| Salons

Cette année encore, l’équipe du CERT-OPMD s’est rendu à l’événement organisé par le CECyF juste avant le FIC : CORI&IN.
Cette quatrième édition de cette conférence, dédiée aux techniques de la réponse aux incidents et de l’investigation numérique a eu lieu à Lille, et a pour but de permettre aux enquêteurs spécialisés, aux experts judiciaires, juristes, chercheurs, membres de CERTs, etc. de partager et échanger sur les techniques du moment.

Par ce bref retour, nous allons vous partager notre ressenti sur ces excellentes conférences.

Les conférences

La journée a commencé par la conférence de Eve Matringe, avocate au barreau du Luxembourg. L’oratrice nous a partagé au travers de sa conférence intitulée “L’investigation numérique saisie par le droit des données personnelles” son expérience sur les textes et les lois liés au numérique.
Les problématiques posées par Eve Matringe sont de plusieurs types, et nous invitent, en tant que CERT, à nous questionner et à mettre en place un certain nombre de procédures et de contrats d’intervention spécifiques concernant le traitement de données personnelles. L’oratrice nous a donc présenté les impacts de la RGPD sur les investigations numériques, ainsi que les impacts de la loi 1978, de la directive 2016/680 du Règlement Européen.
En effet, bien que l’anonymisation de données résout tout un tas de problématiques liées à la donnée personnelle, comment faire lors d’une investigation numérique qui cherche à cibler des personnes physiques ? Prévoir des conditions légales pour le traitement de données, comprenant un encart sur la finalité de ce traitement, de sa légalité et de sa légitimité est un bon début. Mais il faut aussi prévenir la personne physique des risques encourus, des règles, des garanties et des droits dont elle dispose.
En effet, bien que ces règles soient mises en places pour nous protéger, Eve Matringe nous invite à réfléchir sur la possible utilisation de ces textes de loi par des personnes malveillantes, pour rendre caduques les investigations à leur encontre.

Le talk suivant, de Xavier Mertens était intitulé “Full Packet Capture for the masses”.
Xavier nous a présenté son retour d’expérience pour la mise en place de FPC (Full packet capture) sur son environnement de machines hébergées sur des VPS, clouds, physiques, etc. donc un environnement extrêmement hybride et ne communiquant pas par VPN obligatoirement. Il a choisi pour la communication des sensors avec le master, SSH avec authentification par clé, ce qui est judicieux et minimaliste dans le choix de techno.
Il a choisi un déploiement via des sensors dockers pour une indexation offline, en utilisation le système d’indexation et de capture Moloch (CERT AOL, https://github.com/aol/moloch).
Les fonctionnalités intéressantes qu’il a notamment présentées sont à la fois le dashboard déjà présent, mais surtout la fonctionnalité permettant de limiter la capture des 10 premiers paquets de protocoles chiffrés, pour éviter d’avoir à analyser du trafic inintelligible. Cela permet donc d’avoir la connaissance des échanges, sans avoir le contenu des paquets chiffrés, et donc de ne pas utiliser du stockage inutilement.
Merci à lui pour son travail qui est disponible ici : https://www.slideshare.net/xme/fpc-for-the-masses-coriin-2018 et ici : https://github.com/xme/fpc

Ensuite, Morgane Celton et Morgan Delahaye de l’ANSSI nous ont présenté “L’analyse des jobs BITS”. Pour rappel, ce service/protocole (Background Intelligent Transfer Service) est utilisé notamment pour effectuer des transferts de données, comme Windows Update par exemple. Il fonctionne par “jobs” qui ont une durée de vie maximale jusqu’à 90 jours. Le service s’occupe du queuing et il utilise le “temps idle” de la connexion réseau pour effectuer le transfert de données, en même temps il permet aussi une exécution de commande en fin de transfert, ce qui peut donc être utilisé par un attaquant. Dès 2007 on voit les premières attaques utilisant BITS pour infecter des machines, mais récemment (DEFCON 2017) le projet BITS Inject a fait parler de lui.
Ce service, peut-être managé par CLI (maintenant obsolète), mais aussi par PowerShell. Cependant, lors d’investigations, on préfère ne pas utiliser les API PowerShell au cas où un rootkit ait modifié son comportement, et c’est pourquoi l’ANSSI a développé son propre script Python d’extraction d’artefacts BITS. Leur travail a consisté à comprendre le format non-documenté utilisé par BITS, puis le parser correctement.
Leur outil est disponible via “pip install bits_parser”, et leur code est disponible sur Github.
Merci à eux pour leur excellent travail de documentation et d’outillage.

