SSTIC 2015 - Jour 3

Cette année, l’amphi du SSTIC est bien clairsemé. Heureusement que les conf ne reprenaient qu’a 9h45… 🙂

PyCAF – un framework d’audit de configurations

L’audit de conf, c’est la tâche fastidieuse mais nécessaire, du suivis de guidelines à la validation du durcissement d’un OS. Souvent lors d’un audit de conf, l’admin n’a pas beaucoup de temps à accorder à l’auditeur (étrange hein ….). Du coup pour travailler efficacement, on cherche à automatiser le workflow habituel de l’auditeur: Extraction, Analyse puis Reporting.
Souvent la collecte nécessite des outils spécifiques pas toujours présents sur les serveurs, et un accès root. Du coup l’admin est un peu réticent à éxécuter un script sur son système (ou pas…). Du coup, PyCAF dispose d’un script de collecte, et d’un framework d’analyse. Le framework s’architecture autour d’un modèle de données (so 90’s).  L’outil est disponible en ligne sur github.

Comment bien cuisiner les Macros

Les macros malveillantes c’est un vieux problème… on appellait ça l’époque des MacroVirus.De 2004 à 2013, les macro ont été délaissés par les attaquants au profit d’exploits sur divers services & logiciels. Depuis office 2010/2013 il est plus simple d’activer les macro sur un document sur un simple Click. Microsoft intègre une sandbox contre les exploits, du coup les Macro redeviennent un vecteur populaire. (le site de l’orateur et ses travaux). Les macros peuvent faire énormément de choses, du download à l’exécution de code, en passant par du powershell etc… De nombreuses techniques d’obfuscations sont possible avec le langage VBA. Maintenant les scripts VBA malicieux utilisent de la détection de sandbox par clefs de registres spécifiques. Les attaquants sont très créatifs sur les formats de fichiers exécutant des macros. Demo de ViperMonkey, un nouvel outil d’analyse de macro malveillantes fait par l’orateur. C’est un parser VBA écrit en python avec pyparsing, capable de désobfusquer le code quel que soit les fonctions utilisés pour l’obscurcir. L’outil devrait être disponible sous peu.

StemJail : cloisonnement dynamique d’activités pour la protection des données utilisateur.

StemJail consiste à découvrir dynamiquement la politique de sécurité adaptée à l’application à partir de ses syscalls. Ces politiques représentent des domaines d’usage des applications pro,perso, etc…L’idée c’est d’éviter que lors d’activités personnelles, les applications accèdent aux fichiers pro sans solliciter l’utilisateur. Disponible sur github.

Hack Yourself Defense

La connaissance de l’attaquant, et de ses capacités permet d’être pertinent dans les mesures de sécurisation mises en oeuvre. Les tendances actuelles sont la dématériallisation massive, l’accroissement des capacités de connectivité des équipements, et la valorisation systématique des données. Cette tendance s’accompagne d’une concentration des services et des données d’utilisation (Big Data ?). Ce qui fini par provoquer le regroupement d’informations privés et pro au même endroit, et ce souvent par le biais du smartphone.

Dans cet environnement, l’apprentissage des techniques d’attaques est plus accessible, ce qui élargis le nombre d’attaquant recherchant des moyens de contournement et une apparente multiplication du nombre de techniques d’attaques, ce qui rend la veille sur ses techniques complexe.

En face, les équipes de sécurité chargés de traiter ça sont clairement en sous effectif, et ont du mal à trouver des compétences locales répondants aux critères RH. Contrairement aux cybercriminels dont le « recrutement » est facilité par un ratio rémunération/niveau de vie attractif.  (un constat intéressant, mais très bateau). L’attaquant est ultra spécialisé: phishing, exploit-kits, packing, bots, c&c, anonymisation. La ou le défenseur est obligé d’être « généraliste » car il doit comprendre et protéger tout son SI.

A coté de ça le marché de la 0-day s’est structuré, c’est un vrai business, ce qui à deux effets: réduction du nombre de full-disclosures, et la disparition de certaines 0-days au profit des attaquants.

Coté défense, la mise en place d’équipes de sécurité se heurte au faible nombre d’experts disponibles, et du coup, les équipes sont forcément en sous-effectifs et sous une contrainte forte. L’outillage technique est souvent interne et spécifique, les outils publiques sont pauvres, pas toujours efficaces. Coté R&D, il y a peu ou pas de capitalisation.

Les cas d’emplois du Pentest pour simuler l’attaquant se heurte à un grand nombre de limites juridiques et organisationnelles qui rendent la prestation peu réaliste comparativement au travail que peut effectuer un attaquant. La surface d’attaque des SI sont souvent tellement énorme que c’est humainement ingérable. Ajoutez à ça les contraintes financières et de reporting, et le manque de ressources des équipes d’administration pour remédier à tout les défauts découverts.

