Juste pour le FUN, au détour d’une recherche… et bonne année 2011 !
Pour la petite explication, le pirate a mis en place son C&C grâce à une porte dérobée écrite en PHP sur un serveur (où s’est-il lui-même fait pirater son C&C ?). Cette porte dérobée (je ne sais par quelle moyen) a été indexée par Google avant sa suppression. Google, pas « con », a suivi les liens permettant de révéler la source de certains fichiers du C&C de SpyEye, dont celui de configuration.
La stylométrie est ensemble de procédés permettant de reconnaitre l’appartenance d’un texte à un auteur en analysant le contenu de ses phrases, ses expressions ou même la ponctuation présente dans le texte. Ces procédés, utilisés dans les affaires criminelles et les analyses historiques de texte d’auteurs non attribués révèlent également leurs intérêts sur Internet. Dans le cadre d’enquête en OSINT, par exemple, où un acteur anonyme a écrit certaines informations critiques sur un espace public de discussion.
Cette méthodologie, basée sur de simples statistiques est d’autant plus intéressante qu’à l’heure d’internet, beaucoup de personnes possèdent leur propre style d’écriture sur des espaces publics. Rivalisant entre simleys, expressions personnelles – voire familière, absence d’accents, de majuscules et de fautes d’orthographe (et pas que sur 4chan…). Ainsi, il devient possible de remonter jusqu’à un auteur, même anonyme, tant dans l’utilisation d’un pseudonyme masquant sa réelle identité que technologiquement (utilisation de proxies etc.) et ce, avec un nombre de mots plus limités qu’aux origines de la stylométrie.
En effet, les textes sur internet possèdent de plus en plus de spécificités que les textes issus d’une œuvre ou d’une lettre, par exemple. Il devient beaucoup plus facile de déterminer l’auteur d’un texte, même si le passage du texte récupéré pour analyse est relativement court tel qu’un article ou une publication sur un forum de discussion. Le résultat de ce type d’investigations n’est pas assuré à 100%. Cependant, grâce à des regroupements (heures de connexion etc.) et des comparaisons textuelles, il est souvent possible de déterminer l’auteur d’un texte sur Internet, surtout si ce dernier a été publié sur un espace de discussion spécifique.
Ceci est relativement simple à envisager, par exemple, dans le cadre d’un auteur écrivant « anonymement » sur un espace de discussion connu d’un petit groupe (~1000) de personnes. Dans ce cas, nous pouvons suggérer que la personne connait déjà ce forum, il convient donc prioritairement d’analyser et de comparer les messages anonymes avec ceux des autres membres du forum. Souvent, une méthodologie de simple comparaison prenant une à deux heures de travail tout au plus permet de retrouver l’auteur original grâce à certaines spécificités inhérentes aux textes de l’auteur. Personnellement, sur internet, je me base sur plusieurs indices d’étude :
Toutefois, dans le cadre d’analyses basées sur des textes bien écrits – telles que lors d’investigations historiques, on se penche majoritairement vers des données mathématiquement quantifiables : la longueur moyenne des phrases et des mots etc. impliquant des échantillons de texte beaucoup plus complets qu’une simple analyse sur Internet.
Une sécurité contre la stylométrie ?
La seule sécurité est de laisser tomber son écriture ordinaire (orthographe compris) lorsque l’on veut écrire anonymement, ce qui n’est pas une chose si facile (si si). Cette sécurité peut paraitre triviale, cependant, elle n’est pratiquement jamais mise en œuvre par des personnes requérant un véritable anonymat. De plus, certaines fautes d’orthographe récurrentes peuvent subsister pouvant corrompre cette dernière mesure.
Personnellement, je pense toujours aux lettres des corbeaux parsemées de fautes présentes dans différentes affaires policières plus ou moins sordides faites de lettres capitales ou de lettres découpées dans des brochures publicitaires (Grégory remember).
Plusieurs recherches au cours des années ont été réalisées dans ce domaine. Les techniques n’ont cependant pas tellement évoluées à l’heure de l’informatique. Si vous voulez en connaitre plus sur la stylométrie, je vous oriente vers quelques papiers de recherche que j’ai trouvé sympa à lire pour en connaitre un peu plus :
Automated Recognition of Author’s Writing Style in Blogs (Abstract)
Martin VIRIK
Slovak University of Technology
Practical Attacks Against Authorship Recognition Techniques
Michael Brennan and Rachel Greenstadt
Statistique textuelle (Chap 0)
Ludovic Lebart et André Salem
Authorship Attribution
Patrick Juola
Department of Mathematics and Computer Science, Duquesne University
Résumé des épisodes : En ce moment en licence CDAISI, je réalise depuis le début d’année une série d’articles sur la formation afin de mettre un peu en avant ce qu’il s’y fait, de bien ou de mal, mes impressions etc.
Voir S02E02, S02E01, S01E03, S01E02, S01E01.
Ça y est, il fait froid : une vague de froid dans la France entière et le nord n’est pas épargné. La neige arrive, véritable plaie pour ceux qui, comme moi, ont décidé de ne pas posséder de voiture. Mains froides, joues crispées, l’heure de marche à pieds pour aller à la formation (aller-retour) se fait ressentir sur le moral chaque jour.
