Virtual worlds, either contemplative (metaverses > Second Life) or dedicated to games (MMORPG > World of Warcraft) are unique places of human interaction because of their structure or their popularity. Therefore, they represent a fertile ground for behavioural studies, as noticed by certain scientists. During a conference ("Games For Health"- Baltimore), an outstanding American epidemiologist, Nina H. Fefferman, showed all the interest that World of Warcraft (WoW) could represent in terms of viral behavior modeling. These simulations can not only be carried out without risk, but the number of users (10 million players on the WoW servers in January 2008) also allows the elaboration of more precise models than traditional experiments. These "sandboxes" notably allow gathering data that is essential for modeling through the observation of behaviors in the case of major epidemiological crisis scenarios.

A stroke of luck for them happened therefore in 2005 when an update of WoW caused the unfortunate dissemination of a virus, named "corrupted blood", which affected players' avatars and was transmitted by simple (virtual) contact and a too great proximity with the infected character. Symptoms were a sudden decrease in health points, and the lesser experienced avatars died instantly. Faced with the rise of the phenomenom (4 million infected players in September 2005) Blizzard -WoW's editor- introduced a quarantine zone. The folowing conduct interested scientists: people who don't respect quarantines, sale fake medicine, use a virus as a weapon against enemy factions, etc.
Ran D Balicer, another outstanding epidemiologist, compared the behaviors of the very real threat of SARS and bird flu contagions to this virtual pandemic. He observed many similarities between these different cases.

However, this enthusiasm is not shared by the entire scientific community. Professor Bill Scaffner, from Vanderbilt University Medical School, notes that the WoW population isn't as equally mixed as an equivalent group of humans. Most of the players have the same characteristics: a majority of young males, wealthy enough to buy themselves a computer and pay an online subscription. The data collected must therefore take into account these factors, which renders the modelisation less interesting than planned. It indeed reveals the reactions of a fringe minority of the population.

Malicious Intent

And what about our daily preoccupation?

The ever-growing MMORPG player community (by 2010, this market could be close to $5.5 billion Dollars), shared between a handful of successful licenses, is made up of game enthusiasts who are very involved in the development and improvement of their immaterial doubles. These multiple interconnections generated a very active virtual commodity market (RMT - Real Money Trade). Different artefacts are converted into cash via classic auction platforms (eBay, Worldgamebank). Cybercriminals therefore "naturally" transplanted themselves on this "market". They inondate the chatboxes with spams disseminated via characters (gold spammers) created for this occasion, and obviously code specific data-stealing Trojans.

CA Anti-Virus Research labs have classified over 45 different malware families that target MMORPGs.A report issued by the ESET Malware Intelligence maintains that July's 2008 most prevalent types of malware targeted online gamers. 12.7% of malware in the period was identified as being part of the Win32/PSW.OnLineGames family. A recent study written by Igor Muttik ("Securing Virtual Worlds Against Real Attacks") looked closely at different types of attacks targeting virtual worlds. It shows in particular that during the year 2007, trojans aimed at virtual universes arrived in second position behind those which impact financial institutions. The parallel doesn't stop there, since several phishing attacks affecting successful licenses have been observed these last years. Like the large financial institution managers, administrators of this lucrative market elaborate similar means of protection. Blizzard, for instance, introduced double factor authentication in July 2008 and has a service dedicated to the anti-fraud struggle.

The risks observed in the metaverse type universe are of a relatively different nature: we can also find there viruses, in a lesser volume exploitation of flaws, but here it exists a transversality between the real world and the virtual world. It is no longer a question of a scripted game but a reproduction of a fictive society more or less open with social network codes and concrete commercial rules (stock market, banks, and fluctuating currencies). Many key economic players thereby have official offices in Second Life. Threats are thus inherently different, often comparable to what we can observe in the "real world":

• staging of pedo-pornographic scenarios through avatars,
• extortion,
• sectarian proselytism,
• promotion of unsound political ideology,
• etc.

These virtual universes arouse desires and a lot of investors bet on these technologies. Sony is about to release its own world, Home, which will be interfaced with their PS3 gaming platform and Google has been developing its own universe, Lively. The security of these new spaces must therefore be considered rightaway.

Hard to conclude without facing the facts. From the popularity of one universe, the perspective of huge profits is born. Physical phenomenon: matter attracts matter, all matters. Impossible in these conditions to avoid a quota of crooks. Architects of these worlds have to anticipate the risks, secure their applications and find a good balance between virtual spaces open and free, and strict community rules and a healthy code. Even if i am way off the point, let’s finish with the wise words of William Gibson, Pope of the Geeks : “the future is already here. It's just not very evenly distributed.”

