| CERT | Conférences

Cette année, j’ai eu la chance de me rendre à NorthSec, la conférence qui a lieu à Montréal tous les ans au mois de mai. Cela faisait quelques années que je voulais y aller, et mon rêve a été exaucé 🙂

Pour commencer, le lieu était exceptionnel : les conférences avaient lieu sur 2 stages, dans le centre de sciences de Montréal (photo ci-dessous)

En plus, coïncidence inouïe : il y avait en parallèle de la conférence une superbe exposition sur les araignées. Et vous savez qui est arachnophobe ? Votre serviteur … (sic!)

Heureusement pour palier à la peur permanente d’avoir à l’étage du dessous des dizaines d’énormes araignées, NorthSec a prévu de supers badges (photo ci-dessous), et des conférences extra ! (ainsi que de la bonne bière à volonté \o/)

Les confs qui m’ont plu :

The SOC counter ATT&CK par Mathieu Saulnier (@ScoubiMtl)

Le talk de Mathieu Saulnier était extrêmement intéressant. C’était une sorte de guideline à suivre, pour pouvoir correctement factoriser la matrice du MITRE (ATT&CK), prioriser les phases d’implémentation, et suivre ces phases correctement à un niveau de gestion.

C’est au travers d’un ensemble de questions pour chaque technique d’attaquant, que Mathieu nous permet de prioriser leur implémentation afin d’effectuer au plus vite et le plus efficacement possible du Threat Hunting ou de l’alerting sur un parc mature.

De plus, Mathieu revient sur les différents projets Open Source utilisables simplement pour pouvoir travailler plus efficacement sur l’implémentation et le suivi de ce projet (qui est un gros chantier évidemment). Par son expérience, Mathieu nous indique les pièges à éviter et les pistes à ne pas suivre, pour ne pas rendre son SOC inefficace. L’objectif est d’augmenter le niveau de visibilité et de détection, sans impacter la production par un trop fort taux de faux-positifs évidemment.

Ce qui est intéressant c’est qu’au SOC et au CERT nous avons ces problématiques, et que grâce à cette conférence nous pouvons avancer plus sereinement et plus intelligement quant à la mise en place d’un Threat Hunting efficace pour nos clients.


Threat Hunting in the Cloud par Kurtis Armor et Jacob Grant

Avec l’arrivée massive d’assets dans le cloud, est-ce que la sécurité que nous implémentions traditionnellement est efficace ? Le cloud apporte son lot de nouvelles menaces, et on se rend rapidement compte que nous avons besoin de revoir notre façon de hunt le comportement malveillant d’attaquants à la fois sur l’intérieur du réseau “traditionnel” mais aussi directement sur le cloud. Dans cette présentation, nous avons quelques techniques intéressantes, quelques outils et quelques configurations qui,agrégées , nous permettent de détecter ces comportements malveillants (via OSQuery, l’augmentation du niveau de log sur les machines, Sysmon sur windows, etc.). Somme toute, cela montre la nécessité d’avoir des logs au plus proche du système sur ces machines, parce que parfois la couche réseau ne nous fournit pas de logs (c’est l’hébergeur qui s’en occupe).

Nous observons donc un changement de paradigme de la sécurité qui tend de plus en plus à être efficace : le déploiement de solutions de monitoring au plus proche du endpoint via des outils open source (GRR, sysmon, auditd, OSQuery) ou payants (CrowdStrike, CarbonBlack, Kaspersky EDR et d’autres softwares de type EDR).


DNS on fire par Paul Rascagnères (@r00tbsd) et Warren Mercer (@SecurityBeard)

Une super conférence nous a été offerte par Talos. Les chercheurs de l’entreprise américaine sont revenus vers nous en nous faisant un historique des différentes attaques par redirections DNS depuis 2009, puis nous ont lancé dans le vif du sujet avec DNSpionage (instant autopromo – sujet que nous avons aussi traité ici : https://blog-cert.opmd.fr/dnspionage-focus-on-internal-actions/). Après un bref retour sur DNSpionage, Paul Rascagnères nous explique comment via des techniques de Threat Intelligence (Passive DNS, certbots, etc.) ils ont pu remarquer des redirections de domaines effectuées sur des domaines gouvernementaux (type gov.ae ou gov.lb). C’est à partir de là que leur scope de recherche s’est agrandi et qu’ils ont pu mettre à jour l’attaque de grande envergure d’un autre groupe, appelé Sea Turtle par Talos, qui effectue des actions d’espionnage sur des victimes clairements identifiés, principalement du Moyen-Orient et de secteurs d’activités “sensibles” (Oil & Gaz, Military & intel agencies, …). Pour les chercheurs de Talos, cette attaque est sponsorisée par un état, de par leur perfectionnement et leurs cibles.

Sea Turtle est aussi responsable du pown de certains registry (partie extrêmement critique du DNS) ce qui leur a permis d’effectuer silencieusement des redirections DNS.

Après avoir présenté la méthodologie des attaquants de Sea Turtle, nous sommes frappés par la différence de niveau des attaques entre DNSpionage et Sea Turtle, ce qui indique bien deux groupes bien distincts. De plus, Sea Turtle n’a pas arrêté ses activités bien qu’ils aient été découverts par Cisco Talos, ce qui est montre à quel point ils n’ont pas peur de représailles telles que l’emprisonnement ou autre… En bref, un sujet passionnant, à suivre pour de futurs rebondissements.


Good list of bad ideas par Laurent Desaulniers

Vous vous êtes déjà demandé si les trucs de Die Hard fonctionnaient dans la vraie vie, comme survoler un immeuble en hélicoptère pour s’y faire déposer ? Vous vous êtes déjà demandé “hey, pour ce test d’intrusion, ce serait plus simple si j’arrivais à faire évacuer l’immeuble”, ou bien même “le client veut du DOS ? Si je me débrouillais pour que son software soit considéré comme malveillant par VirusTotal ?”. Et bien Laurent Desaulniers s’est posé toutes ces questions … et un peu plus. Une conférence à la fois hilarante et intéressante – feindre sa propre mort avec un produit qu’on utilise dans les films n’est pas une bonne idée. Le produit est si efficace, qu’on meurt vraiment … -.


Mais Montréal c’est aussi des lancers de hache (merci @Pat_Ventuzelo pour la photo 😉 ), des bières, et des steaks (au Keg) !

@AZobec

Et même si c’est à l’autre bout du monde, même si les araignées sont encore dans la salle du dessous, ou voire même dans la salle de confs, j’y retournerai ! Les conférences sont de qualité, les organisateurs sont incroyablement gentils et aux petits soins, la bière y est extra, et surtout l’ambiance générale des participants est infiniment positive.

Merci pour cette conférence, et sûrement à l’année prochaine Montréal !

@AZobec – Analyste CERT