Pour remédier au problème de la fragmentationd des compétences, des spécialités et des ressources, l’orateur propose la création du super security team capable d’opérer mondialement avec des techniques offensives réalistes. Cette mutualisation permettrais de dégager du temps pour une bonne R&D, et serait la source de formations pertinentes. Forcément coté RH ça pose pas mal de problèmes sur la probité des profils recrutés. Coté financement, quand on voit comment des structures comme white hat security, Synack ou High Tech Bridge qui arrivent à lever des millions de dollars, on peut se dire que le marché est là.

La prez en ligne pour le reste sur le site du SSTIC.

Entre urgence et exhaustivité

 La réponse sur incident implique de découvrir très rapidement un maximum de détails sur l’attaque, tout en gérant la collecte des actions de l’attaquant sur le réseau, etc… L’attaque peut être analysée à l’aide d’IOC, mais on se heurte au problème de la volumétrie et de la multiplicité des formats des IOC. Le plus souvent, ces bases d’IOC sont privés, et se monnayent. Du coup il faut rafiner un peu ces IOC, les rafiner, les calibrer, et les partager, les échanger (un peu comme les pokemon…).

En analysant les actions de l’attaquant, ou les premières machines découvertes comme compromises, on va pouvoir mettre au point des IOC plus précises et plus spécifiques à l’attaque en cours.

On peut aussi travailler au niveau DNS, pour traiter les fastflux, l’acquisition de dommaine lexicallement proches, etc… La géolocalisation peut aussi aider à découvrir des malwares proches, en plus des infos disponibles sur totalhash, malwr et cie.

Une fois l’urgence passée, Il faut mettre en oeuvre la surveillance de l’attaquant pour approfondir l’investigation, et lui couper l’herbe sous le pied lorsqu’il tentera d’exfiltrer des informations sensibles (si c’est pas déjà fait…). Là encore, les IOC maisons vont permettre de suivre l’attaquant dans le SI.

Le monitoring SMB peut aider à détecter les phases de compromission par PSExec puisque l’attaquant va devoir copier sa backdoor avant de la lancer. De même des gros transferts, ou  la création de gros fichiers compressé peuvent vous indiquer qu’il est temps d’intervenir et de bloquer l’attaquant.

Pour le traitement des urls en phase d’analyse post incident, il peut être intéressant d’y appliquer quelques techniques de clustering pour identifier les domaines malveillants proches ou à l’entropie étrange. L’analyse des signaux faibles comme les domaines faiblement requêtes.

IRMA: Incident Response & Malware Analysis

L’analyse efficace d’un fichier donné pour s’assurer de son innocuité n’est pas une problématique simple. IRMA est une plateforme privative d’analyse de fichiers. Voyez ça comme un VirusTotal@Home. En plus des scans d’anti-virus, il est possible de customizer les composants de l’analyse pour y ajouter vos traitements.(site dédié à ce logiciel libre).

Irma est composé de 3 éléments, le frontend web qui interragis avec l’utilisateur. Le brain chargé d’orchestrer l’analyse et qui stock les informations issue des utilisateurs et qui distribue les fichiers aux probes. Les probes ont pour charge d’analyser le fichier et d’apporter leur partie de rapport.

Grâce à un Raspi, on peut créer des stations blanches de transfert de fichiers avec analyse intégrée.

Retours d’expériences sur les anti-virus, et leur performance en fonction des méthodes d’utilisation, ainsi que leur pertinence en fonction de la fréquence des mises-à-jour.

L’installation, c’est un point crucial à l’adoption d’un système open-source. Du coup Vagrant et Ansible viennent aider à l’installation.

Crack me I’m Famous !

Découverte de nouveaux mots de passes à partir de phrases connues. Les mots de passes, c’est toujours la galère, et les utilisateurs avertis utilisent plutôt des phrases de passes d’apparence complexe. Les attaques par bruteforce reposent traditionnellement sur des wordlist, et du coup les phrases de passe échappent aux wordlists actuelle. Du coup pour péter ces passphrases, il est possible d’utiliser la concaténation de plusieurs mots, ou bien d’utiliser des chaines de markov (cf sstic précédents).

Les phrases célebres ont tendence à être choisie par les utilisateurs avec quelques variations/dérivations. Cette idée à été traité par des académiques avec des résultats intéressants. Du coup l’orateur à essayé de faire du passcracking uniquement avec des phrases connues, citations, etc… issues de Wikipedia, WikiQuote. En gros les phrases avec des quotes, du gras etc…

Quand on lance ce tas de passphrases dans John sur des bases de hashs, on trouve des mots de passes très intéressants et très très longs. Pour les mots de passes dérivés de phrases, on re-implémente des règles de transformation et on trouve du coup des mots de passes très complexes en apparence. (très très bonne présentation !). 

