ad88888ba db ad88888ba d8" "8b d88b d8" "8b Y8, d8'`8b Y8, `Y8aaaaa, d8' `8b `Y8aaaaa, `"""""8b, d8YaaaaY8b `"""""8b, `8b d8""""""""8b `8b Y8a a8P d8' `8b Y8a a8P "Y88888P" d8' `8b "Y88888P" ad888888b, ,a8888a, 88 888888888888 d8" "88 ,8P"' `"Y8, ,d88 ,8P' a8P ,8P Y8, 888888 d8" ,d8P" 88 88 88 ,8P' a8P" 88 88 88 d8" a8P' `8b d8' 88 ,8P' d8" `8ba, ,ad8' 88 d8" 88888888888 "Y8888P" 88 8P' Martin DGA-MI/IMPS/VSE à l'attention du personnel SSI DGA-MI Object : Restitution de la conférence Kaspersky (SAS 2017) Chers Collègues, intro Les 3 et 4 avril, j'ai participé à la conférence Kaspersky sur les menaces et malgiciels de l'année 2016. Voici ci-dessous ma restitution en diffusion restreinte. La conférence s'est déroulé à Saint Martin : Ile Franco Hollandaise des caraïbes. https://fr.wikipedia.org/wiki/Saint-Martin_(Antilles_fran%C3%A7aises) Initialement, il y a 10 ans, Eugène Kaspersky crée un évènement annuel interne pour permettre à ses techniciens de communiquer et de savourer de la vodka. Le temps passa et la liste des invités grandit, maintenant la DGA en fait parti. La conférence est sous une bannière bleu de collaboration pour la lutte contre les menaces informatiques. Les Russes sont en majorité, suivi des Américains, Israéliens, Britanniques puis Européens. Les Sud-américains puis les Asiatiques sont minoritaires mais présent tout de même. Par ailleurs Kaspersky est bien installé au Brésil. Voici la vidéos youtube d'introduction (youtube interdit sur l'ISPT): https://www.youtube.com/watch?v=kRXr4pkYJiw ============================================================================ plan 0. Introduction intro 1. Résumé resume 2. Programme programme 2.1 Programme du jour 1 programme-jour1 2.2 Programme du jour 2 programme-jour2 3. Premier jour jour1 4. Deuxième jour jour2 ============================================================================ resume 1. Résumé --------- le-vol -> Le vol d'identité reste l'attaque la plus populaire aux_usa -> Aux USA, la cyber est une nouvelle arme au même titre que la terre, la marine et l'aéro le-recouverment -> Le recouvrement de signatures entre 2 moteurs antivirus est de seulement 20%. Il n'est donc pas délirant de les empiler risque_equal -> RISQUE = VULNÉRABILITÉ X MENACE ncsa -> la NCSA est l'équivalent Israélien de l'ANSSI - Elle fait de l'audit open source sur les produits critiques - NCSA = National Cyber Security Authority (crée en 2015) en-1996 -> En 1996: -> 99% des guerriers informatiques agissaient seul pour se divertir -> 1% étaient professionnels pour le gouvernement -> Maintenant c'est l'inverse kapsersky-non-attribue -> Kaspersky n'a jamais attribué cependant au SAS 2017, il a fait 2 attributions: attribution-coree -> Attribution d'un logiciel de vol bancaire à des attaquants de Korée du Nord attribution-hamas -> Attribution d'un logiciel d'exfiltration de données militaire sur Android ainsi que 100 attaques de social-engeenering à des attaquants appartenant au Hamas prime-yara -> Le prix du meilleur expert en sécurité informatique offert au créateur de YARA: framework antivirus (grep en mieux) tizen-vuln -> Tizen le nouvel OS Samsung (galaxy S9) contient plusieurs vulnérabilités dont des tableuax, malloc et stcpy sans vérifications sagesse -> Ne blâme pas la victime (d'une attaque informatique) -> Personne ne se rend au travail pour y faire un mauvais travail -> Les petits pas dans la défense rendent l'attaque plus difficile la-moitie -> La moitié des banques ne contrôle pas leur serveur DNS (Brésil) -> Quelques unes de ces banques partagent le même serveur DNS la-securite -> La sécurité est un processus et non une destination (Blackberry) armee-zombie -> Le mieux pour obtenir une armée de zombie est l'hameçonnage (fishing) open-defense -> Interdire les scripts powershell non signés -> Interdire les macros MS-Office -> Utiliser des Scanners de mémoire chez l'hôte -> Utiliser des Scanners de comportement 14-journalistes -> Turquie: 14 journalistes en prison depuis 18 mois pour un document électronique. L'analyse des fichiers "log sequence numbers" semblent révéler un coup monté. L'agence d'enquête "Arsenal" sous attaque lors de son enquête ============================================================================ programme 2. Programme ------------ Voici ci-après le programme que vous pourrez trouver ici: https://sas.kaspersky.com/#conference-day-1-monday-april-3-2017 https://sas.kaspersky.com/#conference-day-2-tuesday-april-4-2017 programme-jour1 2.1 Programme-jour1 ------------------- 2.1 Intellect 09:30 - 09:40 Welcome and introductions *Eugene-Kaspersky 09:40 - 10:10 