Retour sur CoRIIN, le pré-FIC2015

Retour sur CoRIIN, le pré-FIC2015

XMCO a répondu présent à la première édition de la Conférence sur la Réponse aux Incidents Numériques (CoRIIN) organisée par le CECyF (Centre Expert contre la Cybercriminalité Français). Nous vous proposons un retour sur cette conférence qui s’est déroulée à Lille, à l’aube du fameux FIC 2015.

Présentation du référentiel d’exigences applicables aux prestataires de réponse aux incidents de sécurité, par Yann Tourdot et Arnaud Pilon (ANSSI)

Les représentants de l’ANSSI ont expliqué le fonctionnement des différentes certifications proposées par l’ANSSI concernant les prestataires de services. Les trois prestataires de services possibles sont les suivants :

  • PASSI (Prestataire d’Audit de Sécurité des Systèmes d’Information)
  • PDIS (Prestataire de Détection des Incidents de Sécurité)
  • PRIS (Prestataire de Réponse aux Incidents de Sécurité)

Toute entreprise ayant une ou plusieurs certifications de prestataire de service est déclarée conforme aux exigences de l’ANSSI dans chaque domaine représenté. Les entreprises sont ainsi recommandées pour leurs compétences et leur confiance sur le catalogue de l’ANSSI.

La qualification pour être prestataire de service contient un examen écrit et oral des membres d’une entreprise souhaitant y répondre. Celui-ci est obligatoire. Après analyse des réponses et évaluation des compétences d’une entreprise et de ses employés, celle-ci peut prétendre à la qualification. La certification PASSI compte déjà quatre membres, et 12 entreprises sont encore en phase d’examination.

Chaque certification est d’abord établie selon un référentiel d’exigences publiquement disponible. Ce document établit les bases permettant ou non la qualification d’une entreprise. S’ensuit un test expérimental sur une entreprise qui aboutira au référentiel définitif.

Le PRIS repose sur une pierre angulaire développée en six points :

  1. Compréhension de la menace ;
  2. Elaboration de la posture à tenir face à la menace détectée en phase 1 ;
  3. Collecte des données ;
  4. Analyse des données ;
  5. Synthèse des analyses ;
  6. Mesures de remédiation.

Selon l’évaluation de la menace, différents profils adaptés sont mis en place. Chaque profil principal a une liste d’exigences particulières. Par conséquent, un expert forensique n’aura pas les mêmes exigences qu’un expert en reverse engineering.

Le PDIS se base sur trois points principaux. Cependant, étant encore en phase expérimentale, les points décrits sont susceptibles de changer :

  1. Gestion des évènements (Collecte de sources) ;
  2. Gestion des incidents (Qualification des incidents de sécurité) ;
  3. Gestion des notifications (Signalement des incidents).

A noter que chaque prestataire de services est réévalué tous les trois ans et ce, de manière complète. En cas de manquements remarqués sur certains traits d’une qualification, cette réévaluation peut faire l’objet d’une suspension de la qualification.

CERTitude : ou comment simplifier les campagnes de recherche d’IOC, par Vincent Nguyen (@nguvin) et Jean Marsault (@iansus) (CERT-Solucom)

SLIDES / GITHUB

Le CERT-Solucom a présenté son outil maison permettant de simplifier les campagnes de recherche d’IOC (en français : Indicateurs De Compromission) sur une machine, ou un réseau de machines dont on soupçonne l’infection par un virus, malware ou trojan.

CERTitude permet ainsi de rechercher des IOC sur une machine et d’indiquer, en fonction du scan effectué, la probabilité d’infection d’une machine, en pourcentage, par un élément malveillant. Le tout, à distance, sans agent sur la machine évaluée.

Au sein de l’outil, il existe deux modes permettant d’obtenir des niveaux de discrétion différents :

  • Le premier recherche simplement les IOC sur une machine distante. Les informations étant transmises en clair sur le réseau.
  • Le second permet d’effectuer une connexion chiffrée sans divulgation des IOC.

L’outil a été conçu pour fonctionner sur la plupart des systèmes d’exploitation Windows utilisés en entreprise. Il fonctionne grâce à divers modules permettant d’effectuer différentes tâches et ne laisse quasiment pas de trace de son passage sur une machine scannée.

Le fonctionnement global de l’outil est simple :

  • Un fichier OpenIOC est donné par l’utilisateur afin d’identifier les IOC que l’on souhaite rechercher sur la machine infectée.
  • La connexion chiffrée (ou non) est mise en place et les scripts commencent la collecte des informations à partir du fichier OpenIOC donné.
  • Les requêtes envoyées et leurs réponses sont mises dans une base de données pour analyse.
  • L’outil analyse les réponses aux requêtes et détermine la probabilité d’infection de la machine.
  • Les traces de l’exécution du scan sur la machine sont nettoyées et la connexion est interrompue.

