Compte-Rendu de la conférence Botconf 2019 à Bordeaux
Date : 07 Janvier 2020
La septième édition de la conférence Botconf s’est tenue du 3 au 6 décembre 2019 à Bordeaux. Cet événement international, consacré comme son nom l’indique, à la lutte contre les botnets, est organisé depuis 2013 par l’AILB (l’Alliance Internationale de Lutte contre les Botnets), une association à but non lucratif soutenue notamment par la Gendarmerie nationale française. Chaque année, il se déroule dans une ville différente, jusqu’à présent toujours en France. Cependant les présentations sont faites exclusivement en anglais.
C’était la seconde fois que des membres de l’équipe technique du Cert-IST participaient à ce rendez-vous devenu presqu’incontournable, ne serait-ce que pour sa proximité géographique.
Voici pour commencer quelques informations générales sur ce cru 2019 :
- 73 sujets ont été reçus lors de l’appel à présentation. On imagine la difficulté pour les organisateurs de faire un choix.
- 3 ateliers se sont tenus en parallèle le premier jour (d’où la nécessité pour les participants de choisir l’un d’entre eux) : 2 étaient consacrés à l’analyse de malwares Android, tandis qu’un dernier montrait la création de règles suricata pour la détection et la classification de botnets. Nous n’avons malheureusement pas pu participer à ces ateliers.
- Les 3 jours ont regroupé non moins de 29 présentations, dont une keynote, avec un total de 50 orateurs, pour un peu plus de 28 heures de conférences au total.
- Un créneau de 1h30 était réservé à 19 interventions éclair (lightening talks) de 3 minutes. L’orateur présente alors une idée technique, un début de projet open source, ce qui lui permet souvent de lancer un appel à contributions. Quelques exemples de projets présentés : Bitscout (création d’une image disque bootable sur mesure pour faire du forensic), MWDB (la base de données de malwares du CERT PL), Attacker IP Prioritization Blacklist (un algorithme de création de blacklist intelligente), Android Malware Sandbox.
- Plus de 300 participants étaient réunis : essentiellement des experts sécurité du monde entier, travaillant dans des secteurs divers comme l’énergie, l’industrie lourde, la santé, des gouvernements, des éditeurs de solutions de sécurité, etc.
Premier constat : le programme était dense et les présentations étaient, à quelques exceptions près, très techniques. En ce sens, le format de Botconf s’approche de celui de la conférence SSTIC qui a lieu à Rennes chaque année. Mais alors que SSTIC est une conférence sécurité généraliste, Botconf est définitivement centrée sur l’analyse de malwares et la lutte contre les botnets. Ce placement ciblé est intéressant puisqu’il donne des présentations très concrètes (pas de présentation de techniques reproductibles uniquement en laboratoire), mais il a malgré tout généré un sentiment de répétition à la fin des trois jours. Botconf reste malgré tout la seule conférence française à traiter de la lutte contre les malwares, et une des rares dans le monde sur ce thème précis. Il est aussi à noter un accueil et une organisation "aux petits oignons", tenant compte par exemple cette année des mouvements de grève, via la mise en place de bus navettes entre le site de la conférence et le centre-ville.
On peut classer les différentes présentations de cette année en trois catégories :
- De rares retours terrain d’entreprises ayant fait face à différentes menaces. On peut mentionner à ce titre une présentation de Wavestone concernant la gestion de plusieurs crises chez ses clients : réussites, échecs, surprises, une crise mobilisant des centaines de personnes pour finalement constater un faux positif, du threat hunting qui se transforme en investigation sur incident suite à la découverte d’une infection Conficker, …. Une conférence passionnante, qui sent le vécu, et qui touche à notre métier général de CERT. On en redemande !