(Special thanks to Kristi)

Si nous avions été heureux des résultats de notre collègue Florent Marceau (toujours connu sous le doux sobriquet de "Barbu en Chef") l'année dernière au challenge d'ingénierie inverse T2, il s'est surpassé -ou à consacré plus de nuits - cette année, puisqu'il en est le vainqueur ! La seconde place est également attribuée à un autre français, qui a été choisi parmi les six autres vainqueurs pour l'élégance de sa solution.

Pour rappel ce concours, outre son aspect ludique et formateur, permet de gagner une place pour la conférence T2'08 - Information Security Conference qui aura lieu le 16-17 octobre prochain à Helsinki en Finlande. Ce rendez-vous annuel permet de discuter des dernières recherches en sécurité informatique, avec une orientation technique assumée des présentations, qui sont d'ailleurs systématiquement accompagnées de démonstrations.

Il ne nous reste plus qu'à souhaiter un bon voyage à Florent à Helsinki !

La génération de spams à l'aide de caractères ASCII (American Standard Code for Information Interchange) n'est pas une nouveauté en soi, mais certains analystes ont observé depuis quelques semaines une résurgence de "messages non sollicités" de ce type.

Même si ces emails présentent l'avantage de passer plus aisément les filtres anti-spams, ils sont aussi bien souvent difficilement lisibles et dépendants de l'interprétation des différents clients de messagerie, et donc d’une efficacité réduite.

On peut donc se demander ce qui motive les spammeurs et les poussent à réutiliser une technique obsolète et sans doute peu rentable. Ce sont peut-être de simples nostalgiques amoureux de "l'ASCII art". Cette technique qui permet de représenter un élément/une forme en utilisant uniquement les 255 caractères/symboles du code ASCII. Soit sous sa forme la plus simple, autrement appelée "emoticon" , soit de manière beaucoup plus complexe en créant des outils permettant de transcoder des éléments détaillés en images et en vidéos.

F-Secure présentait il y a quelques jours une annonce en provenance du forum de carding russophone Mazafaka pour un service de fourniture de "drops" : des mules qui permettent de réexpédier des colis contenant des marchandises achetées frauduleusement ou des produits contrefaits.

Le dernier cas en date en Français de recherches de ce type de mules date de la semaine dernière. Un email provenant d'une société baptisée TrustShippingComp, spécialisée dans le "transport", proposait ainsi un job à "40 euros le paquet renvoyé" :

Objet : Poste de directeur a la compagnie importante

La nouvelle compagnie perspective "TrustShippingCompany" - la societe de commerce globale vendant et livrant des produits differents comme l'equipement electrique, les cables, les parties automotrices, les systemes de conditionnement d'air, les pneus, les fourgonnettes, absorbers, couplings, les demarreurs, l'equipement de transport, le produit de base automoteur, aussi bien que d'autres produits comme les conseils de bois, flooring, le parquet, es meubles, les portes, les pieces de rechange, les marchandises chimiques. Notre compagnie realise la livraison en Grande-Bretagne, Canada, Nord et Amerique du Sud, Asie, Australie et Europe. Notre compagnie exige des membres du personnel pour etablir les livraisons a nos clients en Grande-Bretagne, Canada, Amerique, Asie et Europe. Il n'a pas d'importance si vous travaillez a plein temps ou non. C'est une position d'emploi a mi-temps, qui deviendrait constante pour les employes responsables et travailleurs. Pour votre avantage, vous serez capables a a choisi une methode de paiement de recevoir votre salaire. Nous vous paierons pour vos services etant notre representant. Nous vous offrons 40 euros pour chaque paquet. La compagnie prend toutes les charges et fournit le soutien informationnel complet. Votre emploi comme notre representant inclut:

1. La reception de la correspondance de notre compagnie et c'est des clients a sa/son adresse residentielle.
2. Les reportages a notre directeur. (chaque candidat sera inclus dans les listes d'un directeur)
3. L'expedition des articles recus selon les instructions de notre directeur. (Nous l'offre 40 EUR pour chaque paquet expedie.)
4. En remplissant dans les formes et les papiers comme indique dans les instructions de notre directeur (vous recevrez un e-mail avec les instructions pour chaque paquet).
5. Le fait d'expedier des paquets.

