CoRIIN 2018

Cela devient une tradition ; chaque année à la veille du FIC se tient la Conférence sur la Réponse aux Incidents et l’Investigation Numérique (CoRIIN). Retour sur les trois présentations de l’édition 2018 que nous avons le plus appréciées.

Full packet capture for the masses

Xavier Mertens

L’orateur présente son traitement de la problématique « comment mettre en place une infrastructure de capture réseau ? » en respectant quelques contraintes, notamment d’employer des solutions ouvertes et multiplateformes.

Il s’est appuyé sur Moloch pour l’indexation et la visualisation des flux, tcpdump pour la capture et Docker pour assurer l’aspect multiplateforme et la facilité de déploiement. L’architecture finale reste relativement simple, elle s’appuie sur un conteneur « indexer » portant Moloch, et un ou plusieurs conteneurs « sensor » portant tcpdump et un service SSH configuré pour déverser les captures dans l’instance Moloch.

Les configurations Docker sont librement accessibles sur GitHub. Le conférencier a par ailleurs posté son propre compte-rendu de l’événement (en anglais) sur son blog.

Analyse des jobs BITS

Morgane Celton et Morgan Delahaye, ANSSI

BITS, ou « Background Intelligent Transfer Service » est un composant de Windows permettant de gérer des téléchargements de manière asynchrone. Il est notamment utilisé par Windows Update, avec la caractéristique de rester au possible transparent pour l’utilisateur au niveau de la consommation de bande passante. Sa discrétion le rend intéressant pour les malwares cherchant à dissimuler leur activité, il est alors important de tenir compte de l’activité de BITS lors d’une investigation numérique. Quelques possibilités :

  • Sur un système en fonctionnement, utiliser les cmdlets PowerShell ou l’outil bitsadmin (même si ce dernier est en fin de vie, il possède des fonctionnalités supplémentaires par rapport aux cmdlets) ;
  • Analyser les journaux Microsoft-Windows-Bits-Client/Operational, mais ils enregistrent des informations relativement fragmentaires ;
  • Analyser les fichiers de file d’attente (QMGR) utilisés par BITS pour coordonner ses tâches.

Problème sur cette dernière possibilité, avant Windows 10 le format utilisé pour les fichiers QMGR n’est pas documenté publiquement par Microsoft. Les équipes de l’ANSSI ont pris le temps d’analyser le format et ont décidé d’en faire profiter tout le monde : leur outil bits_parser a été publié sur GitHub et PyPI (donc déployé par un simple pip install bits_parser). On ne peut que saluer ce genre d’initiative !

Retour d’expérience – WannaCry & NotPetya

Quentin Perceval et Vincent Nguyen, CERT Wavestone

Les orateurs présentent leurs expériences de réponse à incident sur les crises WannaCry et NotPetya telles qu’elles ont été vécues par leurs clients directement touchés. Une conférence très riche en informations, dont nous avons principalement retenu les points suivants :

  • Une organisation de gestion de crise est indispensable (bien au-delà des aspects « cyber »), aussi bien pour la coordination des actions de confinement / reconstruction du S.I. que pour la communication – surtout considérant la vitesse avec laquelle la presse s’empare des sujets de crises informatiques de nos jours.
  • Anticiper le pire (destruction du S.I.) permet de se prémunir de situations très handicapantes. Un exemple : sans exemplaires papier des plans de gestion de crise, d’annuaires des collaborateurs ou de schémas d’infrastructure, la gestion de la crise peut se trouver paralysée un certain temps.
  • Il est en pratique impossible de garantir la sécurité totale d’un S.I., mais l’accumulation de règles d’hygiène et de durcissement peut faire office de défense en profondeur efficace et limiter la propagation de malwares destructeurs : application des correctifs de sécurité, encadrement de l’utilisation des comptes à forts privilèges, cloisonnement des réseaux, désactivation des fonctionnalités superflues présentant une surface d’attaque importante, etc. Sans chercher à obtenir une couverture exhaustive des mesures sur le S.I., avancer là où les frictions sont minimes permet d’amorcer des démarches d’amélioration continue.