Le CERT Intrinsec était présent à la 5e édition de la Conférence de Réponse à Incidents et de l’Investigation Numérique. Les conférenciers de cette année ont partagé avec nous leurs travaux de recherche, ainsi que leurs retours d’expériences sur des problématiques liées aux réponses à incidents et aux investigations numériques. Voici un compte rendu des 9 présentations de cette édition de la CoRIIN :
La montée des logiciels malveillants destructifs
Thomas Roccia (@fr0gger_)
Thomas Roccia, chercheur en sécurité chez McAfee Labs (Advanced Threat Research), nous a présenté un panorama sur les différents types de malwares destructifs, leur classification et les motivations de leurs auteurs.
L’orateur a débuté sa présentation avec des vidéos d’explosions de lanceurs de fusées et de centrales nucléaires, il a ensuite enchaîné avec l’historique des logiciels malveillants destructifs; commençant par le Rabbit Virus (fork bomb) qui a été observé en 1974, le wiper Shamoon et le premier malware Safety Instrument Systems (SIS) Triton en 2012, jusqu’à ceux que nous avons dernièrement observés en 2018 tel que Olympic Destroyer, Shamoon V3 ou encore VPNFilter).
Une classification intéressante de ces malwares a été proposée. Cette classification consiste en 5 grandes catégories : les botnets destructifs; les perturbateurs; les pseudo-ransomwares; les wipers et les destructeurs physiques.
L’orateur nous a donné des exemples de techniques avancées utilisées par ces malwares pour se propager, engendrer le maximum des dégâts possibles et distraire les équipes de réponse à incident.
Deux exemples pertinents ont été abordés : Le ransomware qui a déguisé l’attaque de Taiwan Bank impact, et qui a occupé les équipes de réponse à incident à répondre à une attaque de ransomware alors que les acteurs continuaient à avoir la main sur les machines et ont effectué de gros virements qui ont atteint 60M $. Le deuxième exemple est celui du ransomware (ou encore mieux du pseudo-ransomware) NotPetya qui chiffrait les données, demandait une rançon, mais en aucun cas ne fournissait la clé de déchiffrement.
Thomas Roccia nous a aussi dévoilé les motivations de ces acteurs malveillants qui peuvent être des motivations financières, idéologiques, compétitives ou d’autres.
Pour finir, l’orateur réponds à deux questions dans sa présentation : Qu’est-ce qu’on peut faire pour se défendre ? Et à quoi il faut s’attendre dans le futur ?
La protection contre ces attaques destructives est classique et revient sur :
- Segmenter le réseau;
- Identifier et durcir les nœuds du réseau utilisés dans le mouvement latéral;
- Prioriser le patch management;
- Créer des sauvegardes (backups);
- Préparer un plan de réponse à incident.
En ce qui concerne le futur, ces logiciels malveillants seront de plus en plus utilisés, et vont privilégier les vecteurs d’infections SupplyChain. Préparez-vous à des attaques DDoS plus puissantes, et des attaques sophistiquées ciblant des environnements critiques avec des effets dominos et de lourds impacts sur l’humain.
Goblin Panda: La chine en Asie du Sud Est
Sébastien Larinier (@sebdraven)
Sébastien Larinier, chercheur en sécurité, nous a présenté ses travaux de recherche autour d’un acteur malveillant chinois nommé Goblin Panda. L’orateur nous explique comment il s’est retrouvé à poursuivre des acteurs chinois et comment il a réussi à attribuer ses trouvailles aux groupes APT chinois connus grâce au « Code Reuse », aux infrastructures communes et surtout aux ressemblances des TTPs.
Nous ne rentrerons pas dans les détails des infrastructures des attaquants dévoilées par Sébastien puisque la présentation est taguée TLP:AMBER.
Investigation dans AmCache
Blanche Lagny (@moustik01)
Blanche Lagny du bureau des investigations numériques de l’ANSSI nous a présenté ses travaux de recherches autour de l’Artefact AmCache. Ces travaux qui ont duré environ un an, sont venus vérifier les affirmations et les résultats des outils déjà existants (Amcache Parser, le plugin amcache de RegRipper ou autres) et surtout d’approfondir ces résultats.
