| Conférences

Cette année encore, nos consultants de la BU Sécurité Offensive & Défensive, ont eu l’occasion de participer au Coriin (Conférence sur la Réponse aux Incidents & l’Investigation Numérique) qui s’est tenue à Lille le 21 Janvier dernier.

La montée des logiciels malveillants destructifs


Thomas Roccia [@fr0gger_ ] chercheur en sécurité informatique passionné de reversing des malwares, travaille chez McAfee depuis plus de 3 ans. Il a fait de nombreuses recherches sur les APT ciblant les systèmes industriels.

Présentation :

La présentation a commencé par une vidéo des différentes explosions pas forcément liées à une attaque informatique. Le but était d’attirer l’attention des participants sur les potentiels risques d’une attaque informatique qui peut cibler un système critique.

300 Millions de dollars, voici ce que coûte pour une attaque un impact physique.

Après la vidéo, un retour historique de différentes attaques, virus et vers à été dressé, en voici un retour exhaustif :

  • Le vers Slammer (SQL) en 2003
  • Shamoon, Wiper sur le secteur OIl& Gaz en 2012
  • Destover ayant affecté Sony, en 2014
  • Industroyer, impactant l’Ukraine en 2016
  • Mirai, célèbre Botnet DDoS
  • Triton, ayant afecté les sysèmes de secours SIS Schneider en 2017
  • Notpetya, Wiper, chiffre les données et réécrit le MBR, en 2017
  • Olympic Destroyer en 2018
  • VPNFiler, exploitant des vulnérabilités sur certains routeurs (on parle de 500k…)
  • Enfin Shamoon V3, Wiper.

Pendant la présentation, le chercheur a essayé de classifier les différentes menaces selon leurs impacts sur les différents critères de disponibilité, confidentialité et d’intégrité d’un système informatique. Les menaces détectées varient de simple perturbateur à des wipers pouvant causer une destruction complète de la data.

En ce qui concerne les acteurs de ces attaques, le chercheur suspecte plus des agences gouvernementales sans exclure des groupes criminels avec des motivations financières.

Ce qui est intéressant, c’est la capacité des attaquants à mêler de la tromperie à l’utilisation de leur malware. En effet, un Ransomware, peut être utilisé comme élément de distraction des équipes de réponse à Incident (thème de cette journée), ex: Cas d’une banque à Taiwan, avec le rançongiciel Hermès, “sans rançon”, alors qu’un versement de dizaines de millions de dollars a lieu concomitamment. A citer également, Notpetya et son pseudo ransomware, qui était une attaque destructive déguisée.

La présentation s’est terminée par quelques recommandations pour limiter l’impact de telles attaques (segmentation réseau, backup réguliers, virtual patching, bastions, etc…)


Investigation dans AmCache


Blanche Lagny [@moustik01] est une chercheuse en sécurité travaillant à l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Elle est passionnée par la réponse d’incident notamment sur les systèmes Windows.

Présentation :

La présentation a commencé par expliquer ce qu’est l’AmCache, c’est à dire les artefacts d’exécution de binaire “shimés” Windows, dans le cadre de l’infrastructure de compatibilité d’applications.

Des outils existent déjà : AmCacheParser et RegRipper par exemple, cependant le rapport de recherche présenté est complet et aidera les analystes de manière inestimable.

La chercheuse a présenté les résultats de ses travaux qui sont détaillés dans le rapport suivant :

http://www.ssi.gouv.fr/agence/publication/analyse-de-lamcache/


Investigation numérique sur l’annuaire Active Directory avec les métadonnées de réplication


Léonard Savina [@ldap389] est un chercheur en sécurité travaillant à l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Il s’intéresse à tous les types d’annuaires notamment Windows Active Directory, l’annuaire le plus répandu en entreprise.

Présentation :

Le but de la présentation était de détailler comment les métadonnées de réplication entre plusieurs contrôleurs de domaines peuvent être utilisées dans le cadre de réponse d’incident. La présentation était intéressante car elle montrait l’utilité ou non de ces données dans le cadre de vraies attaques (Mimikatz DCSync via déploiement GPO et Mimikatz DCShadow).

Le présentateur a profité de CORIIN pour présenter son outil ADTimeline,

Les résultats complets des recherches sont présents dans https://www.ssi.gouv.fr/publication/investigation-numerique-sur-lannuaire-active-directory-avec-les-metadonnees-de-replication-outil-adtimeline/

L’outil quant à lui est disponible ici : https://github.com/ANSSI-FR/ADTimeline


Agressions électromagnétiques et forensics


José Lopes Esteves [@lopessecurity] est un chercheur de l’ANSSI, expert en sécurité des technologies sans fil.

Présentation :

José nous a parlé d’Agressions Électromagnétiques (AE) et il a expliqué que ces attaques ont la possibilité d’interférer avec le fonctionnement de certains types d’hardware et donc, grâce à leur défaillances, de laisser des traces dans les logs.

Le présentateur nous a montré ensuite les techniques d’analyse de spectre utilisables pour pouvoir monitorer et donc détecter ce type de menaces

Potentiellement il sera possible de laisser “une empreinte” dans les logs, par exemple sur un drone qui s’approche d’un bâtiment sensible ou encore plus subtile, il sera possible de communiquer en langage Morse par canal de communication cachée.


AWS EC2 Forensics 101


Frédéric Baguelin [@udgover] travaille comme analyste senior au CERT de la Société Générale.

Présentation :

Frédéric nous a parlé des problématiques liées aux investigations de type forensics dans le milieu du cloud (notamment Amazon EC2) et de la manière dont il a procédé.

Après avoir résumé les fondamentaux du fonctionnement du cloud Amazon, il a commencé à nous parler de différents outils open source et il a cité un repository git : https://github.com/toniblyx/my-arsenal-of-aws-security-tools

Après avoir abordé les problématiques liées aux zone géographiques et notamment où sont stockés les données, leur chiffrement et les différents droits d’accès, Frédéric nous a expliqué sa technique pour créer un Snapshot du volume qu’il faut investiguer. Il a poursuivi sur la façon de récupérer ce Snapshot localement et comment le transmettre directement sur une machine d’analyse préparée en amont et disponible dans le cloud pour éviter le téléchargement des données.


Retour d’expérience lors d’investigation iOS


Paul Rascagnères [@r00tbsd] est un expert international en analyse de malwares et chercheur dans l’équipe Cisco Talos

Présentation :

Paul a commencé avec l’introduction de l’architecture générique d’iOS et l’explication du fonctionnement de base. Du moment que la sécurité iOS est bien faite, faire l’analyse d’une application (extraction de fichier .IPA) devient très compliquée et effectuer un JailBreak est “obligatoire”; si ce dernier n’est pas disponible pour la version d’iOS installée il faut attendre la sortie d’une nouveau JailBreak ou contacter directement Apple.

Il a ensuite présenté des outils afin d’analyser les applications récupérées et les techniques d’attaques adoptées pour infecter les dispositifs Apple.

Une technique particulièrement subtile, couplée avec du social engineering, est d’associer les dispositifs à des MDM (Mobile Device Management), et d’installer les applications malveillantes.

MDM peux installer des applications mais ne pas désinstaller celles déjà présentes, donc l’attaquant pour faire utiliser une versione piégée de WhatsApp précédemment installée, active simplement le controle parentale sur le dispositif pour cacher l’application officielle (catégorisée pour +16 ans) et donc garder visible seulement l’autre malveillante (catégorisée par exemple pour enfants de +6 ans).


Giovanni Rattaro – Renaud Leroy – Zakaria Sammari