Après le déjeuner, nous avons eu droit à une conférence de Paul Rascagnères, chercheur chez Talos sur les événements liés à CCleaner, et principalement sur la backdoor et les C&C concernant le case.
Après une détection d’un CCleaner suspect via le logiciel AMP de chez Cisco, Paul Rascagnères a présenté la backdoor, compilée le 15-08-2017 et corrigée le 12-09-2017 qui patche les runtimes du compilateur, pour que ce soit plus difficilement détectable par un analyste. La backdoor déchiffre une dll dans le binaire, la charge, et télécharge une seconde charge via un C&C. L’astuce pour contacter le C&C est intéressante et surprenante : En utilisant des DGA, 2 ip vont-être récupérées par le malware, et après une permutation d’octets sur ces 2 IP, il contacte directement l’IP obtenue. Ensuite, la machine envoie ses informations vers le C&C, et sur certaines cibles, un second stage, avec une autre backdoor est téléchargé.
Il nous a aussi montré les techniques d’anti-analyses utilisées pour essayer d’échapper aux analystes utilisant le débogueur IDA (heureusement, cela n’avait pas lieu sous RADARE2).
La seconde partie de la présentation concernait la présentation de statistiques récupérées sur les databases d’un seul C&C sur 5, des données donc partielles à ne pas généraliser mais qui peuvent donner un aperçu. Sur 862k machines, 41k sont des machines compromises sur un domaine (50k France, 6k Belgique et 250 au Luxembourg), et seules 25 machines ont téléchargé le deuxième payload.
Il était intéressant de voir que les tous les pays sont potentiellement infectés, parce qu’une attaque de type “Supply Chain” comme celle-ci, relativement avancée, sur un outil aussi utilisé que CCleaner prend très rapidement de l’ampleur.

La conférence qui suivit, de Vincent Nguyen et Quentin Perceval du CERT-W (Wavestone) revient sur les épisodes de Wannacry & NotPetya, mais vus depuis la cellule de crise. C’était un très bon feedback sur ces infections, et notamment parce qu’ils ont été sur l’incident depuis quasiment H+3 jusqu’à la récupération totale de l’infrastructure, quelques semaines/mois plus tard. Si vous êtes aux commandes d’une telle cellule de crise, nous vous invitons à revoir leurs slides et leur présentation, puisqu’ils reviennent avec brio sur beaucoup de points critiques qui ont été bien gérés par leurs équipes.

Ensuite, Rayna Stamboliyska nous a présenté une conférence au nom intrigant : “Comment ne pas communiquer en temps de crise : Une perspective utile pour la gestion d’incident cybersécurité”. @MaliciaRogue nous explique qu’en effet, la communication lors d’une gestion de crise est obligatoire, mais que pour être efficace et performante, elle doit se faire dans les règles de l’art, et qu’elle doit avoir été préparée. Elle revient pour cela sur les différentes étapes de la crise, et à quels moments communiquer intelligemment sur celle-ci. À cause des crises en mille-feuilles que nous connaissons actuellement, la complexification de la communication est à surveiller, à la fois pour éviter une communication crisogène (qui va faire ressurgir une crise passée), mais aussi pour gérer au mieux la crise.

La conférence suivante était de Sébastien Larinier, qui revenait sur “Wannacry, NotPetya, BadRabbit : de l’autre côté du miroir”. L’orateur a commencé sa conférence par un bref rappel et une brève analyse des attaques que nous avons vues, à la fois pour rappeler à tous ce qu’elles étaient, mais aussi pour montrer du doigt les erreurs de compréhension qui ont été commises pendant ces crises. En effet, entre les collisions de campagne (qui ont entraîné pour des équipes de réponse à incident des recherches de mails n’existant pas), et la confusion de certains articles techniques (mauvaise attribution, etc.), les crises ont été mal gérées par la communauté. La course à la communication des entreprises de sécurité a amené à beaucoup d’erreurs concernant ces attaques, et nous en avons tous oublié les principes de base : rappeler les recommandations d’hygiène qui s’appliquent plus que jamais dans ce genre de cas : application de patchs, segmentation réseau, etc… (cf. le guide de l’hygiène informatique écrit par l’ANSSI).

Enfin, la dernière conférence de François Bouchaud, de la Gendarmerie Nationale, portait sur l’analyse forensics des objets intelligents communicants, que l’on appelle aussi IOT. Il propose au travers de sa conférence une méthodologie pour les enquêteurs, afin d’aider lors de l’acquisition du matériel. Sa méthodologie d’investigation proposée essaie au travers d’une démarche structurée et académique, de fournir une démarche pratique à l’acquisition des objets, à l’acquisition des signaux lors d’une investigation judiciaire, et au traitement de ces signaux. Un travail encore à l’état de recherche mais qui semble prometteur pour nos investigateurs numériques.

En bref, cette journée de conférence de qualité nous a permis d’avoir une vue d’ensemble du travail de nos confrères et collègues, et d’être au courant de travaux de recherche en cours. Nous nous y rendrons à nouveau l’an prochain avec plaisir.