Cet artefact, « AmCache », est à la base conçu par Microsoft pour assurer la compatibilité des applications entre les différentes versions de Windows, mais celui-ci est devenu un élément clé pour les investigateurs afin de prouver l’exécution de binaires.
L’oratrice a souligné que le fonctionnement de AmCache dépend des versions des bibliothèques « ae*.dll », et que cet artefact peut changer de résultats en passant d’une version de Windows à l’autre à cause des différentes versions des bibliothèques embarquées avec l’OS.
Blanche a aussi affirmé que cet artefact peut ne pas journaliser l’exécution de binaires dans certains cas (Exécution depuis un media externe ou un partage réseau, exécution depuis les répertoires C:\Users\<utilisateur>\Downloads et C:\Users\<utilisateur>\Documents) mais journalise les binaires exécutés dans les sous répertoires de ces deux derniers.
Pour plus de détails sur la recherche menée sur ce sujet, Blanche Lagny partage avec nous un article de recherche détaillant ses différentes observations et analyses.
Ressources :
https://www.ssi.gouv.fr/publication/analyse-de-lamcache/
Memcached ou quand votre backbone devient folle
Sébastien Mériot (@smeriot)
Sébastien Mériot, le responsable du CSIRT OVH, nous raconte leur retour d’expérience sur l’une de plus grosses réponses à incident que l’on puisse imaginer : l’ASN de OVH a été ciblé par une attaque DDoS de 1,35 Tbps; d’autres attaques DDoS sortantes de leurs propres infrastructures contournant ainsi leurs systèmes de protection; etc.
L’orateur a présenté les 4 missions différentes de OVH dans cette réponse à incident : Protéger leurs clients; protéger internet de leurs clients, se protéger (oui parce que OVH a aussi une DSI comme toute autre entreprise) et enfin faire de la Threat Intelligence afin de retrouver la source des attaques et anticiper celles qui se préparent.
Sébastien nous a introduit le protocole Memcached, et comment il a été utilisé dans les attaques d’amplification de dénis de services. Memcached à son implémentation, lie le port UDP/11211 sur l’interface réseau publique sans aucune authentification ou contrôle. Le protocole en question a un facteur d’amplification qui peut aller de x5000 jusqu’à x40500 (en envoyant plusieurs requêtes dans un paquet UDP), il est aujourd’hui impossible de comparer son facteur d’amplification avec ceux des autres protocoles tels que DNS avec un facteur allant jusqu’à x54 de ou encore NTP avec un facteur de x500.
Les résultats des investigations menées par OVH ont été présentés avec des informations étonnantes : leurs clients, après quelques campagnes de sensibilisation, étaient plutôt réactifs et ont réglé le problème de leur côté (trois-quarts des serveurs exposants Memcached ont été corrigés). L’attaque se préparait en amont, car OVH a retrouvé un fichier ZIP injecté dans le Memcached contenant un GIF et chiffré avec un mot de passe (OVH n’a pas réussi à cracker ce mot de passe), il s’agirait d’après eux d’une pré-configuration afin augmenter l’efficacité de l’attaque. Enfin, Sébastien nous a démontré la valeur de la Cyber Threat Intelligence dans le renseignement sur les menaces, et comment il a démasqué l’auteur de cette attaque qui s’intéressait particulièrement aux attaques d’amplification.
Agressions électromagnétiques et forensics
José Lopes Esteves (@lopessecurity)
José Lopes Esteves, expert au laboratoire de la sécurité des technologies sans fil de l’ANSSI, nous a présenté leurs travaux de recherches sur les agressions électromagnétiques. L’orateur a découpé sa présentation en 3 parties :
La définition des agressions électromagnétiques : il s’agirait des signaux ou des bruits malveillants. Les types de propagations de ces signaux (rayonnée, conduite, dans l’espace, etc.). Et enfin leur impact sur les systèmes d’information (destruction des composants électroniques, dégradation des liens RF, etc.).
