L'AFNIC, organisme de régulation des noms de domaine français, propose depuis quelques mois une procédure extrajudiciaire de règlement des litiges, en particulier des cas de cybersquatting manifeste. Cette nouvelle procédure d’arbitrage permet aux ayant-droits s’estimant lésés par un détenteur de domaine en .fr de requérir la transmission, le blocage ou la suppression du domaine en question.

Le dépôt de cette demande se fait très simplement en ligne depuis cette page. Lors de cette procédure, le domaine incriminé est gelé, et une décision est arrêtée sous 45 jours. Par ailleurs, le résultat de ces décisions est rendu public ici. Parmi ces 6 premières décisions, on notera plusieurs accords de transfert du domaine à l’amiable et un refus de la demande par l'Afnic, motivé par l'absence de preuve de mauvaise foi de la part du titulaire.

Cet arbitrage nécessite donc encore quelques rodages selon des experts, mais représente un service intéressant pour les entreprises, voire pour des particuliers victimes d'enregistrements de domaines abusifs :

• procédure peu onéreuse;
• prise de décision rapide et contraignante;
• simplicité des démarches.

En effet, les frais de cette procédure sont fixés à 250€ HT, contre une moyenne de 2000€ minimum pour d’autres organismes d’arbitrage tels que l’OMPI.

Following the recent post by Ivan on the legacy of the Nuclear Grabber trojan horses developed by "Corpse", I recently came across a command & control server (c&c) that "pays tribute" to this famous malware author.

This coder used for its own purposes the domains a311.com/.net/.org since 2005, in the name of its "A-311/Death" backdoor component. Someone registered in August "a311.ru", and used it (you already guessed) as c&c for old-fashioned Haxdoor (one of Nuclear Grabber aliases) trojan variants.

(example of md5 from Haxdoor-like binaries we received that connected to a311.ru between 08/23/2008 and 10/09/2008:

• 427bfed75b054c4a2f2de07f6c2cafeb
• ac0214fadb24e9526e8b85755bf1ba05
• c6d4675a69ea409a42be8887885fd5dc
• a0a78756b64bee5a45a22b8c47578480
• ...)

The "Death" of A-311?

But it seems that days of Corpse's trojans, almost automatically detected by most AV vendors, really are counted. The pirate behind a311.ru indeed changed its tactics on October, 24th, and started using rather ZeuS (PRG) variants:

    - http://a311.ru/cfg/cfg.bin (encrypted configuration file)
    - http://a311.ru/z/z.php?1={PARAMETERS REDACTED} (c&c server)

(md5 from ZeuS variants discovered since 10/24/2008 that connect to the above URLs:

• dafd137952ed35acfb1eb427f3092e6c
• 0ffc7ed072610963ad9073d88d9c29fa
• b9557528704dc1d930d2150b63c07b1e
• ...)

A311 vs. A322 ?

And don't worry for the pirate's fraudulent activities. If that domain name was to be deactivated, the campaign would probably not stop, as the domain owner took care to register a few days ago another domain name as a backup: "a322.ru".

Talk #1 : Investigating Mobile Phones for Malware and Spying Tools

Nous démarrons la matinée de cette seconde journée avec le talk 'Investigating Mobile Phones for Malware and Spying Tools' de Jarno Niemelä (F-Secure). Un talk sympathique sur un sujet particulièrement à la mode qu'est la téléphonie mobile. C'est l'occasion d'en apprendre un peu plus sur l'interne de systèmes d'exploitation embarqués tels que Windows Mobile et autres Symbian. En effet, ces systèmes sont devenus de véritables "usines à gaz" puisqu'on peut y voir installés pêle-mêle MUAs, browsers, python ... et autres applications. Nous retiendrons ici que si des virus existent sur ces plateformes, ils sont encore très peu propagés et représentent donc un risque très limité; en revanche les outils espions installés par un collègue peu scrupuleux ou par les forces de l'ordre par exemple (si si, y'en a ! ) sont tout à fait envisageables, et ce type d'outil n'est pas bien difficile à trouver (mobile-spy.com par exemple) ... Il n'est donc pas superflu de s'intéresser au problème.

