectueusement baptisé MAOS (pour Malware OS) et qui serait parfaitement personnalisable, vendu comme une prestation aux développeurs de malwares ... Tout ceci ne présage rien de bon; la jungle du monde viral va se faire de plus en plus sauvage à l'avenir...

Talk #3 et #4 : A Day in the Life of a Hacker / RFIDIOt

Nous avons ensuite enchaîné sur le dernier talk de la journée : 'A Day in the Life of a Hacker' et 'RFIDIOt' de Adam Laurie. L'occasion de dupliquer quelques passeports biométriques en live parmi les membres de l'assemblée. Très en forme, celui-ci a fait le show en enchaînant ses deux talks extrêmement bien rodés et particulièrement efficaces. On ne peut pas rester insensible a un piratage de mini-bar, ou au crash à distance d'un Windows, le tout orchestré à l'aide d'une télécommande et de son téléviseur de chambre d'hôtel

Ainsi s'achève cette première journée bien chargée. Place au "social event".

For those of us "mourning" the anticipated departure of Nuclear Grabber's trojan in late 2006, we turned out to be a little too eager to bury the “corpse”.

www.corpsespyware.net / www.prodexteam.com: Corpse’s official sites back in 2005-07:

Nuclear Grabber (earlier, a311 Death), better known publicly as either Haxdoor (for both) or Goldun (certain variants of Nuclear Grabber are classified as such by several antivirus editors), formed one of the best-selling banking malware kits available in the Russian-speaking carding community back in 2004-2006. The malware was sold directly by its developer, Corpse, for under $3,000 – quite a fair price for such a polyvalent specialized malware specimen.

Corpse offering his A311 on one of the Russian-speaking forums in 2005:

The malware ceased its official existence following the announcement in late 2006 by its creator, Corpse, that he would leave the carding scene. Thus, no new official versions of Nuclear Grabber were apparently released by Corpse after December 2006.

However, the story has taken a rather curious turn recently as one of the underground malware developers known as Shine has acquired the rights to Nuclear Grabber’s code from Corpse himself.

According to "Shine", Corpse’s code was remodelled to give birth to a new banking malware under the name "Adrenaline". Curiously, this masm32-written malware is now being sold at exactly the same price as Nuclear Grabber: $3,000. The code sale announcement was later confirmed by Corpse himself, provoking a wave of discontent on the forums since Corpse had previously announced that all Nuclear Grabber's code was lost in a fire accident.

Official Adrenaline thread by its developer, Shine on one of the carding forums:

Judging by the feedback received from the carding community, the malware has not yet attained the reliability and functionality level of its predecessor. However, Adrenaline's trojan was first introduced to the market in July 2008 and it usually takes about a year or so for a malware of that type to gain the customers' trust.

Corpse confirming the validity of Nuclear Grabber’s code transfer:

Virtual worlds, either contemplative (metaverses > Second Life) or dedicated to games (MMORPG > World of Warcraft) are unique places of human interaction because of their structure or their popularity. Therefore, they represent a fertile ground for behavioural studies, as noticed by certain scientists. During a conference ("Games For Health"- Baltimore), an outstanding American epidemiologist, Nina H. Fefferman, showed all the interest that World of Warcraft (WoW) could represent in terms of viral behavior modeling. These simulations can not only be carried out without risk, but the number of users (10 million players on the WoW servers in January 2008) also allows the elaboration of more precise models than traditional experiments. These "sandboxes" notably allow gathering data that is essential for modeling through the observation of behaviors in the case of major epidemiological crisis scenarios.

A stroke of luck for them happened therefore in 2005 when an update of WoW caused the unfortunate dissemination of a virus, named "corrupted blood", which affected players' avatars and was transmitted by simple (virtual) contact and a too great proximity with the infected character. Symptoms were a sudden decrease in health points, and the lesser experienced avatars died instantly. Faced with the rise of the phenomenom (4 million infected players in September 2005) Blizzard -WoW's editor- introduced a quarantine zone. The folowing conduct interested scientists: people who don't respect quarantines, sale fake medicine, use a virus as a weapon against enemy factions, etc.
Ran D Balicer, another outstanding epidemiologist, compared the behaviors of the very real threat of SARS and bird flu contagions to this virtual pandemic. He observed many similarities between these different cases.

However, this enthusiasm is not shared by the entire scientific community. Professor Bill Scaffner, from Vanderbilt University Medical School, notes that the WoW population isn't as equally mixed as an equivalent group of humans. Most of the players have the same characteristics: a majority of young males, wealthy enough to buy themselves a computer and pay an online subscription. The data collected must therefore take into account these factors, which renders the modelisation less interesting than planned. It indeed reveals the reactions of a fringe minority of the population.