L’orateur nous a démontré l’évolution de ces menaces et comment l’ANSSI se prépare pour se protéger contre ces dernières. Deux méthodes de détection ont été présentées :
- La surveillance du spectre électromagnétique en utilisant un équipement durci et dédié afin de superviser et détecter les signaux, déclencher des alertes par seuillage et enregistrer les signaux en cas d’alertes. Les limites de cette méthode ont été évoquées, et se représentent dans le coût et dans la couverture de la détection de l’effet ou de l’impact.
- L’analyse des effets dont son principe se base sur l’impact logiciel. Cette méthode s’effectuera avec un déploiement d’agents sur chaque système électronique de la zone supervisée. Les limites de cette méthode se représentent dans la spécificité de chaque système cible, la caractérisation des effets multiparamétriques et la possibilité de fausser cette autosupervision avec les signaux de l’attaquant.
Enfin, le conférencier nous a dévoilé leurs perspectives dans ces travaux de recherches, notamment dans l’exploitation des effets journalisés qui permettra de créer des canaux de communication cachés (en utilisant le Morse par exemple) et la lutte anti-drone en utilisant les signaux électromagnétiques pour écrire dans les journaux des drones afin de les contrôler ou de garder des preuves de leurs emplacements.
AWS EC2 Forensics 101
Frédéric Baguelin (@udgover)
Frédéric Beguelin du CERT-SG, revient dans sa présentation sur la problématique des investigations dans les environnements Cloud, avec un focus sur AWS et notamment le service EC2.
L’orateur nous explique comment Amazon gère le stockage, les différences et les relations entre les Snapshots et les Volumes (EBS) et la gestion du chiffrement des disques avec AWS Key Management Service (KMS).
Frédéric a réalisé un état de lieu des outils d’analyse forensic dans AWS, plusieurs outils existants sont disponibles ( AWS IR et Margaritashotgun de ThreatResponse; Diffy de Netflix; etc.), néanmoins, aucun de ces derniers ne propose des fonctionnalités d’acquisition de disques (Imaging) et de répartition sur un disque physique.
La réponse à cette problématique n’est pas évidente, puisqu’il faut prendre en compte les problématiques AWS liées aux zones géographiques, aux droits d’accès et aux permissions ainsi qu’aux accès aux clés de chiffrement.
Un Workflow d’acquisition a été proposé par Frédéric et qui consiste à créer une Snapshot du volume ciblé, créer un volume à partir de cette Snapshot et l’attacher à une instance d’acquisition, utiliser SSH et Screen pour se connecter à l’instance créer, acquérir le disque avec Ewfacquire et enfin télécharger l’image.
Ressources :
https://github.com/toniblyx/my-arsenal-of-aws-security-tools
L’histoire de Greendale
Thomas Chopitea (@tomchop_)
Thomas Chopitea de chez Google, nous a raconté l’histoire de Greendale, une université polytechnique qui a implémenté l’ensemble de la suite DFIR utilisée par les équipes de Google pour la réponse à incident.
L’orateur nous a démontré l’utilisation de DFTimewolf, un utilitaire CLI, conçu afin d’orchestrer et d’automatiser d’autres outils de réponses à incident. En bref, 5 outils libres de réponse à incident et d’investigation numérique, utilisés au quotidien par les équipes de réponses à incident de Google ont été présentés :
- GRR : Google Rapid Response, un agent cross-platform permettant de collecter des données (fichiers et artefacts) à partir des hôtes.
- Log2timeline / Plaso : Un outil permettant d’extraire les timestamps et de générer une Timeline en agrégeant ces derniers.
- Timesketch: Un outil de visualisation des timelines Plaso multi-user, multi-case et multi-timeline, permettant l’analyse collaborative des timelines.
- Turbinia : Un framework d’automatisation d’analyses forensic dans le cloud (Google Cloud).
- DFTimewolf : Un utilitaire CLI permettant de créer des recettes, de lancer des tâches et d’orchestrer les différents outils ci-dessus.
Thomas Chopitea vous invite à contribuer dans le développement de ces outils open source (Licence apache 2.0).