Première chose, j’ai décidé d’entreprendre un changement d’appartement qui s’est soldé par une démotivation totale/échec à la vue des appartements proposés dans cette ville. Pour vous faire un schéma, j’habite en ce moment un studio avec de multiples problèmes (bruits incessants, crispants, stressants, une peinture intérieure qui n’a rien à envier aux nouvelles prisons ou hôpitaux psychiatriques (si, si vous connaissez cette couleur, le bleu/vert -très- laid porté également par les chirurgiens), humidité, coupures de courant à répétition (environ 5 par jours.) suite à un compteur mal paramétré : le cauchemar total. Enfin, j’essaye de garder le moral, même s’il faut se l’avouer, il n’y est pas du tout.
La formation, elle, continue. Il y a de plus en plus de cours en sécurité même si j’ai l’impression que seule la base est vue dans certaines matières (notamment sur le volet pratique). De nouveaux cours ont fait leur entrée tels que l’anglais ou le Droit. Moi qui pensais être enfin dispensé de cours d’anglais ad-vitam aeternam eh bien je me suis trompé. Au programme, on revoit tout et cette fois : à vitesse accélérée. Au moins, ces cours d’anglais m’auront permis de comprendre pourquoi je n’ai jamais aimé l’anglais scolaire jusqu’en DUT.
Exercices incessants, aucune perspective de l’utilisation de ce que l’on apprend dans la vie réelle, le tout avec des règles de grammaire qu’il faut avoir digéré en quelques secondes pour laisser place aux exercices qui n’ont rien à envier – point de vue maturité – aux fameux manuels « Apple Pie ». (c’est vous dire si ces derniers m’ont terrorisé pendant ma scolarité). J’aime l’anglais, je mange de l’anglais tous les jours (papiers de recherches, livres, posts, actualités, films etc.) mais les cours d’anglais, (à part en DUT SRC) je m’y suis jamais fait.
Concernant le Droit, je dois dire que je suis impressionné de la qualité des cours. Il est très rare d’avoir des cours aussi clairs sur un sujet si vaste – même si nous voyons « uniquement » le droit relatif au Système d’Information et à Internet. J’ai vraiment découvert un nouveau domaine qui m’était – il faut bien le dire – assez inconnu (m’étant jusque-là concentré que sur les textes de loi et non sur leurs interprétations possibles et aux jurisprudences relatives à ce domaine).
Concernant les cours en sécurité, ils sont de plus en plus présents. Nous sommes en train de terminer la « mise à niveau » de la promotion en réseaux, développement et systèmes d’exploitation pour s’attaquer, il faut le dire, à des choses plus intéressantes. Nous avons fini les cours de fingerprinting qui se concluent actuellement par le fingerprinting distant des éléments « stratégiques » d’une université : sympa, même si j’ai la vague impression qu’une partie de la promo n’est pas très enthousiaste. D’autres cours – plus spécifiques – sont donnés, notamment sur la sécurité web. Malheureusement, je n’ai encore rien appris dans ces cours, seules les bases sont présentées et encore, je trouve que les cours relèvent plus d’un simple tutoriel que l’on peut voir un peu partout que de vrais cours (peut être dû à cette notion de « challenge »). C’est un avis strictement personnel.
Les autres cours donnés en sécurité sont plutôt sympas : certains profs abordent en partie la « culture » liée à la sécurité (confs, hackerspaces, zines, actualités etc.) ce qui est intéressant sur beaucoup de points, notamment pour les élèves découvrant cet univers. Cela change de la simple théorique/pratique que l’on peut voir par-ci par-là dans d’autres matières. Mais bon, j’ai l’impression qu’il existe encore un manque d’informations dans cette formation, principalement en ce qui concerne les débouchés liés à ce que l’on nous apprend. Aucun cours n’est fait sur sur la Guerre de l’Information, sur l’aspect social/stratégique/géopolitique de ce domaine et sur les débouchés professionnels autres qu’administrateur réseau ou pentester. Ceci est vraiment dérangeant, surtout que ce domaine est aujourd’hui en pleine explosion…
TinyRAT : Quelques nouvelles de notre projet
TinyRAT avance. Pour rappel, notre groupe, composé de Mathieu Bonnet, Guillaume Duchene, Anais Verdier et moi-même réalise un malware « simple » fonctionnant sur le modèle des SpyEye et autres Zeus : communication par HTTP, C&C présent sur un serveur web distant etc.
Bon, passons à la technique. Un premier draft fonctionne déjà relativement bien au niveau protocolaire (gestion des commandes etc.) et je suis assez impressionné de voir la vitesse de développement de ce projet (notamment pour le client développé en C). Le serveur de commandes, réalisé en PHP5/JS/HTML5/MySQL est pratiquement fini. Seules quelques optimisations d’ergonomie liées au front sont encore à prévoir. Le client est encore à un stade basique mais avance bien au niveau de l’injection dans les processus, persistance, furtivité etc. Pour ne rien vous cacher, je suis très content du travail que nous avons accompli à mi-projet. Peu importe la note finale, cela aura été une expérience enrichissante pour tout le groupe. Après avoir consulté le groupe, je vous montre quelques screenshots du C&C avec des explications complémentaires. Et c’est sur ces images que s’arrête ce troisième épisode ;)
Demande d’authentification
Liste des différents RATs enregistrés auprès du C&C
Gestionnaire de fichier réalisé en jQuery/HTML5/PHP
avec envoi de fichiers en drag’n'drop.
Shell « augmenté » en jQuery/PHP. Ce dernier permet une interaction avec l’invite
de commande de Windows tout en ayant de nouvelles commandes
liées aux fonctionnalités du RAT.
Carte présentant sur une planisphère la géolocalisation des RATs actifs et inactifs. (l’activité est symbolisée par des arcs de cercles reliants les RATs au C&C)