Talk #2 : Sockstress - The Saga Continues...

Vient alors 'Sockstress - The Saga Continues...' de Jack C. Louis et Robert Lee (Outpost24 AB), ou la mort annoncée du net ! Ce talk sur cette faille TCP qui défraye la chronique en ce moment s'est tout de même clôturé sur cette conclusion fulgurante : "de nos jours vous pouvez encore faire "binder" un serveur Web sur Internet mais il vous faut faire des accès par listes blanches" (o_O).

Malheureusement (ou pas), absolument aucun détail technique n'a filtré et il n'est toujours pas possible de comprendre le mécanisme exact mis en œuvre ici. Simplement, il s'agit de réussir à consommer énormément de ressources noyau en très peu de sockets par une astuce magique... La démonstration assez violente a consisté à littéralement exploser un Windows/IIS en quelques paquets.

Talk #3 : Now you see it, Now you dont - Obfuscation for fun and profit!

Nous finirons cette seconde journée avec le talk de Nishad Herath de chez Novologica (l'auteur du challenge) 'Now you see it, Now you dont - Obfuscation for fun and profit!' qui nous présente un état de l'art de l'obfuscation de code. Talk intéressant qui se conclut sur l'idée d'une obfuscation par parallélisme à l'aide de threads par exemple, le tout combiné à du depacking "on-demand" en fonction des parties de code requises et de multiples techniques plus classiques elles, qui pourraient rendre l'analyse extrêmement ardue (et pire encore pour des systèmes d'analyse automatique).

Ainsi se termine ce bien bel événement; intéressant et dans une bonne ambiance, le T2 de cette année aura été une réussite Espérons renouveller l'événement !

Direction Helsinki donc pour cet événement annuel rassemblant une bonne part de la scène sécurité des pays nordiques. Outre un accueil très chaleureux et une température (très) fraiche, c'est l'occasion de faire le point sur l'état de l'art des différentes disciplines propres au petit monde "sécu".

Talk #1 : The Bitter Tale of Desktop Security: Our 35-year War

Après l'ouverture par Tomi Tuominen nous enchaînons sur le premier talk : 'The Bitter Tale of Desktop Security: Our 35-year War'.

Ivan Krstic est un universitaire (Harvard), et cela se ressent dans l'aspect très formel mais très juste de son analyse. Dans les grandes lignes, il préconise un modèle de développement sécurisé sur la base de deux bonnes pratiques. La première est de diviser les différents privilèges avec une granularité la plus fine possible. Ceci fait, ils nous faut alors diviser le code en blocs fonctionnels. Les blocs sont alors parfaitement cloisonnés entre eux et communiquent par messages (très orienté objet tout ça !). Pour finir, il nous reste a attribuer à chaque bloc les privilèges minimaux requis à son fonctionnement. Le concept est sympathique, mais malheureusement très rarement appliqué. L'occasion de citer en exemple l'architecture de Google Chrome ou de découvrir des projets tels que caja qui permet d'implémenter ces concepts au code JavaScript.

L'idée est bonne mais, comme bien souvent, appliquer ce type de concept va d'un coté éliminer les vulnérabilités possibles dans le code mais d'un autre côté reposer sur une machine virtuelle apportant son propre lot de vulnérabilités ...

Talk #2 : Evolution of Kernel-Mode Malware

C'est d'ailleurs la thématique du talk suivant de Joakim Sandström (nSense) : 'SUN BURNS - Java Insecurities' que je n'ai malheureusement pas pu suivre en 'live' compte tenu d'un autre talk d'intérêt en parallèle : 'Evolution of Kernel-Mode Malware' par Kimmo Kasslin et Antti Tikkanen (F-Secure).

Sujet bouillant s'il en est, les malwares kernel-mode sont de nos jours de plus en plus nombreux. En première partie, ils nous présente les différents rootkits actuels utilisés dans différents chevaux de Troie tel que Haxdoor, Rustock ou encore Srizbi, principalement dans leur façon de "hooker" les fonctions du système d'exploitation.