Les informations collectées sont très riches et différentes. Sont analysés, les registres, les fichiers, les processus, les services Windows (sc.exe), le Prefetch, les connexions réseaux, le cache DNS ainsi que le cache ARP.

Développé en Python et accompagné de scripts en BAT et SH, l’outil requiert un compte Administrateur sur la machine distante, ainsi que l’activation du partage de fichiers et d’administration (ports 139 et 445 ouverts).

Le mode « discret » nécessite, en outre, la mise en place d’IPSec pour communiquer avec le système distant.

Peu de traces sont laissées sur la machine, si ce n’est dans le journal d’événements Windows, le journal des connexions et les données Prefetch du système scanné.

D&D de malwares avec des C&C exotiques, par Paul Rascagnères (@r00tbsd) et Eric Leblond (@Regiteric)

Après une brève présentation de l’IDS (Système de Détection d’Intrusion) Suricata, développé par Eric Leblond et son équipe, Paul Rascagnères a présenté divers malwares quelque peu exotiques dans leur comportement.

L’intérêt de cet exposé résidait avant tout dans la présentation de règles de Suricata permettant de lutter contre les malwares les plus exotiques. En se basant sur la signature d’un malware, il est alors possible de créer, au sein de Suricata, des règles afin de les stopper.

Les malwares Havex, Regin, Houdini, FrameworkPOS et Uroburos ont ainsi été présentés, de même que les solutions de contournement qu’il était possible d’obtenir à partir de règles de Suricata.

  • Havex est ainsi détecté facilement puisqu’il cherche directement à communiquer vers son C&C à travers la machine infectée.
  • Regin est plus malin, car il utilise une autre machine du réseau afin de communiquer avec l’extérieur. La communication avec les machines du réseau se faisant par les « named pipes » du protocole SMB.
  • FrameworkPOS va encore plus loin en exfiltrant les données et commandes à travers des requêtes DNS obfusquées. Ce malware peut être détecté par Suricata auquel peut être ajouté un script Lua pour décoder les données.
  • Uroburos utilise une technique de stéganographie afin d’exfiltrer ses données dans une photo. Suricata est alors mis à mal, la seule solution étant de récupérer les images pour analyser à la main les données qui y sont présentes.

Mimikatz et la mémoire de Windows, par Benjamin Delpy (@gentilkiwi)

SLIDES

Benjamin Delpy a présenté son outil fétiche : Mimikatz. Le principe de mimikatz est simple, il permet d’interagir avec les API Windows, en particulier, afin de voir ce qu’il se passe en mémoire.

Mimikatz est en développement depuis plusieurs années et ne cesse de gagner en fonctionnalités. Après une brève présentation des fonctions « minidump » permettant de récupérer des informations sur un processus, et des « fulldump », afin de réaliser la même chose sur le système Windows, nous avons pu observer de plus près que certains mots de passe étaient présents dans les dumps d’un processus courant ou dans un ESX.

Benjamin nous a ensuite présenté la fonction de récupération du mot de passe et du code PIN utilisé dans le cadre d’une authentification par carte à puce. Nous avons aussi assisté à une démonstration de la technique du « pass-the-hash » qui consiste à réutiliser directement un hash pour se connecter avec un compte sur un système distant.

Parmi les fonctions de mimikatz présentées, nous avons pu observer les suivantes :

  • AddSID : Fonction permettant de rajouter un identifiant du domaine courant et de l’attribuer à un autre utilisateur du système. En utilisant cette fonction, on peut donc accéder aux ressources de tous les utilisateurs voulus.
  • Memssp : Cette fonction permet de placer un « hook » sur le mécanisme d’acceptation de mot de passe. Ce dernier est donc récupéré juste avant d’être validé.

Une nouveauté de mimikatz concerne l’implantation de la « Skeleton Key ». Comme son nom l’indique, c’est une « Clé Passe-partout » qui permet à un utilisateur d’avoir un mot de passe associé à son compte ainsi qu’un mot de passe universel. En utilisant cette technique, un pirate est en mesure d’accéder à toutes les données de tous les comptes présents sur un domaine sans que quiconque ne s’en aperçoive.

Investigation dans le DNS, pièges et solutions, par Stéphane Bortzmeyer (@bortzmeyer) (AFNIC)

SLIDES

Stéphane Bortzmeyer de l’AFNIC (Association Française pour le Nommage Internet en Coopération) nous a présenté les différents dangers que l’ont pouvait trouver au sein de la résolution DNS de certains domaines. Parmi ces exemples, on retrouve l’utilisation abusive de domaines. Par exemple, « .csa.xyz.co.uk » est un exemple valide de domaine « .uk », il est cependant difficile, pour un utilisateur, de comprendre avec précision quel est le domaine réellement utilisé.