Malicious Intent

And what about our daily preoccupation?

The ever-growing MMORPG player community (by 2010, this market could be close to $5.5 billion Dollars), shared between a handful of successful licenses, is made up of game enthusiasts who are very involved in the development and improvement of their immaterial doubles. These multiple interconnections generated a very active virtual commodity market (RMT - Real Money Trade). Different artefacts are converted into cash via classic auction platforms (eBay, Worldgamebank). Cybercriminals therefore "naturally" transplanted themselves on this "market". They inondate the chatboxes with spams disseminated via characters (gold spammers) created for this occasion, and obviously code specific data-stealing Trojans.

CA Anti-Virus Research labs have classified over 45 different malware families that target MMORPGs.A report issued by the ESET Malware Intelligence maintains that July's 2008 most prevalent types of malware targeted online gamers. 12.7% of malware in the period was identified as being part of the Win32/PSW.OnLineGames family. A recent study written by Igor Muttik ("Securing Virtual Worlds Against Real Attacks") looked closely at different types of attacks targeting virtual worlds. It shows in particular that during the year 2007, trojans aimed at virtual universes arrived in second position behind those which impact financial institutions. The parallel doesn't stop there, since several phishing attacks affecting successful licenses have been observed these last years. Like the large financial institution managers, administrators of this lucrative market elaborate similar means of protection. Blizzard, for instance, introduced double factor authentication in July 2008 and has a service dedicated to the anti-fraud struggle.

The risks observed in the metaverse type universe are of a relatively different nature: we can also find there viruses, in a lesser volume exploitation of flaws, but here it exists a transversality between the real world and the virtual world. It is no longer a question of a scripted game but a reproduction of a fictive society more or less open with social network codes and concrete commercial rules (stock market, banks, and fluctuating currencies). Many key economic players thereby have official offices in Second Life. Threats are thus inherently different, often comparable to what we can observe in the "real world":

• staging of pedo-pornographic scenarios through avatars,
• extortion,
• sectarian proselytism,
• promotion of unsound political ideology,
• etc.

These virtual universes arouse desires and a lot of investors bet on these technologies. Sony is about to release its own world, Home, which will be interfaced with their PS3 gaming platform and Google has been developing its own universe, Lively. The security of these new spaces must therefore be considered rightaway.

Hard to conclude without facing the facts. From the popularity of one universe, the perspective of huge profits is born. Physical phenomenon: matter attracts matter, all matters. Impossible in these conditions to avoid a quota of crooks. Architects of these worlds have to anticipate the risks, secure their applications and find a good balance between virtual spaces open and free, and strict community rules and a healthy code. Even if i am way off the point, let’s finish with the wise words of William Gibson, Pope of the Geeks : “the future is already here. It's just not very evenly distributed.”

(Special thanks to Kristi)

Si nous avions été heureux des résultats de notre collègue Florent Marceau (toujours connu sous le doux sobriquet de "Barbu en Chef") l'année dernière au challenge d'ingénierie inverse T2, il s'est surpassé -ou à consacré plus de nuits - cette année, puisqu'il en est le vainqueur ! La seconde place est également attribuée à un autre français, qui a été choisi parmi les six autres vainqueurs pour l'élégance de sa solution.

Pour rappel ce concours, outre son aspect ludique et formateur, permet de gagner une place pour la conférence T2'08 - Information Security Conference qui aura lieu le 16-17 octobre prochain à Helsinki en Finlande. Ce rendez-vous annuel permet de discuter des dernières recherches en sécurité informatique, avec une orientation technique assumée des présentations, qui sont d'ailleurs systématiquement accompagnées de démonstrations.

Il ne nous reste plus qu'à souhaiter un bon voyage à Florent à Helsinki !

La génération de spams à l'aide de caractères ASCII (American Standard Code for Information Interchange) n'est pas une nouveauté en soi, mais certains analystes ont observé depuis quelques semaines une résurgence de "messages non sollicités" de ce type.

Même si ces emails présentent l'avantage de passer plus aisément les filtres anti-spams, ils sont aussi bien souvent difficilement lisibles et dépendants de l'interprétation des différents clients de messagerie, et donc d’une efficacité réduite.

On peut donc se demander ce qui motive les spammeurs et les poussent à réutiliser une technique obsolète et sans doute peu rentable. Ce sont peut-être de simples nostalgiques amoureux de "l'ASCII art". Cette technique qui permet de représenter un élément en utilisant uniquement les 255 caractères/symboles du code ASCII. Soit sous sa forme la plus simple, autrement appelée "emoticon" , soit de manière beaucoup plus complexe en créant des outils permettant de transcoder des éléments détaillés en images et en vidéos.