Retour sur la 8ème édition de la conférence Hack In Paris (HIP 2018)

Retour sur la 8ème édition de la conférence Hack In Paris (HIP 2018)

XMCO était partenaire de la 8ème édition de la Hack In Paris. Cette édition s’est une nouvelle fois tenue à la Maison de la Chimie à Paris du 25 au 29 juin 2018. Comme les années précédentes, celle-ci a débuté avec 3 jours de formation pour terminer avec 2 jours de conférence.

Nos consultants ont assisté aux différentes conférences et vous présentent un résumé de celles qui ont retenu leur attention. L’ensemble des conférences auxquelles nous avons assistés seront disponibles dans le prochain numéro de l’ActuSécu.

1
 

The Bicho, an Advanced Car Backdoor Maker (Sheila Berta, Claudio Caracciolo)
Slides : https://hackinparis.com/data/files/talks_2018/the-bicho-v21-sheila-berta.pdf
GitHub : https://github.com/UnaPibaGeek/CBM

Les conférenciers ont présenté leur logiciel permettant de concevoir une porte dérobée embarquée dans une voiture. Après être revenus sur l’utilité et les fonctionnalités du bus CAN (utilisé notamment par les garagistes pour les diagnostics), les intervenants ont décrit les différentes possibilités qu’offre leur outil baptisé « The Bicho ». Celui-ci utilise le bus CAN pour récupérer de l’information et contrôler le véhicule.

The Bicho est composé d’une carte électronique qui dispose d’un micro logiciel conçu spécifiquement pour le microcontrôleur. Au travers d’un port USB, la porte dérobée peut être contrôlée et configurer au travers d’une interface graphique baptisée « Car Backdoor Maker ».

2

L’outil supporte plusieurs types de charges malveillantes et fonctionne sur tous les véhicules munis d’un bus CAN. L’avantage de la solution est de pouvoir envoyer des charges malveillantes par SMS depuis n’importe quelle localisation.

The Bicho surveille tous les évènements de la voiture et est dans la capacité de déclencher une action lors, par exemple, de l’atteinte d’une position GPS ou d’une vitesse donnée.

Afin de pouvoir être compatibles avec les différents modèles de voiture, les conférenciers ont dévoilé un autre projet nommé « OpenCANdb », ayant pour but de référencer tous les systèmes de Bus CAN par modèle (http://www.opencandb.online/).

Enfin quelques vidéos de démonstration ont été présentées où l’on a notamment pu voir une voiture allumer ses clignotants suite à la réception d’un SMS.

3
 

 

How To Bring HID Attacks To The Next Level (Luca Bongiorni)
Slides : https://hackinparis.com/data/slides/2018/talks/HIP2018_Luca_Bongiorni_How_To_Bring_HID_Attacks_To_The_Next_Level.pdf
Article : https://medium.com/@LucaBongiorni/whid-injector-how-to-bring-hid-attacks-to-the-next-level-b06a40b7df22

Cette conférence portait sur l’évolution des HID (Human Interface Device). Les HID sont des appareils utilisés afin de capter les interactions avec la machine tels que : clavier, souris, manette, etc. La plupart du temps, ils n’ont pas besoin de pilotes externes pour fonctionner et ne sont pas surveillés par les outils DLP (Data Loss Prevention) et les antivirus.

Ces aspects intéressants ont permis de voir apparaitre en 2009/2010 une première génération d’appareil d’attaque (Teensy, Rubberducky) permettant d’exécuter des commandes sur un système après les avoir connectés au port USB d’un poste de travail. Après un bref historique sur les différentes générations de HID, le conférencier a présenté les « WHID injector » permettant l’injection de charges malveillante depuis un réseau Wi-Fi. L’avantage de cet appareil est de pouvoir être complètement contrôlé à distance (mise à jour des charges malveillante, mise à jour du micro logiciel, etc.).

4

Quelques exemples de HID dissimulés dans des gadgets USB ont été montrés ainsi que quelques vidéos. Le conférencier a finalement insisté sur le fait qu’aujourd’hui le prix de ce type d’appareil a fortement baissé et est de l’ordre de 15 euros.

Son prochain projet consiste à monter une Potaebox (Penetration Over The {Air, Ethernet} box). Il s’agit d’une « Pentest Box » dotée de plusieurs possibilités d’écoute (audio, réseau, vidéo, etc.) et d’intrusion (contournement de NAC, Man-in-the-Middle, etc.).