Cet emploi n'est pas difficile et ne prendra pas beaucoup de temps. Contactez-nous s'il vous plait si vous vous interessez a cette position d'emploi. Vous pouvez remplir la forme d'emploi de notre directeur et recevoir des renseignements supplementaires sur notre compagnie en visitant (www.trustshippingcomp.com), vous pouvez aussi envoyer votre CV avec l'instruction de votre: NOM:
PRENOM:
PAYS:
ADRESSE:
LA FERMETURE A GLISSIERE CODEE / POSTALE CODE:
VILLE:
TEL:
TEL MOBILE:
E-mail:

Contactez-nous s'il vous plait pour les renseignements supplementaires: Le nom : Bill Armstrong, Directeur

Site: www.trustshippingcomp.com
Courrier electronique: trustsippingcompanymail@gmail.com
Tel: +1-516-498-9372''

Il s'agit bien sûr d'une usurpation grossière du site Web de la société américano-norvégienne "American Shipping Company" :

L'utilisation de traducteurs automatiques réservent toujours bien des surprises ; ceux-ci ont donné une version "savoureuse" de notre code postal (ZIP CODE) : LA FERMETURE A GLISSIERE CODEE !! Yahoo Babelfish, Google Translate, Reverso et les autres principaux outils de traduction automatique que nous avons consultés ne se trompent pourtant pas sur ce terme.

Ces pirates n'ont donc visiblement pas intégré toutes les subtilités de la langue française. Cette erreur est presque aussi pathétique que les spams destinés aux "ventilateurs de tasse mondiale" (World Cup fans).

(Rédacteurs : Nicolas Collery - Sylvain Sarméjeanne - Fabien Périgaud ; Relecture : Thomas Gayet)

Introduction

Les attaques basées sur des pages Web légitimes modifiées, en incluant tout un lot de vulnérabilités spécifiques aux applications des postes clients (navigateurs, lecteur multimédias) s'inscrivent dans la durée et nécessitent du temps d'analyse.

Dernièrement, nos recherches concernant l'étude de vulnérabilités exploitées "dans la nature" nous ont mené vers le répertoire ouvert d'un site Web contenant quatre fichiers, dont nous allons maintenant partager l'analyse.

Lire la suite

Vous aviez peut-être reçu en Juillet (qui ne l'a pas reçu ?) le fameux courriel ayant pour objet un soit-disant problème de livraison d'un paquet UPS. Réjouissez-vous, la version francisée est arrivée ! :

La détection antivirale étant sensiblement meilleure et le langage utilisé laissant à désirer, on peut espérer que les utilisateurs ne se laisseront pas berner.

Le conflit aux enjeux complexes qui vient d'éclater au Caucase, et l'intervention militaire russe en Georgie qui fait suite aux tensions en Ossetie du Sud et en Abkhazie a été l'occasion de l'ouverture d'un second front sur le terrain numérique. Contrairement aux attaques qui ont ciblé l'Estonie, l'Ukraine et dans une moindre mesure les différentes attaques à caractère politique contres des sites gouvernementaux ou associatifs dont il est difficile de prouver l'implication d'un pouvoir étatique, ici la conjonction de l'intervention militaire et des cyber-attaques observées ou en cours donnent une vision intéressante des méthodes et des contre-mesures en action sur ce nouveau terrain.

Dès le 22 juillet 2008, et faisant suite à la violation de l'espace aérien géorgien par des avions de chasse russes, le site du président georgien Mikhail Saakashvili a fait l'objet d'une attaque DDoS et s'est retrouvé inaccessible durant 24 heures. José Nazario, expert chez Arbor Networks, a analysé l'activité réseau durant l'attaque et révélé qu'un message était accessible dans les flux (HTTP, SYN, ICMP) durant l'attaque : “win+love+in+Rusia”. Le site est d'ailleurs toujours inaccessible au moment de la rédaction de cette note.

Depuis, l'escalade militaire a été suivi du défacement du ministère des affaires étrangères georgien (ou le portrait de Mr Saakashvili faisait face à celui d'Hitler) ainsi que de celui de la banque nationale. De plus, plusieurs portails d'informations ont été rendus indisponibles suite à des attaques de type DDoS. Jart Armin, qui s'intéresse de près au trafic réseau lié à cette guerre évoque sur son blog un contrôle russe des points clés de l'infrastructure Web géorgienne :

the latest server routing map... shows the Russian based servers AS12389 ROSTELECOM, AS8342 RTCOMM, and AS8359 COMSTAR, controlling all traffic to Georgia’s key servers. For example here AS28751 CAUCASUS NET AS Caucasus Network Tbilisi, Georgia & AS20771 DeltaNet Autonomous System DeltaNet ltd 0179 Tbilisi Georgia.

