CoRIIN 2017

Ce lundi 23 janvier, veille du FIC 2017, la troisième édition de la Conférence sur la Réponse aux Incidents et l’Investigation Numérique (CoRIIN) se tenait à Lille. Nous étions présents et nous en profitons pour vous rapporter les sujets de la journée.

Dark0de, analyse d’un réseau de hackers

Benoît Dupont, Université de Montréal

Le forum dark0de était réputé pour abriter des cybercriminels chevronnés, prêts à vendre leurs compétences techniques ou à monnayer des informations acquises pendant leurs activités. Il avait acquis une notoriété suffisante pour attirer l’attention de chercheurs en sécurité, notamment Xylit0l et Brian Krebs.

Suite à la publication d’un grand nombre d’informations concernant le forum par Xylit0l en 2013 et à la fermeture du site par le FBI en 2015, l’orateur et son équipe ont analysé les données accessibles pour tirer les tendances et les usages du forum.

Le forum fonctionnait sur un mode d’invitation. Une fois enregistré, il fallait passer un « entretien d’embauche » avant d’avoir accès aux parties restreintes du forum. En pratique, les analyses ont montré que le plus difficile était de trouver un sponsor pour l’accès initial : la grande majorité des comptes avaient en effet accès aux sections « privilégiées ».

Les analyses ont également porté sur les compétences des membres, vantées dans leurs CV. On y retrouve des langages de programmation classiques (JavaScript, C/C++) et un peu moins répandus (Go). Le conférencier revient sur un point d’intérêt : en « profilant » les compétences annoncées des membres, il serait possible de relier les identités des cybercriminels présents dans différentes communautés sous différents pseudonymes.

En résumé, une conférence intéressante donnant un bon aperçu du fonctionnement des communautés underground.

Détection post-mortem de bootkits

Par Sébastien Chapiron et Thierry Guignard, ANSSI

Une présentation très détaillée sur le fonctionnement d’une chaîne de démarrage des systèmes BIOS (UEFI étant explicitement hors-périmètre) et des techniques utilisées par les malware pour s’y loger.

L’intérêt pour le sujet vient des problématiques d’analyse de systèmes critiques. Les bootkits s’installant par définition hors de l’espace partitionné d’un disque, ils peuvent plus facilement échapper aux analyses.

Les orateurs présentent chaque étape d’une séquence de démarrage, comment un malware peut s’y trouver, et les techniques d’analyse possibles pour tenter de débusquer du code malveillant – ou plus généralement, toute situation déviant de la normale.

Chacune des méthodes d’analyse décrites a été implémentée dans un outil complet et largement documenté, publié sous licence libre sur GitHub : https://github.com/ANSSI-FR/bootcode_parser.

Analyse forensique du cloud en RAM

Par Pierre Veutin et Nicolas Scherrmann, TRACIP

Le sujet des conférenciers vient d’un manque général de capacité d’analyse de mémoire vive dans le cadre d’investigations numériques.

L’analyse de RAM lors de réponse à incident est un sujet aujourd’hui assez maîtrisé : plusieurs outils sont développés activement et fournissent la capacité de rechercher des indicateurs de compromissions techniques connus (connexions réseau, hiérarchie de processus, process hollowing, etc.). Dans le cadre des investigations numériques, les capacités sont plus limitées. Les problématiques sont de rechercher les traces laissées par l’utilisation de services en ligne, comme les informations accessibles depuis une session GMail ouverte : liste de contacts, contenu des e-mails, conversations de messagerie instantanée, etc.

Les services « cloud » étant de plus en plus répandus, il est naturel que les artefacts liés à leur utilisation soient de plus en plus importants lors d’investigations numériques. Les conférenciers se sont donc concentrés sur les services les plus populaires, et développent activement un outil d’analyse et d’extraction d’information. Ils en font une démonstration où ils mettent en avant les artefacts liés à l’édition de documents dans Google Drive : contenu des documents, historique des versions, marques de révision, commentaires, etc.

La conférence permet de se rendre compte à quel point les services en ligne génèrent des traces importantes pour les investigations numériques, et la complexité des développements nécessaires pour correctement en extraire des informations exploitables.