Bortzmeyer est ensuite revenu sur les difficultés liées aux nombreux acteurs participant à la résolution d’un nom de domaine. Entre les titulaires, les registres de bureau et les bureaux d’enregistrement, il n’est pas simple de savoir où s’adresser en cas de problèmes.

Une autre difficulté évoquée est l’utilisation des registres épais (dont le registre à toutes les informations, comme les « .fr ») et minces (dont le bureau d’enregistrement détient les informations, comme les « .com »). Selon les cas, nous obtenons toutes les informations concernant un domaine ou seulement des informations techniques.

Enfin, il nous a avertis des dangers liés aux « WHOIS ». Outil permettant de retrouver les informations correspondant à un domaine. De nombreux sites permettent de retrouver les informations d’un WHOIS. Cependant, ils n’assurent pas le total anonymat des requêtes effectuées. Dans le cadre d’une investigation, cela peut porter préjudice aux enquêteurs. De plus, aucune vérification n’est faite sur les données WHOIS d’un nom de domaine, celles-ci ne sont ainsi pas toujours fiables.

Pour pallier à ces divers problèmes, le protocole RDAP (Registration Data Access Protocol) pourrait bientôt voir le jour. Il promet d’être le futur WHOIS et d’apporter, entre autres, un accès sécurisé aux données en HTTPS uniquement et des réponses aux requêtes au format JSON.

Internet Explorer 10 et 11: un nouveau format de données pour de nouveaux défis, par Jean Philippe Noat et Bruno Valentin (@bvalentincom) (URIEL Expert)

Les deux experts en sécurité de la société monégasque URIEL Expert sont revenus sur l’évolution des fichiers cachés d’Internet Explorer.

Ils ont notamment parlé de l’intégration d’un système de niveau d’intégrité des processus et des données pour Internet Explorer, basé sur un système très simple :

  • Haut (de nombreuses actions sont autorisées) ;
  • Moyen (certaines actions sont autorisées) ;
  • Bas (très peu d’actions autorisées).

En niveau d’intégrité bas, Internet Explorer ne pourra pas, par exemple, accéder à des clés de certains registres ou processus contenant des informations critiques.

Un retour sur le changement de format des fameux fichiers « index.dat » utilisés par Internet Explorer pour stocker des informations sur les sites internet visités, les cookies ou encore les fichiers temporaires a été effectué.

Le remplaçant d’ « index.dat » se nomme « WebCacheV* ». Ces fichiers sont enregistrés au format Windows « Jet Blue » aussi appelé format ESE (Extensible Storage Engine), dont les fichiers portent l’extension « .edb ». Ce format est bien connu sous Windows puisqu’il est utilisé, notamment, dans des logiciels comme Exchange ou encore Mail.

Ce format fonctionne comme une base de données, il est possible de lire les fichiers avec le logiciel LibESEdb.

FastResponder: Nouvel outil open source pour détecter et comprendre des compromissions de grande ampleur, par Sébastien Larinier (@sebdraven) (CERT-Sekoia)

Le CERT-Sekoia a présenté son outil FastResponder permettant de détecter et de comprendre les compromissions de grande envergure. A l’image de l’outil CERTitude de Solucom, FastResponder va rechercher des IOC sur un système, à travers un agent installé sur la machine.

L’objectif premier de FastResponder est de répondre rapidement aux besoins des utilisateurs ayant subi une compromission de leur système. Les antivirus étant de moins en moins efficaces face aux nouvelles attaques, l’outil permet d’analyser rapidement de nombreux IOC en réalisant des recherches sur les nombreux fichiers, processus et registres d’une machine.

Allant plus loin que CERTitude, FastResponder permet de collecter de très nombreuses données pouvant ensuite servir à une étude forensique approfondie. Détection d’IOC, décodage de la MBR, décodage du BootSector, récupération des MD5 de chaque fichier, ainsi que l’utilisation de Yara permettant la recherche de malware sur un système à travers un système de signature évolué (à la manière d’OpenIOC, présent dans CERTitude)

L’outil est codé en python et repackagé en fichier « .exe », afin d’être facilement lancé sous Windows.

Après environ un an de développement, l’outil Open-Source est amené à évoluer avec la collecte d’un dump de la RAM, des caches DNS, de l’historique des navigateurs ou encore le support de Windows 8.1.

La première édition de cette conférence fut une réussite. Nous tenons à féliciter l’initiative du CECyF et particulièrement d’Eric Freyssinet pour cet événement.

Plus d’infos sur CoRIIN:


Cert-XMCO