Information Sharing in Cyber Threat Intelligence

Partager l’information pour mieux détecter et mieux réagir aux attaques. Il s’agit d’un réseau d’échange d’information sur les menaces informatiques. Ce réseau collecte et agrège les informations issue de CERT au travers du globe via des accords bi-latéraux ou multi-latéraux, et d’éditeurs de logiciels anti-virus et autres pourvoyeur de « threat intelligence ».

L’orateur nous détaille l’architecture du réseau CTI, les informations manipulés et ses constituants pour permettre la prévention, la détection et la capitalisation d’information issue des réponses sur incident.(la présentation est très dense en concepts et en idées, je vous invite à lire les slides et les actes).

NSA, Snowden, Au secours les journalistes s’intéressent à la sécurité informatique

L’orateur est un journaliste du monde qui s’intéresse aux problématiques de privacy. Il va donc nous faire un retour de ce qu’il a retenu sur ces 2 années de révélations snowden, et qu’est-ce que ça fait pour un non initié de découvrir la sécurité informatique.

La politique des agences de renseignement, c’est de collecter tout ce qu’on peut comme donnés, c’est de la collecte de masse. On à appris qu’au final, l’efficacité de cette approche est extrêmement discutable. Un rapport fait à Obamma a eu pour conclusion que cette collecte n’a pas permis d’arrêter des terroristes. Par peur de rater l’aiguille, la NSA intercepte toutes les bottes de foin. La France s’apprête à en prendre le chemin.

La puissance américaine sur le renseignement électronique domine le marché. Avec des sous-traitances à des pays européens pour surveiller des institutions françaises. Du coup tous les pays sont impliqués. C’est sur la base de ces renseignements que des décisions étatiques importantes sont prises. La question de la souveraineté des services de renseignement à la lumière de cette sous-traitance se pose alors. Et le politique semble ne plus chercher à comprendre le renseignement, devenu trop technique, lui laissant alors carte blanche pour lutter contre le terrorisme.

Dans les révélations snowden, on découvre aussi que les outils cryptographiques mettait en échec les agences de renseignement. TOR, OTR, etc… Du coup la NSA est parti à l’assaut des composants de l’internet. Standards de chiffrement, attaques contre les géants du net, etc…

Après 2 ans, qu’est-ce qui à changé ? Est-ce que ça apporte plus de transparence ? Les grandes agences de renseignement se sont réunis pour décider d’apporter plus de « transparence » et pour que soient mises en place des lois encadrant leurs actions. Pour en discuter, ces agences se sont réunies et ont même convié des journalistes !

Les géants de l’internet se sont tous mis à utiliser du chiffrement, et s’investissent dans des initiative orienté privacy. Peut-être s’agit-il de « privacy washing », mais les annonces sont là. 30% des américains ont changé leurs habitudes d’utilisation de l’internet depuis les révélations Snowden.

Coté politique, en Allemagne, une comission d’enquête a été constituée et peut accéder aux rapports de l’agence de renseignement allemande. Une court d’appel fédérale à jugé illégale les traitements sur les métadatas téléphoniques par la NSA. L’adoption du USA Freedom Act viens rogner les pouvoirs de la NSA.

Coté Journalistes & Informatique, Une nouvelle forme de collaboration s’est créée entre les journalistes et les spécialistes en sécurité informatique. Par exemple l’embauche d’experts sécu pour apprendre aux journalistes à protéger numériquement leurs informations et leur sources. Ou encore pour décoder certains aspects techniques.

Fondamentalement, les journalistes ne sont pas très compétents, et sont friands de cyber et de pirates informatiques à capuches. Les « vieux » journalistes ne s’intéressent pas à l’informatique. Bon clairement, la sécurité, c’est compliqué, et ça rend la vulgarisation complexe. Mais le journaliste doit faire un compromis entre accroche, et précision du titre. La précision importe pour ne pas passer pour un charlot auprès des spécialistes, mais l’accroche doit être suffisamment bonne pour attirer le lecteur.

Souvent, les experts qui veulent parler aux journalistes sont là pour leur vendre des trucs. Et ceux à qui les journalistes veulent parler, ne veulent pas en parler aux journalistes. Exemple avec Babar, que l’orateur et son collègue ont déniché dans les documents Snowden, et que l’ANSSI à refusé de commenter.

La collaboration entre journalistes et experts en sécurité est nécessaire. Exemple avec les climatologues et le problème du changement climatique il y  40 ans. Alors pourquoi pas les experts en sécurité informatique ?