Résumé de la réunion du groupe Paris de l’OSSIR du 14 mai 2013

Résumé de la réunion du groupe Paris de l’OSSIR du 14 mai 2013

La dernière réunion de l’OSSIR s’est déroulée le 14 mai 2013 dans les locaux de l’INRIA. Les sujets suivants y ont été présentés :

  • Analyse de binaires par Frédéric Marmond de Tetrane
  • Etat de la menace avancée par Nicolas Ruff
  • Revue d’actualité par Nicolas Ruff

Analyse de binaires (Frédéric Marmond / Tetrane)

La société Tétrane, localisée dans la ville de Mâcon, est venue présenter sa technologie baptisée Reven. Cette entreprise propose en effet un outil destiné aux chercheurs de vulnérabilités, le but étant d’automatiser au maximum les tâches redondantes. Le logiciel est capable d’analyser et parcourir des exécutables (.exe par exemple), des bibliothèques (.dll par exemple) ou encore des pilotes.

Leur analyse se focalise sur les couches basses. En effet, dans certains cas, l’analyse statique du code source est insuffisante. Des vulnérabilités peuvent cependant être introduites par le compilateur. Un exemple a été réalisé au cours de la présentation : deux « variables différentes » pointent sur la même adresse mémoire physique. Des rappels ont été effectués sur le fonctionnement de la MMU (Memory Management Unit) afin de comprendre l’origine de la vulnérabilité. Cette faille a pu être rapidement découverte grâce à une visualisation des changements effectués sur l’espace mémoire en question.

L’outil se base sur un processeur virtuel recréé à partir de la documentation Intel. Des vérifications parallèles doivent donc être effectuées afin de s’assurer que la simulation reste semblable à celle qui aurait lieu sur un processeur physique, car dans certains cas, la documentation peut être erronée ou incomplète. Tous les registres sont donc régulièrement vérifiés à l’aide de débuggeurs traditionnels, comme gdb.

Pour l’instant, seule la plateforme Debian 32bit est supportée, mais il est néanmoins prévu d’étendre la compatibilité aux architectures 64bits dans un second temps. Le support des environnements Windows est également prévu.

Tétrane décline son logiciel Prisme sous 3 solutions différentes : Prisme Report, Prisme Infra et Prisme Ultra. Chaque solution cible une population différente allant du DSSI/RSSI aux chercheurs. Toutes ces solutions seront commercialisées avant la fin de l’année 2013.

SLIDES

Les APT sont-elles des attaques avancées ? (Nicolas Ruff, EADS Innovation Works)

En l’absence imprévue du second intervenant, Nicolas Ruff (au vote unanime du public) a effectué de nouveau la présentation qu’il avait donnée au GSday en 2013 : « Les APT sont-elles des attaques avancées ? ». Il a présenté les différents points de vue exprimés sur le sujet et par la même occasion quelques techniques d’exploitation, d’évasion et d’antidétection assez originales découvertes dans le cadre d’APT. Il a d’abord exposé les arguments en défaveur de cette théorie :

  • Les outils utilisés sont bien connus et parfois même assez anciens, et il est assez rare d’assister à l’utilisation d’outils spécifiques, développés pour l’occasion
  • Les attaquants ne semblent pas toujours très expérimentés, il a ainsi été constaté lors de l’enquête menée par Mandiant sur APT1 que ces « hackers » font des fautes de frappe, ne connaissent pas toujours les outils et tentent tant bien que mal de trouver comment s’en servir correctement.

Dans un second temps, Nicolas a présenté les arguments défendant le fait que les APT portent tout de même bien leur nom :

  • De nombreux malwares utilisent dorénavant des vecteurs de communications avec leurs serveurs de contrôle de plus en plus complexe : téléchargement d’images PNG comportant les instructions au sein des commentaires, utilisation de cookie de session, de réseaux sociaux (Twitter par exemple) …
  • Certains malwares utilisent la taille fixe du prologue qui est de 5 octets. Ceci résulte le plus souvent de l’ajout d’une instruction assembleur inutile du type «mov edi edi» en début de fonction. Des attaquants peuvent donc réaliser des appels aux adresses mémoires +2 permettant ainsi d’échapper aux hooks mémoires des antivirus.

La présentation s’est finie par un état des lieux du niveau technique général des attaquants. Nicolas a ainsi affirmé que dans la plupart des cas, les pirates chinois, malgré leur grande popularité dans les médias, ne sont généralement pas d’un niveau technique très élevé. Les pirates d’origine russe semblent par contre être de véritables experts. La présentation s’est conclue sur le constat que ce soit une chance que ces attaquants ne soient à la recherche « que » d’argent, car ils auraient la capacité de provoquer de réelles catastrophes de grandes envergures. Mais pourquoi vouloir élever leur niveau d’expertise alors qu’ils parviennent déjà à compromettre les réseaux informatiques de leurs victimes ?

SLIDES

Revue d’actualité (Nicolas Ruff, EADS Innovation Works)

La réunion s’est terminée, par l’incontournable revue de l’actualité du mois écoulé par Nicolas Ruff avec comme toujours, la publication de correctifs, les découvertes de failles de sécurité et les informations diverses autour de la sécurité.

  • L’APRIL conteste l’attribution du contrat-cadre du Ministère de la Défense à Microsoft
  • La sécurité des routeurs domestiques serait quasiment nulle
  • Un faux tweet sur le compte de l’Associated Press provoque un minikrach boursier
  • Un administrateur réseau chez HostGator installe un backdoor dans 2700 serveurs
  • Le plus gros braquage numérique du 21e siècle : 45 millions de dollars volés à travers le monde
  • Le bureau d’enregistrement Name.com victime d’une intrusion informatique
  • Un malware, vSkimmer, vise les terminaux de paiement qui reposent sur Windows
  • Livre blanc 2013 sur la défense et la sécurité nationale – quelques points importants :
    • La cyberdéfense est une priorité pour le gouvernement d’après le nouveau Livre blanc
    • notifications obligatoires des incidents de sécurité à l’ANSSI
    • obligation d’installer des IDS
  • Premier retrait d’agrément de l’ARJEL

SLIDES

Rendez-vous le mardi 11 juin pour la prochaine réunion du groupe Paris de l’OSSIR.


Cert-XMCO