On y voit effectivement une belle évolution lorsqu'on passe d'une simple modification de la SSDT aisément détectable à quelque chose de bien plus évolué comme la modification de l'adresse du sysenter (msr) vers un handler qui segfault, qui sera intercepté par un fake GPF handler, lui meme hooké dans l'IDT. Il est à noter tout de même que nous avons ici un état de l'art des rootkit ring0 viraux mais pas du monde rootkit ring0 Windows dans son ensemble. Nous n'avons pas encore vu de virus implémentant des rootkits réellement évolués tel que Shadow Walker ou encore FUTo, et entre nous fort heureusement !

Ceci étant, les malwares kernel-mode ont atteint un niveau jusqu'ici inégalé avec Mebroot qui sera le thème de la seconde partie du talk. Une très joli démonstration de ce rootkit MBR qui semble avoir encore beaucoup évolué depuis ma dernière analyse de celui-ci (il faut dire que cela remonte à 4 mois, au retour du SSTIC...).

Il est amusant de voir que selon Kimmo et Antti, Mebroot ne serait pas lié a un trojan unique (jusqu'à présent nous l'avons toujours vu lié à du Torpig/Sinowal), mais serait plutôt un framework qu'ils ont affectueusement baptisé MAOS (pour Malware OS) et qui serait parfaitement personnalisable, vendu comme une prestation aux développeurs de malwares ... Tout ceci ne présage rien de bon; la jungle du monde viral va se faire de plus en plus sauvage à l'avenir...

Talk #3 et #4 : A Day in the Life of a Hacker / RFIDIOt

Nous avons ensuite enchaîné sur le dernier talk de la journée : 'A Day in the Life of a Hacker' et 'RFIDIOt' de Adam Laurie. L'occasion de dupliquer quelques passeports biométriques en live parmi les membres de l'assemblée. Très en forme, celui-ci a fait le show en enchaînant ses deux talks extrêmement bien rodés et particulièrement efficaces. On ne peut pas rester insensible a un piratage de mini-bar, ou au crash à distance d'un Windows, le tout orchestré à l'aide d'une télécommande et de son téléviseur de chambre d'hôtel

Ainsi s'achève cette première journée bien chargée. Place au "social event".

For those of us "mourning" the anticipated departure of Nuclear Grabber's trojan in late 2006, we turned out to be a little too eager to bury the “corpse”.

www.corpsespyware.net / www.prodexteam.com: Corpse’s official sites back in 2005-07:

Nuclear Grabber (earlier, a311 Death), better known publicly as either Haxdoor (for both) or Goldun (certain variants of Nuclear Grabber are classified as such by several antivirus editors), formed one of the best-selling banking malware kits available in the Russian-speaking carding community back in 2004-2006. The malware was sold directly by its developer, Corpse, for under $3,000 – quite a fair price for such a polyvalent specialized malware specimen.

Corpse offering his A311 on one of the Russian-speaking forums in 2005:

The malware ceased its official existence following the announcement in late 2006 by its creator, Corpse, that he would leave the carding scene. Thus, no new official versions of Nuclear Grabber were apparently released by Corpse after December 2006.

However, the story has taken a rather curious turn recently as one of the underground malware developers known as Shine has acquired the rights to Nuclear Grabber’s code from Corpse himself.

According to "Shine", Corpse’s code was remodelled to give birth to a new banking malware under the name "Adrenaline". Curiously, this masm32-written malware is now being sold at exactly the same price as Nuclear Grabber: $3,000. The code sale announcement was later confirmed by Corpse himself, provoking a wave of discontent on the forums since Corpse had previously announced that all Nuclear Grabber's code was lost in a fire accident.

Official Adrenaline thread by its developer, Shine on one of the carding forums:

Judging by the feedback received from the carding community, the malware has not yet attained the reliability and functionality level of its predecessor. However, Adrenaline's trojan was first introduced to the market in July 2008 and it usually takes about a year or so for a malware of that type to gain the customers' trust.

Corpse confirming the validity of Nuclear Grabber’s code transfer: