| Salons

Le 23 Janvier 2017 se tenait dans les locaux d’Euratechnologies à Lille la troisième édition de CoRIIN, la conférence dédiée aux techniques de réponses aux incidents et d’investigation numérique.

Regroupant enquêteurs spécialisés, experts judiciaires, chercheurs, juristes spécialistes de la réponse sur incidents ou des CERTs, cet événement permet de rassembler les différents acteurs de cette communauté autour de présentations techniques ou juridiques de qualité.

Tout au long de la journée, les intervenants se sont succédé afin de présenter leurs travaux.

Nos « Pentester OPMDiens » vous font un retour exhaustif des différentes présentations :

Dark0de : Analyse relationnelle de la structure d’un réseau de hackers d’élite, par Benoit Dupont (Université de Montréal)

Présentation très intéressante sur la structure interne d’un réseau de blackhats présent sur le forum privé Dark0de démantelé par le FBI en 2015.

De nombreux points ont été abordés, notamment sur la façon de recruter les membres, sur l’organisation interne du forum ou encore sur l’activité de chaque utilisateur. On a pu constater que les blackhats les plus connus ne sont pas forcément ceux qui sont les plus actifs sur le forum. Ils ont également donné des exemples de discussions entre utilisateurs souhaitant vendre/acheter des malwares qui ne se sont pas avérés être autant lucratifs que ce qu’ils pensaient.
« Au final une étude très intéressante démystifiant les idées reçues sur le marché underground des 0days, qui ne sont apparemment pas vendues des millions de dollars comme on peut l’entendre assez souvent ».

Détection post-mortem de « bootkits » par Sébastien Chapiron et Thierry Guignard (ANSSI)re

Après un rappel sur le fonctionnement du démarrage du BIOS, les conférenciers ont présenté les différentes techniques utilisées par les malwares pour s’installer dans la séquence de démarrage du BIOS.

Afin de détecter plus rapidement ces types de logiciels malveillants, un outil d’analyse offline a été développé par les équipes de l’ANSSI : l’outil compare le MBR/VBR avec une whiteliste d’empreintes MBR/VBR connue et identifie la moindre différence entre les deux, signe d’un MBR infecté.

Lien utile : https://github.com/ANSSI-FR/bootcode_parser

Analyse forensic du cloud en RAM par Pierre Veutin et Nicolas Scherrmann (TRACIP)

Avec l’utilisation de plus en plus répandue du cloud et notamment des services de Google tels que Gmails, Google+, Drive, Docs ou encore Hangout, l’analyse des informations stockées en RAM par ces services peut s’avérer très intéressante en forensic juridique. En effet, on a pu voir qu’il est possible de récupérer des données de Google Docs tels que : la structure des documents, les commentaires, l’identité des différents collaborateurs, ainsi que les messages dans les documents.

« Les retours d’expérience sur des analyses de ce type nous permettent de constater que bien qu’étant hébergés dans le cloud, ces services laissent tout de même des traces au niveau local sur les machines pouvant s’avérer être utiles dans le cadre de test d’intrusions durant les phases de reconnaissance, ou lors d’investigations par des équipes de forensic. »

Investigation sur la chaîne de blocs par Stéphane Bortzmeyer (AFNIC)

Présentation de l’investigation menée par Stéphane Bortzmeyer sur les chaînes de blocs comme le Bitcoin, montrant les techniques utilisées par des utilisateurs malveillants afin de masquer leurs paiements illicites. Contrairement aux idées reçues, les transactions via des chaînes de blocs ne sont pas complètement anonymes, et sont consultables via des outils d’exploration de chaînes de blocs.

Retour sur les techniques et méthodes du groupe FIN7 par David Grout (Fireeye)

Étude menée par Fireeye pendant 2 ans sur un groupe de hackers baptisé FIN7, montrant que le Social Engineering (notamment le Phishing) est encore très utilisé dans les phases de reconnaissance. Quant aux phases d’élévation de privilèges, elles restent assez classiques. On retrouve notamment les outils natifs de Windows ainsi que des outils comme Meterpreter, PSExec ou encore Mimikatz.

Finalement on peut s’apercevoir que les techniques employées par ces groupes de hackers ne s’éloignent pas de celles utilisées par les équipes de tests d’intrusion.

Il a également été rappelé de mettre en place une bonne politique de sécurité afin de disposer de fichiers de logs, d’analyser régulièrement les flux réseaux et les machines, d’adopter une politique de droits restrictifs ou encore de toujours disposer d’un proxy pour les connexions sortantes.

RAM & DISK EFI Dumper par Solal Jacob (DFF)

Présentation de la démarche utilisée afin d’accéder à un disque chiffré avec Bitlocker. Les clefs de chiffrement étant stockées en RAM, le conférencier nous a présenté les techniques mises en place pour y accéder, comme le coldboot par exemple. Ces méthodes s’avérant infructueuses, la solution retenue a été d’utiliser le shell de l’UEFI, ainsi la RAM et une image disque ont pu être récupérées via un support de stockage externe. Tout ce processus a été incorporé au logiciel DFF et sera bientôt disponible.

Pour conclure

Également présent ce jour: Garance Mathias pour une conférence sur les aspects juridiques de l’impression 3D, et Sébastien Larinier pour nous exposer son point de vue sur la réponse sur incident.

Tout au long de la journée nous avons assisté à des conférences de qualité et très intéressantes, aussi bien pour nos équipes de réponse sur incidents et forensic qui ont pu découvrir de nouvelles techniques à appliquer lors d’investigations avec nos clients. Mais également pour nos équipes d’audit et pentest qui ont pu constater que les outils et les méthodes d’intrusion employés par les blackhats, ne sont pas si différents que ceux utilisés lors de campagnes de tests d’intrusion légitimes.

Bien évidemment nous ne manquerons pas d’assister à la prochaine édition l’année prochaine !

Lien utile : https://www.cecyf.fr/activites/recherche-et-developpement/coriin-2017/