Investigations sur la chaîne de blocs

Par Stéphane Bortzmeyer, AFNIC

L’orateur commence par rappeler les bases de l’investigation numérique : à savoir toujours chercher à évaluer le niveau de confiance qu’on peut accorder à une source (en l’occurrence, les services d’exploration comme blockchain.info) et avoir conscience des informations qu’on transmet à un tiers qui peut ne pas être de confiance. La meilleure solution étant de réaliser tous les traitements en local, il convient juste dans le cas de Bitcoin de garder un peu d’espace disque de côté (environ 100 Go en janvier 2017).

Le conférencier rappelle ensuite que Bitcoin n’est pas une devise véritablement anonyme, et qu’il est par exemple possible de lier un wallet à l’identité d’une personne si cette dernière a effectué des transactions depuis une place de marché qui connaît sa véritable identité (pour échanger des Bitcoins contre/depuis des devises « physiques »).

L’orateur présente ensuite un aperçu des techniques pour brouiller les pistes des investigations sur ces types de transactions, qui sont finalement assez proches de celles employées pour blanchir de l’argent « physique » : division d’une somme, passage par plusieurs intermédiaires, conversions dans des devises différentes…

Impression 3D, contrefaçon et crime organisé

Garance Mathias, Mathias Avocats

On se détache de la technique pour cette conférence. L’oratrice présente l’impact des imprimantes 3D d’un point de vue juridique… qui n’est finalement pas si élevé que ça. La copie de formes tridimensionnelles est couverte par le droit d’auteur mais aussi par la propriété industrielle. Il est également vraisemblable que le droit à la copie privée s’applique, du moment que le « copiste » a obtenu le modèle 3D numérique de manière licite.

La conférence pivote ensuite sur le délit de contrefaçon à proprement parler. L’inconscient collectif a tendance à le considérer comme un délit mineur, alors qu’il concerne largement le crime organisé et a un impact financier mondial très important selon l’OCDE.

Les actions en justice concernant la contrefaçon peuvent aller au civil ou au pénal, mais les démarches sont mutuellement exclusives. Les victimes ont tendance à se tourner vers le civil, du fait des indemnités généralement plus élevées pour la victime, au détriment d’une peine « dure » à l’encontre du faussaire.

Retour sur les techniques du groupe FIN7

Par David Grout, FireEye

La conférence présente les conclusions des analystes FireEye suite à deux ans d’observation et d’investigation sur un groupe de cybercriminels, dénommé « FIN7 » pour leurs opérations concentrées autour du secteur financier.

On retrouve un modèle d’attaque somme toute assez classique : les acteurs n’utilisent pas d’exploits de type 0-day, mais du spear-phishing s’appuyant sur des documents Office avec macros malveillantes. Une fois qu’une victime a mordu, ils déposent des outils complémentaires type Cobalt Strike pour assurer la persistance, et se propagent dans le réseau jusqu’à trouver les informations visées.

En somme, un rappel que même les groupes de cybercriminels organisés s’appuient sur des techniques d’attaques classiques et des outils répandus. Et que par association, des mesures de défense élémentaires suffisent à contrer des menaces qu’on pourrait qualifier d’APT.

RAM & DISK EFI Dumper

Par Solal Jacob, ArxSys

La dernière conférence de la journée présente un retour d’expérience sur une investigation numérique réalisée sur un terminal de type tablette convertible. Le poste disposait d’une partition chiffrée avec BitLocker s’appuyant exclusivement sur la puce TPM, donc sans mot de passe de pre-boot.

Le poste pouvant être démarré de cette manière, les clés de chiffrement BitLocker étaient donc quelque part en mémoire… encore fallait-il pouvoir y accéder. Les analystes avaient envisagé les méthodes de type cold-boot, ou les accès directs à la mémoire offerts par les ports FireWire ou Thunderbolt. Mais en pratique, les puces de mémoire vive étaient soudées à la carte mère et la connectique de la tablette était limitée et n’offrait pas les interfaces nécessaires pour les attaques « DMA ».

La solution est venue de l’UEFI, qui était en place sur l’appareil. Les environnements UEFI sont très riches et intègrent en particulier un shell interactif, pour lequel il est possible de développer et d’exécuter des programmes. Le contexte d’exécution UEFI dispose par nature d’un accès privilégié à la couche matérielle, et l’orateur a pu obtenir une copie complète de la mémoire vive et du disque dur par l’intermédiaire de programmes UEFI spécialement conçus.