 

 

From printed circuit boards to exploits: pwning IoT devices like a boss (Damien Cauquil)
Slides : https://hackinparis.com/data/slides/2018/talks/HIP2018_Damien_Cauquil_From_Printed_Circuit_Boards_To_Exploits.pdf

L’objectif de cette conférence était de présenter une méthodologie d’audit d’objet connecté. Damien Cauquil, chercheur en sécurité spécialisé dans l’IoT, a ainsi pu dérouler les différentes étapes nécessaires à l’audit d’un cadenas intelligent, connecté en Bluetooth Low Energy.

5

Au travers de cet exemple concret, le conférencier a pu mettre en avant les 9 étapes suivantes :

  1. Démontage/ouverture de l’objet connecté ;
  2. Analyse visuel et compréhension du fonctionnement globale de l’objet (aspect mécanique, composants électroniques utilisés, etc.) ;
  3. Création d’un schéma simplifié du fonctionnement de la carte électronique, et récupération des documentations techniques relatives à ces composants ;
  4. Extraction du Firmware (via les interfaces de debug, en interceptant le déploiement de mise à jour Over-The-Air, etc.) ;
  5. Comprendre l’architecture utilisée par l’objet (présence d’un système d’exploitation ? y a-t-il un système de fichier ? etc.) ;
  6. Désassembler le firmware ainsi que les applications associées à l’outil (applications mobiles, logiciels, etc.) ;
  7. Intercepter et analyser le trafic émis et reçu par l’objet au travers des différents protocoles (Bluetooth, WiFi, etc.) ;
  8. Identifier de potentielles vulnérabilités ou bug à partir des différentes données collectées précédemment ;
  9. Exploitation des vulnérabilités identifiées.

À la suite de l’application de ces différentes étapes, Damien Cauquil a pu mettre en évidence une vulnérabilité présente au sein du cadenas connecté ciblé. Cette vulnérabilité permet d’ouvrir le cadenas à distance via l’envoi de paquets Bluetooth Low Energy spécialement conçus.

Par ailleurs, le conférencier a souligné que cette méthodologie n’a pas pour vocation à être complète. En effet, d’autres étapes peuvent être ajoutées ou tout simplement réalisées dans un ordre différent.

Cependant, il reste essentiel de réaliser une compréhension complète du fonctionnement de l’objet aussi bien d’un point de vue électronique que logiciel, avant même de chercher de potentiels défauts de conception exploitables par un attaquant.

 

 

Invoke-DOSfuscation: Techniques FOR %F IN (-style) DO (S-level CMD Obfuscation) (Daniel Bohannon)
Slides : https://hackinparis.com/data/slides/2018/talks/HIP2018_Daniel_Bohannon_Invoke_Dosfuscation.pdf
GitHub : https://github.com/danielbohannon/Invoke-Obfuscation

Daniel Bohannon, chercheur en sécurité au sein de la société Mandiant, a profité de cette conférence afin de présenter ses recherches concernant les différentes manières d’exécuter une commande sur un système Windows, à l’aide du programme “cmd.exe”.

L’objectif de cette présentation était de mettre en évidence les différentes possibilités d’obfuscation de commande permettant de réduire les risques de détection par de potentiels mécanismes de sécurité mis en place sur le système Windows.

En effet, à partir de techniques tels que la substituions de caractères, la réutilisation de portions de chaîne de caractères valide, ou encore via le changement de caractères de séparations, il est possible d’obfusquer une commande basique en une commande complexe, restant néanmoins valide pour le système.

Au cours de cette présentation, ont notamment pu être listées les techniques d’obfuscation suivantes :

  • Stocker une commande valide au sein d’une variable d’environnement et l’insérer ensuite au sein d’une commande ;
  • Insérer des caractères « ^ » ou « » » au sein d’une chaîne de caractère ;
  • Modifier les caractères de séparation ;
  • Ajouter des paires de parenthèses.

Afin d’automatiser cette obfuscation de commande, le conférencier a développé un outil (« Invoke-Obfuscation ») permettant de réaliser cette tâche. Ce programme, développé en PowerShell, permet ainsi la conversion d’une commande basique en une commande complexe valide, permettant ainsi de contourner de potentiel filtrage de commande sur le système.

6

La capture d’écran ci-dessus illustre comment il est possible d’exécuter la commande « netstat /ano » de manière obfusquée.


Jean-Christophe Pellat

Cert-XMCO