| Conférences

L’équipe du SOC Openminded, du Pentest Openminded ainsi que le CERT-OPMD ont été bien représentés cette année à la botconf.

En effet, avec les collaborateurs Teboral Loganathan, Giovanni Rattaro, Dylan Dubief, Benoît Ancel, Sulian Lebegue, Van-Phuong Le, Jérémy Mounier et Arnaud Zobec, ce ne sont pas moins de 8 personnes qui sont partis pour Montpellier, assister à la conférence, dans les grandes salles du Corum.

Jour 1

La keynote d’introduction, présentée par Robert Erra et Sébastien Larinier portait sur “How to Compute the Clusterization of a Very Large Dataset of Malware with Open Source Tools for Fun & Profit?”.

Cette keynote a été suivie d’une investigation menée par Checkpoint “Get rich or die Trying”, sur ce qui leur semblait être une APT . Une excellente conférence, relatant toutes les étapes de l’investigation de la campagne “Oil bot”. C’est en fait l’histoire d’un homme seul, qui a ciblé un secteur critique (l’énergie), armé d’outils de piètre qualité, avec des notions d’OPSEC relativement mauvaises. Le talk raconte l’investigation dans son ensemble, depuis la suspicion de l’APT, jusqu’à la réalité : un scammer nigérien qui voulait juste gagner de l’argent rapidement et facilement, qui s’auto-infecte, et qui permet aux investigateurs de remonter facilement jusqu’à lui. Une conférence ludique et techniquement intéressante à revoir sans attendre!

Une autre conférence qui nous a marqué ce jour-là, était le travail présenté par Raimir Holanda et Renato Marinho, sur l’exploration d’un botnet P2P.

Leur travail consistait en la compréhension du protocole et de l’architecture mise en place par le botnet, afin de modifier le comportement de leur infection, et de ne plus se faire passer pour un “checker” (un simple bot), mais de devenir un “scaro” (botnet avec un rôle de C&C). L’intérêt ici est de montrer simplement qu’on peut mieux cartographier un botnet P2P en comprenant son protocole, et en se faisant passer pour une partie de “l’architecture” du botnet.

Nous avons aussi eu le droit à la présentation de l’outil RetDec, un décompilateur Open-source basé sur LLVM. Il faut saluer le travail d’excellente qualité d’Avast. Utilisable avec IDA, ou d’autres outils déjà présents, c’est un outil open-source de très bonne qualité pour les reversers de malware. Vous pourrez trouver plus d’informations ici : https://blog.avast.com/avast-open-sources-its-machine-code-decompiler

Après le déjeuner nous avons eu une excellente conférence de Karine e Silva qui avait pour but la présentation d’idées pour améliorer le partage de preuves (notamment dans les investigations sur le botnets) avec les Forces de l’Ordre (Law Enforcements ou LE). Son travail a consisté dans l’analyse et l’étude des principales tendances en matière d’utilisation de preuves obtenues illégalement par les forces de l’ordre aux États-Unis et dans certains États membres de l’UE (Pays-Bas, Allemagne ou France). Karine e Silva s’appuie sur ces résultats d’analyse pour proposer des règles qui pourraient ouvrir la voie à une utilisation accrue des preuves de botnet par les forces de l’ordre, de manière cohérente et respectueuse du cadre légal européen (droits fondamentaux, lois, etc.).

Jour 2

Le jour 2 a débuté très fort avec la conférence de Félix Aimé, membre du GReAT, l’équipe d’analyse et de recherche mondiale de Kaspersky Lab. Félix a présenté son outil, KnightCrawler qui lui sert à découvrir et à monitorer les points d’eau (Watering Holes en anglais), qui sont des sites web stratégiques compromis. Il réussit dans sa présentation à nous créer facilement un lien entre la géopolitique et la technologie, en monitorant des sites d’organisations stratégiques (GOV, NGOs, industries, sites d’informations …). Certains points d’eau, parfois reliés à des APT ou au cybercrime, ont été découverts via ce projet, incluant des Exploits Kits et des acteurs pas encore connus.

Durant l’après-midi, nous avons applaudi le travail de Martin Clauß, Steffen Enders, Elmar Padillia et Daniel Plohmann. Malpedia est une plateforme collaborative pour permettre à tous un accès cohérent au paysage du malware, via le stockage et la documentation de malwares dépackés. Ils fournissent ainsi grâce à la plateforme et via cet ensemble de données, un aperçu comparatif des caractéristiques structurelles de plus de 300 familles de logiciels de Windows. Voici le lien de malpedia : https://malpedia.caad.fkie.fraunhofer.de/

Nous ne pourrons pas parler de l’excellente conférence de Maciej KotpwiczThe Good, the Bad, the Ugly : Handling the Lazarus incident in Poland”, malheureusement TLP;AMBER. Nous n’évoquerons donc rien de cette conférence, mais merci à lui pour sa présentation et ses piqûres de rappel.

Enfin, comme à son habitude, la Botconf accueille des lightning talks : des présentations de 3 minutes chrono ouvertes à tous ceux qui ont un sujet à introduire mais qui n’ont pas pu soumettre au Call For Paper dans les temps.
Quatorze présentations ont eu lieu cette année : de la présentation d’un nouveau malware à l’utilisation de Sysmon en passant par le build d’un SOC, les lightning talks ont encore été extrêmement enrichissants.
À noter qu’OPMD était largement représenté lors des lightning talks avec deux collaborateurs, Giovanni Rattaro présentant Deft-X (la nouvelle distribution Forensic/Analyse de malware) et Benoît Ancel détaillant une infrastructure servant à héberger des serveurs de contrôle de malware.

Mais le meilleur moment de la seconde journée, le plus surprenant et extraordinaire, fut la réception à l’aquarium de Montpellier, avec ses manchots et ses plus de 40 requins !
Une soirée extraordinaire, passée en bonne compagnie, avec l’équipe de la botconf aux petits-soins (merci à eux).

Et comme d’habitude, botconf = bouffe-conf, donc autant dire que nous nous sommes remplis la panse et que nous nous sommes bien amusés !

Jour 3

Leur travail de documentation et de recherche sur la propagation latérale qui est disponible gratuitement sur le site du CERT-JP permet de comprendre ce qu’il faut mettre en place pour de la détection de propagation latérale.

La présentation portait sur certaines attaques (ou types d’attaque), afin d’identifier des patterns et des outils typiquement utilisés dans des cas de propagation latérale. De ce constat, le CERT-JP explique comment investiguer, avec quels outils, et surtout comment prévoir en amont les logs nécessaires au bon déroulement d’une investigation en cas d’attaque incluant de la propagation latérale.

Leurs travaux de recherche (https://www.jpcert.or.jp/english/pub/sr/ir_research.html) sur le sujet sont à regarder pour chacun des passionnés de forensics ou d’incident response qui lira ce blog-post.

Article : @AZobec