24/10/2013

Spamvertizing : du malware dans votre boîte mail

A l'occasion de ce deuxième article du Cyber Security Awareness Month, nous allons présenter une des techniques les plus utilisées par les cybercriminels pour diffuser du malware : le spamvertizing.

Le mot "spamvertizing" est un mot-valise composé de "spam" et "advertising". Autrement dit, c'est une technique qui consiste à diffuser un produit (en l'occurrence un malware) par le biais de spam (des campagnes massives de courriers électroniques non-sollicités). L'objectif du spamvertizing est d'installer un logiciel malveillant, le plus souvent un cheval de Troie, sur le plus grand nombre de postes possibles afin de pouvoir en prendre le contrôle et récupérer des informations bancaires (numéros de carte, codes de connexion à distance) ou personnelles qui y transiteraient.

Très souvent ces emails semblent provenir d'une autorité financière reconnue (Ministère des Finances, Paypal, un établissement bancaire) et tentent de persuader le destinataire d'ouvrir la pièce jointe. Plusieurs prétextes sont possibles : un défaut de paiement, un paiement doublonné, ou tout simplement la facture d'un produit (souvent très cher) que l'internaute n'a jamais commandé. Ces arnaques peuvent aussi s'appuyer sur des produits de consommation : de faux envois de colis, de faux billets d'avions, etc.

Voici un example typique de cas de malware spamvertisé :



Ici, le prétexte est un faux accusé de réception de commande. L'internaute peu suspicieux s'alarmera du montant qui lui sera, pense-t-il, débité, et voudra en savoir plus en ouvrant la "facture" en pièce jointe. Cette facture n'est rien d'autre que le logiciel malveillant qui s'executera sur l'ortinateur de l'internaute et s'y installera.

La pièce jointe est un fichier comprésse. Afin de duper les utilisateurs les moins avertis, l'archive contient un fichier executable comportant une icône de fichier PDF. Une fois que l'utilisateur ouvtre le fichier, le poste est contaminé.


Nous conseillons à tous les internautes de rester vigilants face à ces menaces : n'ouvrez pas les pièces jointes envoyées par des personnes ou entités que vous ne connaissez pas et veillez à maintenir votre antivirus à jour.

17/10/2013

Attention, greyware !

A l'occasion du Cyber Security Awareness Month, le CERT Société Générale inaugure une nouvelle rubrique, « Modus Operandi ». Cette rubrique a pour but de sensibiliser le grand public aux différents modes opératoires frauduleux ou autres pièges existants.

Dans ce premier billet, nous présentons un schéma récent, à mi-chemin entre malware et marketing malintentionné qui vise à abonner l'internaute à des services dont il n’a pas forcément besoin ou à lui vendre des produits ayant a priori peu d'intérêt. Tout cela se fait de manière tout à fait automatisée, au travers d'un logiciel se rapprochant des publiciels (adware).

Même si le greyware utilisé n’est pas un malware bancaire, les clients des banques françaises peuvent être une cible privilégiée.

Selon notre analyse, le processus se déroule de la manière décrite dans le schéma ci-dessous : 



Le CERT Société Générale recommande de toujours rester vigilant quant à l'origine des logiciels téléchargés (ici, le vecteur "d'infection" est la barre d'outils installée en 1.) et d'utiliser un anti-virus à jour.

Une très grande partie des barres d'outils pour navigateur rencontrées sur Internet a pour but plus ou moins dissimulé d'installer des agents publicitaires sur l'ordinateur de l'internaute ayant téléchargé l'application.

03/07/2013

event2timeline - a Windows security event log visualization tool

event2timline has its own Github repo.

A recurring task in DFIR is to scour through hundreds of megabytes of Microsoft Windows event logs, searching for suspicious session establishments. Even with great tools such as log2timeline (or its newer version, plaso) and an unlimited amount of coffee, singling out "strange" session establishments can be a daunting task, especially on a busy server used by people from all over the world. It's like looking for a black cat in a dark basement, while blindfolded.

We had to come up with a solution that would avoid us the hassle of nitpicking through lines and lines of log entries. A tool that would take those hefty log files, extract every single session out of them, associate them to their username, and display the result on an easy-to-read timeline. That's exactly what event2timeline does.

event2timeline can parse EVTX Security log files (the ones from Windows Vista and onwards - Windows 7 and Windows 8), as well as CSV extracts from tools such as Event Log Explorer (free for personal, non-commercial use) or Microsoft's Log Parser 2.2. It parse through the logs and generate an HTML based timeline, using the D3.js Javascript visualization library. You can zoom and scroll through the timeline, and mouseover any session to get more information, such as Event ID, domain\username, source IP (if applicable), etc.

Below is a screenshot of the final result, based on demo material from the SANS Advanced computer forensic analysis incident response course.




Feel free to use event2timeline during your daily DFIR routine. Let us know of any improvements you would like to make through pull requests on github or via our Twitter account @CertSG.