- Des présentations de malwares, de botnets ou de groupes d’attaquants. Constituant la grande majorité des interventions, ces présentations rejoignent le travail que nous réalisons autour de notre service de veille sur les attaques et IOC. Certaines d’entre elles décrivent le fonctionnement interne d’un botnet en activité (communications, obscurcissement, chiffrement), tandis que d’autres expliquent comment tel ou tel réseau a pu être démantelé grâce à la collaboration internationale d’acteurs publics et privés. On peut citer à ce titre :
- la keynote sur le démantèlement du botnet Retadup durant l’été 2019 (CERT-IST/ATK-2017-116), une brillante collaboration entre la gendarmerie nationale française, le FBI et Avast,
- l’analyse de Golden Chickens (un groupe vendant du Malware as a Service, mais plutôt dédié à des attaques ciblées - CERT-IST/ATK-2018.146),
- L’analyse du botnet de smartphones Android Shaoye alias Roaming Mantis actif depuis 2017 en Asie de l’est et du sud-est,
- Le démantèlement du réseau de fraude à la publicité en ligne 3ve en 2018,
- Le développement en interne par La Poste d’un tracker pour le malware bancaire Gootkit (CERT-IST/ATK-2016-055),
- L’analyse du malware Backswap, son évolution et sa gestion par un groupe qui vise les institutions financières et l’échange de crypto-monnaies (CERT-IST/ATK-2018.076),
- L’analyse du mode de distribution du malware Emotet (CERT-IST/ATK-2017-057) via des sites Wordpress compromis, l’implémentation de son polymorphisme,
- L’analyse des modes opératoires du méta-groupe Winnti (CERT-IST/ATK-2017-014). Historiquement typé cyber-espionnage, le groupe tente aujourd’hui notamment de rentabiliser ses infections en minant des crypto-monnaies sur certains ordinateurs compromis.
- Des présentations d’outils et de techniques utiles à la lutte contre les botnets : émulateurs versus sandbox, honeypots, exécution long terme (plusieurs semaines) d’échantillons dans des environnements contrôlés, générateur automatique de règles Yara, … Nous avons été particulièrement impressionnés par le projet open source CAPE (Malware Configuration And Payload Extraction), un fork de Cuckoo sandbox extrêmement ambitieux disposant d’une kyrielle de fonctionnalités d’analyse inédites et actionnables depuis une interface web : moniteur d’API, décodage, déchiffrement, debugger, dumper, reconstruction des imports, … Cette présentation était appuyée par des démonstrations qui, bien que très techniques, ont permis de se rendre compte du potentiel de la solution. CAPE peut être testé gratuitement via ce lien.
Enfin, le coup de cœur de l’équipe cette année a été la présentation réalisée par Benoît Ancel (alias benkow_ - société CSIS) sur un acteur malveillant (a priori un individu) qu’il nomme Bagsu. Initialement un carder à l’ancienne pratiquant lui-même le vol de numéros de cartes bancaires en Allemagne via des malwares et divers exploit kit ; le pirate coordonne aujourd’hui les interactions entre des clients (qui demandent par exemple : « je voudrais 3000 infections au Japon ») et ses sous-traitants (réseaux comme Emotet ou TrickBot). Sur un fond de mafia comme on l’imagine (négociations, menaces, arrangements, échanges, recrutement de développeurs lorsque les négociations n’aboutissent pas), Bagsu aurait généré des millions d’euros de bénéfices durant ses 15 ans d’existence et apparaît comme un intermédiaire, discret et efficace, avec le cybercrime organisé. Cette présentation, très concrète, vivante et pleine d’humour, a été la plus applaudie. Elle illustre par ailleurs la structuration que l’on observe depuis quelques années dans le monde du cybercrime : des clients, des fournisseurs de services, et des revendeurs.
Globalement, Botconf 2019 nous a offert des présentations de grande qualité, même si on peut éventuellement déplorer le manque d’informations inédites. Certaines présentations étaient pourtant à diffusion limitée (TLP Amber ou Red), alors qu’elles ne semblaient pas apporter beaucoup plus d’informations que celles dont nous disposons dans notre base de fiches attaque et dans notre instance MISP. D’autres concernaient des événements assez anciens (par exemple le démantèlement du réseau 3ve en 2018) et avaient parfois déjà été données plusieurs fois en 2019 à l’occasion d’autres conférences. Ce sentiment est peut-être simplement dû à notre connaissance de l’actualité des malwares, que nous suivons attentivement dans le cadre du service de veille sur les attaques et IOC.
Botconf reste une conférence de haut niveau, que nous avons beaucoup de chance d’avoir en France. Nous la recommandons à toute personne n’ayant pas peur de cette approche technique (imaginez-vous parler syntaxe yara ou dump mémoire au petit-déjeuner). Un tel événement reste pour finir une très bonne occasion de rencontrer ses homologues et d’échanger en off avec eux sur des retours d’expérience en cybersécurité.
L’édition 2020 de Botconf aura lieu à Nantes.