SSTIC 2015 – Troisième journée

Ce billet concerne la 3ème journée du SSTIC 2015.

 

Utilisation du framework pyCAF pour l’audit de configuration — Maxime Olivier

Cette présentation fait suite à celle réalisée par Maxime lors de la JSSI 2013 (http://www.ossir.org/jssi/jssi2013/index.shtml). PyCAF est un framework développé en Python permettant d’analyser un ensemble de fichiers de configuration, afin d’extraire les résultats qui peuvent intéresser un auditeur. Actuellement, le framework sait uniquement analyser des fichiers de configuration provenant d’un système Linux. L’outil se concentre uniquement sur la partie analyse. L’extraction des fichiers de configuration du système à auditer est réalisée manuellement via une archive ZIP. Les évolutions à venir concernent notamment la documentation des API et l’ajout du support des équipements réseau. PyCAF est disponible sur github (github.com/Maximeolivier/pyCAG.git).

 

Analyse de documents MS Office et macros malveillantes — Philippe Lagadec

Lors de cette présentation courte, Philippe a débuté par un petit historique sur l’utilisation de macros malveillantes. Les premiers macrovirus sont apparus en 1996 (Laroux et Melissa par exemple). Entre 2004 et 2013, l’utilisation de macros malveillantes est passée de mode car rendue difficile par la désactivation par défaut des macros dans les documents Office. Depuis la version de Microsoft Office 2007, il est possible de réactiver facilement les macros en 2 clics, ce qui a entrainé un regain d’intérêt par les attaquants pour ce moyen d’infection, notamment en 2014 (Dridex, Rovnix, Vawtrak, Fin4, etc.). Par la suite, Philippe nous a parlé des différentes actions réalisables par une macro Office (déclenchement à l’ouverture, lire ou modifier le contenu du document, télécharger un fichier, créer un fichier, etc.) en utilisant uniquement les fonctions natives de VBA. Afin de masquer les éléments présents dans une macro malveillante (adresse IP ou URL, nom de fichier, etc.), les attaquants utilisent des techniques d’obfuscation ou d’obscurcissement du code notamment en découpant et concaténant des chaines de caractères ou transformation d’un caractère en code ASCII. Enfin, la présentation finit par la fourniture d’outils pouvant être utilisés afin d’identifier les documents malveillants : OfficeMalScanner, Officeparser, Oledump, Olevba et ViperMonkey.

 

StemJail : Cloisonnement dynamique d’activités pour la protection des données utilisateur — Mickaël Salaün

L’objectif de Stemjail est de protéger les données utilisateur. Aujourd’hui, si une application est compromise sur un poste de travail, toutes les données de l’utilisateur sont accessibles.

Afin de cloisonner les processus, l’auteur a choisi d’utiliser les namespaces sous Linux.

Ce projet expérimental est disponible sous github.com/stemjail

 

Hack yourself defense — Eric Detoisien

Un état des lieux du déséquilibre entre attaquants et défenseurs en cyber-sécurité. Nous vous recommandons de lire le support de présentation ou de regarder la vidéo de la conférence.

 

Entre urgence et exhaustivité : de quelles techniques dispose l’analyste pendant l’investigation? — Amaury Leroy

Amaury a réalisé un retour d’expérience sur la démarche à adopter lors d’une investigation en se concentrant uniquement sur les flux réseau et les fichiers de journalisation des proxys. Tout d’abord, l’auteur nous propose de découper l’investigation en 3 étapes :

  1. Effectuer des recherches simples et efficaces (approche low hanging fruit) : recherche de marqueurs connus (IOC) pour déterminer si l’attaque est connue, réduire la quantité d’informations et surtout indexer l’information
  2. Surveiller l’attaque : il est nécessaire de détecter les phases importantes, mais également de continuer l’investigation durant la surveillance en affinant les recherches (détection de navigation automatisée, flux SSL non cohérents, valeurs du protocole HTTP non standards, etc.)
  3. Pousser l’analyse plus en profondeur : il peut être intéressant d’effectuer des calculs statistiques et périodiques sur les données collectées afin d’obtenir des graphes et ainsi pouvoir discerner à l’œil des tendances ou des comportements suspects.