Tandis que Gadi Evron n'y voit qu'une suite de phénomènes logiques en période de crises diplomatiques et indépendante du pouvoir en place.

Ces multiples attaques sont-elles coordonnées par le pouvoir central à Moscou ou le fait de groupuscules patriotiques isolés ? Difficile à dire à l'heure actuelle, la prudence s'impose et je me garderais bien d'avancer une hypothèse bancale même si pour le pouvoir géorgien le doute n'est plus permis :

"Georgia has been attacked by a formidable force, it is a brutal attack with the use of air force, tanks and even the trademark cyber attack."

Quoiqu'il en soit, il n'est pas fréquent de voir un pays limitrophe, en l'occurence l'Estonie, envoyer officiellement ses experts du CERT pour panser les plaies sur le terrain numérique, et encore moins voir un ministère des affaires étrangères contraint de faire ses annonces officielles à partir d'une plateforme Blogspot.

Voir également le blog de Renesys pour des compléments sur l'infrastructure géeorgienne et les enjeux en cours dans la région :

(...)What many people don't realize is that the cyber world is often built alongside the physical one. That is, those fiber optic cables that carry Internet traffic tend to follow the world's pipelines, bridges, and railroad tracks. Loss of Internet connectivity can therefore imply the physical destruction of vital pathways for trade.

Adobe a posté hier un avertissement sur son blog concernant un ver postant sur des sites web de réseaux sociaux des liens vers un site malveillant. Le site en question incite les utilisateurs à installer une nouvelle version de Flash Player, afin de visionner une vidéo des 10 meilleures actualités de CNN.

Le côté "social engineering" est cette fois-ci un peu plus poussé que lors des campagnes précédentes.
Le code source de la page révèle lui aussi des informations intéressantes, puisque ce ne sont pas moins de 9 codes d'exploitations pour des vulnérabilités connues qui s'y cachent. Et contrairement à la campagne précédente, ceux-ci contiennent une charge d'exploitation fonctionnelle, visant à faire installer automatiquement la présumée mise à jour de Flash.

Du côté des vulnérabilités exploitées, on retrouve quelques grands classiques, et une petite nouvelle :

• Vulnérabilités dans les lecteurs multimédias Real Player, GOM Player et NCT AudioFile2
• Vulnérabilité dans AOL SuperBuddy
• Vulnérabilités MS05-054, MS06-014 et MS06-057
• Vulnérabilité dans ADODB.Stream
• Enfin, la récente vulnérabilité dans Microsoft Access, dont l'exploitation massive était prévisible

La mise à jour proposée est quand à elle la dernière version du ver Storm, pour l'instant assez peu détectée lors d'une analyse antivirale.

L'analyse comportementale nous montre les caractéristiques habituelles du ver, telles que la copie vers "CbEvtSvc.exe" et l'enregistrement de celui-ci en tant que service :

Terminons cette rapide analyse en observant le binaire dans un désassembleur/débogueur. Le packer n'est pas connu par PeID, mais celui-ci se révèle n'être qu'une succession de boucles effectuant des opérations arithmétiques sur des portions de code :

Une fois ces quelques boucles passées, le code du malware apparaît en clair, et la véritable analyse peut commencer

La recommandation du jour sera la suivante : bien vérifier la provenance des mises à jour logicielles. En général, de telles mises à jours sont prises en charge directement au sein du logiciel, et ne sont pas distribuées sous la forme d'exécutables directement téléchargeables. Comme le recommande Adobe, préférez visiter le site officiel du constructeur pour obtenir les mises à jour, plutôt que de faire confiance aux pop-up intempestifs.

Depuis la semaine dernière, nous voyons arriver dans nos boîtes à spam de nombreux messages ayant pour objet un soit-disant problème de livraison d'un paquet UPS. Le but est toujours le même : inciter la victime à exécuter le malware en pièce jointe par une dose d'ingénierie sociale.

Prise de contact...

Voici un exemplaire que nous avons reçu :

La pièce jointe est un fichier ZIP contenant un unique fichier exécutable. Celui-ci reprend l'icône des documents Microsoft Word afin de ne pas éveiller trop de soupçons. Cette pseudo-ruse peut sembler d'un autre âge, mais n'oublions pas par exemple que Windows Vista masque encore par défaut les extensions des fichiers connus...