Ressources :
https://github.com/log2timeline/plaso
https://github.com/google/timesketch
https://github.com/google/turbinia
https://github.com/log2timeline/dftimewolf
Investigation numérique sur l’annuaire Active Directory avec les métadonnées de réplication
Léonard Savina (@ldap389)
Léonard Savina nous a présenté les recherches de l’ANSSI qui ont été menées sur les métadonnées de réplication du service Active Directory. L’annuaire AD étant l’une des cibles les plus importantes des attaquants, leur permettant de persister d’une manière discrète en utilisant des comptes légitimes.
L’orateur nous a présenté deux démonstrations d’attaques réelles sur un environnement Active Directory et comment nous pouvons les détecter en exploitant les métadonnées de réplication :
- Mimikatz DCSync et déploiement via GPO;
- Mimikatz DCShadow.
Un outil, ADTimeline, a été développé à l’occasion en PowerShell afin de requêter les métadonnées de réplication et créer une chronologie d’évènements à partir de ces dernières.
Léonard clôture sa présentation avec l’apport de ces métadonnées à la journalisation et à l’analyse des journaux de sécurité Windows et souligne que ces métadonnées peuvent être falsifiées par l’attaquant.
Ressources :
https://github.com/ANSSI-FR/ADTimeline
Retour d’expérience lors d’investigation iOS
Paul Rascagnères (@r00tbsd)
Paul Rascagnères de Cisco Talos, nous a expliqué comment s’en sortir dans une réponse à incident ou une investigation numérique iOS en ne partant de rien. L’architecture de l’iOS a été d’abord présentée; un système UNIX divisé en différentes couches (User-Land; des framework publiques : WebKit, AppKit, etc.; des frameworks privés : CloudServices, etc.). Le plus gros problème qu’un analyste puisse rencontrer lors d’une investigation sur iOS est la sécurité mise en place par Apple. Il n’est pas possible d’accéder à l’utilisateur root (UID:0), ni au système de fichiers et les applications sont sandboxées (aucune interaction entre les applications).
La question qui se pose est : devons-nous jailbreaker un système pour effectuer une analyse forensic iOS ?
La réponse théorique est « non », mais « oui » en pratique. Il faut savoir qu’il est impossible de récupérer une application malveillante (.ipa) à partir d’un terminal iOS, encore moins de faire un dump de RAM ou de disque sans jailbreaker le terminal. Trois solutions ont été exposées :
- Jailbreaker le terminal pour les terminaux non à jour (En utilisant Electra par exemple sur les versions d’iOS 11.2 à 11.3.1);
- Pour les terminaux à jour : « Freezer » le téléphone et attendre qu’un jailbreak sort ou faire appel à des prestataires de services spécialisés (Cellebrite);
- Renvoyer le téléphone à Apple et leur demander d’extraire l’application.
Plusieurs outils d’analyses des applications malveillantes ont été présentés, nous retrouvons le désassembleur classique IDA Pro et son confrère Hopper qui tous les deux supportent de l’objective-C et du code Swift compilé. Paul a ensuite démontré l’utilisation de FRIDA, un outil d’instrumentation dynamique et son module permettant de faire des dumps mémoire intitulé Fridump3. D’autres outils classiques peuvent être utilisés afin d’intercepter les requêtes HTTPS tels que Burp.
L’orateur a enfin dévoilé les techniques de déploiement de malwares sur iOS, qui consistent à utiliser des certificats de confiance, à installer des certificats développeur ou des certificats Ad-Hoc qui ne peuvent être installés que sur des téléphones ciblés avec leurs UID. D’autres techniques de déploiement ont été observées par Talos telles que l’utilisation des
mobile device managers (MDM) (notamment les MDM open source) et le déploiement des applications à partir de ces derniers. Le MDM requiert néanmoins plusieurs interactions de l’utilisateur avant d’être installé, ce qui peut être facilement contournable avec du Social Engineering.
Enfin, trois des techniques utilisées par les malwares iOS ont été détaillées :
- L’injection de bibliothèques (.dylib);
- L’interception web en manipulant WebKit;
- L’utilisation de clavier personnalisé (custom keyboard).
Ressources :