Au final, il est important après une investigation de faire un retour d’expérience sur l’analyse afin d’identifier ce qui a fonctionné ou non. Cela permet par la suite de faire évoluer les outils et les méthodes.

 

IRMA : Incident Response and Malware Analysis — Alexandre Quint,Fernand Lone Sang,Guillaume Dedrie

Les auteurs nous ont présenté leur outil nommé IRMA (Incident Response and Malware Analysis.). Il s’agit d’une plateforme modulaire permettant d’effectuer une analyse d’un fichier ou d’un binaire inconnu. Le principe est assez similaire à Virus Total, sauf qu’ici la plateforme est destinée à un usage interne, ce qui permet d’éviter l’envoi de documents chez un tiers. Techniquement, la plateforme est composée de 3 modules :

  • Le front-end: il récupère les fichiers soumis par l’utilisateur ;
  • Le brain: il se charge d’effectuer l’analyse auprès des probes et de récupérer les résultats qui seront ensuite retournés au brain ;
  • Les probes: chaque probe effectue une analyse particulière sur le fichier. Actuellement, les probes disponibles sont en mesure d’effectuer une analyse antivirale (20 antivirus supportés), extraction de métadonnées du fichier, interrogation de VirusTotal uniquement sur le condensat du fichier analysé et interrogation de la base de données NSRL (http://www.nsrl.nist.gov).

En conclusion, cet outil permet d’avoir une plateforme privée d’analyse de fichiers. Il est encore nécessaire que la communauté s’agrandisse autour de ce projet, afin d’augmenter le nombre de probes disponibles et obtenir des retours d’expérience d’utilisateurs. Pour information, un workshop sur la création de probes sera réalisé durant les RMLL (https://2015.rmll.info/).

 

Crack me, I’m famous!: Cracking weak passphrases using freely available sources — Hugo Labrande

Cette présentation courte s’est concentrée sur la possibilité de casser des mots de passe ou plutôt des phrases de passe longues. Beaucoup de personnes préconisent d’utiliser des phrases à la place de mots de passe (cf. https://xkcd.com/936/). Est-ce que l’on peut finalement casser facilement des phrases de passe ?

Pour le savoir, l’auteur a collecté des phrases sur Wikipedia, Gutenberg, commentaires Youtube, citations sur WikiQuotes et même sur le site RaptDict. Il a obtenu ainsi un dictionnaire de 65 millions de candidats. Après quelques semaines de calculs sur le PC de l’orateur (soit quelques heures pour un PC récent), il a été en mesure de casser des mots de passe intéressants.

En conclusion, il est possible de casser des phrases de passe connues. Il est donc important de choisir une phrase de passe qui n’est pas présente dans un « dictionnaire » connu.

 

Contextualised and actionable information sharing within the cyber-security community — Frédéric Garnier

Frédéric a réalisé une présentation très complète sur le Threat Intelligence et le partage d’informations. Nous vous recommandons chaudement de lire les actes ou de voir la vidéo de la conférence.

 

Snowden, NSA : au secours, les journalistes s’intéressent à la sécurité informatique ! — Martin Untersinger

Martin est journaliste au journal Le Monde. Ses sujets de prédilection sont notamment la surveillance et la liberté d’expression. Pour la conférence de clôture, Martin nous propose de faire un constat simple de l’après Snowden : 2 ans après, qu’a-t-on appris ?

Les révélations de Snowden nous ont appris que les services secrets américains effectuent une surveillance de masse en collectant toutes les informations possibles provenant de différentes sources. Néanmoins, il apparaît qu’aucun acte terroriste n’a pu être arrêté malgré ce dispositif. Pourtant, la France semble suivre la même voie que les USA. Facebook, Google, Yahoo et Whatsapp mettent en place des dispositifs, notamment le chiffrement des communications, afin de renforcer la vie privée de ses utilisateurs. De plus, aux Etats-Unis, il a été constaté que 30% des américains commencent à changer leurs habitudes. A la fin de sa présentation, Martin lance un appel aux experts sécurité de l’assemblée afin d’établir un dialogue avec les journalistes et, ainsi, les aider à sensibiliser le grand public aux problématiques de sécurité et de vie privée.