Commençons par une analyse antivirale avec les principaux moteurs du marché. Comme malheureusement trop souvent, la détection par les anti-virus est décevante, seuls 7 sur 18 détectant notre échantillon (NB : quelques heures plus tard, ce nombre atteignait 13) :

Il s'agirait donc d'une variante de ZBot. Afin d'avoir une idée générale du fonctionnement du malware, poursuivons par une exécution du binaire en sandbox. Il se recopie sur le système sous le nom C:\WINDOWS\system32\ntos.exe :

Il modifie la clé Winlogon de HKLM pour assurer sa survie à chaque redémarrage du système, en y ajoutant le chemin vers ntos.exe :

Il crée aussi le répertoire wsnpoem pour y stocker des fichiers :

Côté réseau, le malware cherche à contacter un serveur russe via HTTP, certainement pour y chercher des mises à jour ou pour télécharger un fichier de configuration :

Unpacking

Les présentations étant faites, regardons de plus près de quoi le malware est fait. Premier réflexe, le packer est-il connu ? Une réponse négative nous étant donnée par PEiD, il va donc falloir y aller au radar.

Le but du jeu est d'arriver le plus tôt possible au point d'entrée original (OEP), sans nécessairement s'attarder sur chaque détail du packer (il ne s'agit pas de réaliser un unpacker par exemple). On peut tout de même s'attarder sur la récupération de l'adresse des fonctions. Tout se passe dans la fonction en 0x4014e6 :

• chargement d'une bibliothèque avec LoadLibraryA() (ici advapi32.dll)
• récupération en boucle de fonctions dans cette bibliothèque avec GetProcAddress() (ici RegDeleteValueA())
• boucle sur les bibliothèques restantes

Il faut rester vigilant lors de l'unpacking, le code se déchiffrant au fur et à mesure de l'exécution. Par exemple avant :

Apres :

Une fois le malware dépacké, reste à l'analyser (techniques de rootkit, chiffrement des flux, du fichier de configuration, etc), ce qui est une toute autre histoire...

Une vulnérabilité (Réf. Lexsi 10364) touchant les principaux serveurs DNS a été publiée aujourd'hui de manière coordonnée, les correctifs pour les produits Microsoft DNS et ISC Bind étant disponibles. Cette faille peut permettre à un attaquant de mener à bien des attaques de DNS Cache Poisoning, et donc de pratiquer du Pharming.

Concrètement le principe de l'attaque est connu depuis longtemps, des publications sur le sujet sont d'ailleurs datées de plus de deux ans. Le scénario mis en œuvre repose sur le fait que pour pouvoir forger une réponse DNS en lieu et place du serveur DNS légitime, il faut pouvoir connaitre l'adresse IP de ce serveur, la nature de la demande, le numéro de transaction DNS et enfin le port source utilisé par le serveur victime (celui qui effectue la demande). Avantage pour l'attaquant, pas de problème de session à gérer en couche 4, puisque le tout s'effectue en UDP.

S'il est facile de prévoir les deux premiers paramètres, le numéro de transaction DNS et le port source utilisés devraient être suffisamment imprévisibles pour empêcher l'usurpation. Et c'est semble-t-il la raison pour laquelle cette attaque est revenue sur le devant de la scène, car il s'avère qu'il pourrait être plus simple que prévu de deviner le numéro de port source utilisé par le serveur victime, ce dernier ayant tendance à ne pas utiliser tout l'espace des choix possibles, ou à avoir, en pratique, un espace restreint.

Ainsi, les serveurs DNS Bind choisissent par exemple un port source UDP au démarrage, puis le conservent pour toutes les requêtes à venir. Combiné au problème connu de l'espace restreint du choix du numéro de transaction DNS (codé sur 16 Bits, soit en théorie 65536 possibilités, mais incrémental sur certaines implémentations ...), cela réunit des conditions favorables pour tenter l'attaque.

D'après l'ISC, Dan Kaminsky, qui est à l'origine de la réaction des éditeurs, devrait publier tous les détails de l'attaque et de la vulnérabilité lors de la conférence Black Hat le 7 Aout. Prudence est mère de sureté, il y a donc peut-être des éléments importants qui n'ont pas encore été révélés.

C'est pourquoi dans l'attente il est important de corriger le problème sur les serveurs concernés, c'est à dire ceux qui effectuent des résolutions pour des domaines sur lesquels ils n'ont pas autorité, et en sachant que la correction joue plutôt sur l'augmentation de l'imprévisibilité du port UDP source utilisé.

Mise à jour

Toujours aussi peu d'informations sur cette vulnérabilité, mais ceux (ici et là) qui ont pu voir les détails confirment le caractère critique de la faille : il va falloir patcher !