Stantinko est un botnet découvert en 2017 par des chercheurs d'ESET et dont la taille est estimée à un demi-million de machines. En plus de sa prévalence, ce botnet nous a étonnés par la sophistication des techniques utilisées pour contrecarrer la détection et l'analyse des différents malware de cette famille. Ceci lui a permis de rester relativement inconnu pendant plus de cinq ans. Sa principale fonctionnalité est de faire de la fraude publicitaire, mais son arsenal comprend aussi une backdoor permettant d'exécuter du code arbitraire sur la machine infectée.
Cette présentation couvre les résultats d'une traque de 6 mois de ce botnet.
Premièrement, nous présenterons le vecteur d'infection de Stantinko. Il s'agit d'un downloader connu sous le nom de FileTour. Installant un nombre considérable de programmes indésirables, FileTour permet de dissimuler l'installation furtive de Stantinko.
Deuxièmement, nous détaillerons les différentes techniques utilisées par les développeurs de Stantinko pour ralentir l'analyse et la détection. Parmi ces techniques se trouve le chiffrement du code responsable de la communication avec le serveur de contrôle avec un clé unique par machine. Ce code est parfois stocké dans le registre Windows. Il est ainsi plus difficile d'avoir accès à tous les éléments nécessaires à l'analyse. L'utilisation d'un obfuscateur maison rend la phase de rétro-ingénierie longue et fastidieuse. Finalement, l'intégration de code provenant de projet open source dans les binaires malicieux rend le travail des équipes de détections plus difficile.
Troisièmement, nous détaillerons les modules finaux délivrés aux machines infectées. Envoyés par le serveur de contrôle et directement chargés en mémoire, ces modules ne sont pas persistants et ne se retrouvent jamais sur le disque. Bien que difficiles à obtenir, ils contiennent le code malicieux et sont indispensables à la compréhension de Stantinko. Les modules que nous avons trouvés comprennent des installeurs d'extension de navigateur faisant de la fraude publicitaire, un module pouvant brute-forcer des sites Joomla ou Wordpress, un module faisant de la fraude sur Facebook en générant, entre autres, des faux comptes et des faux likes, un module permettant de faire des recherches massives et distribuées sur Google et une backdoor donnant un contrôle total aux attaquants sur la machine infectée.