The (memory corruption) safety dance Mark-Dowd @ Azimuth Security 10:10 - 10:35 Threat intelligence threatening intel operations Catherine-Lotrionte @ Georgetown University 10:35 - 11:00 When will the future of cybersecurity get here? Ron-Gula @ Gula Tech Adventures 11:00 - 11:20 From defending an organization to defending a country Buky-Carmeli @ Israeli National Cyber Security Authority 11:20 - 11:40 Coffee break 2.2 Intuition 11:40 - 12:10 A link to the past: Connecting the birth of cyberespionage Thomas Rid, Daniel Moore, King's College London; Juan Andres Guerrero-Saade, Costin Raiu @ Kaspersky Lab 12:10 - 12:35 The seven year itch Kris-McConkey @PwC 12:35 - 13:00 Cyber in a world of cloud John-Lambert @ Microsoft 13:00 - 14:00 Lunch 2.3 Energy 14:00 - 14:40 Chasing bad guys from Bangladesh to Costa Rica Vitaly-Kamluk Aleks-Gostev @ Kaspersky Lab Adrian-Nish Sergei-Shevchenko @ BAE Systems Dries-Watteyne @ SWIFT 14:40 - 15:05 Attacking the hospitality and gaming industries: Tracking an attacker around the world in 8 years Preston-Lewis Jacob-Christie @ Mandiant 15:05 - 15:30 Hunting an IT-criminal gang from Romania Peter-Kruse Jan-Kaastrup @ CSIS Security Group 15:30 - 15:55 Live in the ATM malware trenches Sergey-Golovanov Igor-Soumenkov @ Kaspersky Lab 15:55 - 16:10 The SAS 2017 MVP award 16:10 - 16:30 Coffee break 2.4 Agility 16:30 - 16:55 Breaking Tizen Amihai-Neiderman 16:55 - 17:20 Elephant and monkey Peter-Zinn Erik-Johansson 17:20 - 17:45 Time to grow up: Counterproductive security behaviors that must end Chris-Eng @ Veracode 17:45 - 18:30 The digital frontier Live debates Dinner programme-jour2 2.2 Programme-jour2 ------------------- 2.5 Stamina 09:30 - 10:00 Hunting bugs for humanity David-Jacoby @ Kaspersky Lab; Frans-Rosen @ Detectify 10:00 - 10:20 Wassenaaren't you glad I didn't say banya? Katie Moussouris, Luta Security 10:20 - 10:40 Stop hacking me bro! Changing behavior through gamification and behavior modification principles Kymberlee Price, Microsoft Amin Hasbini, Kaspersky Lab 10:40 - 11:00 Lessons from the hacker front lines Alex Rice, HackerOne; Ryan Naraine, Kaspersky Lab 11:00 - 11:20 15+ years of disclosures: The good, the bad and the worst Cesar Cerrudo, IOActive Labs 2.6 Flexibility 09:30 - 10:00 A bad guy's dream coming true: The hijack of an entire bank operation Dmitry Besthuzhev, Fabio Assolini @ Kaspersky Lab 10:00 - 10:20 From hot tubs to thousands of booze bottles: Real world PoS system mass pwnage Domingo Montanaro, Ventura Enterprise Risk Management; Cyllas Elia, Sao Paulo State Police 10:20 - 10:40 Malicious traders Aleks Gostev, Kaspersky Lab 10:40 - 11:00 Exploit kit redux: What happens when kits disappear Nick Biasini, Cisco Talos 11:00 - 11:20 Behind enemy lines: Funny bugs and exploits from inside a criminal's infrastructure Maciej Kotowicz, CERT Polska 2.7 Focus 09:30 - 10:00 Trust no one or how to survive in a world of total mistrust Andrey-Nikishin @ Kaspersky Lab 10:00 - 10:20 ICS cybersecurity programs for multi-national corporations Vladimir Vylkov, Siemens Industry USA; Melissa Crawford, Siemens AG 10:20 - 10:40 The ultimate tips to implement a secure Smart City municipal drone program Amin Hasbini, Kaspersky Lab 10:40 - 11:00 Eight crazy ways to foil hardware attacks, for all budgets Joe Fitzpatrick, SecuringHardware.com 11:00 - 11:20 Fuzz me gently Catch my crashes! Sergey Temnikov, Vladimir Dashchenko, Kaspersky Lab 2.8 Persistence 11:40 - 12:10 Inside an active APT incident response Brian Candlish, Christian Teutenberg, Telstra 12:10 - 12:30 Ransomware in targeted attacks Anton Ivanov, Kaspersky Lab 12:30 - 12:50 China's evolving cyber operations: A look into APT19's shift in tactics Ben Withnell, Erica Eng, FireEye 12:50 - 13:10 Finding Shamoon Amin Hasbini, Kaspersky Lab 13:10 - 13:30 Endless gunfire in South Korea Seongsu Park, Kaspersky Lab; Donghee Lee, SK Infosec TopCERT 2.9 Passion 11:40 - 12:10 Winning the battle by design: The art of security engineering in safety critical systems Campbell Murray, BlackBerry 12:10 - 12:30 Hardening Android against ransomware, one dessert at a time Elena Kovakina, Google 12:30 - 12:50 Mobile espionage in the wild: Pegasus and nation-state level attacks Andrew Blaich, Lookout 12:50 - 13:10 Do-it-yourself spy program: Abusing Apple's Call Relay Protocol Martin Vigo, Salesforce 13:10 - 13:30 Do Tinder bots dream of electric toys? Inbar Raz, PerimeterX 2.10 Expertise 11:40 - 12:10 Back to the IoT Future: Where Marty controls all your routers Dan Demeter, Costin Raiu, Kaspersky Lab 12:10 - 12:30 IoT security nightmares - 20 minutes, 10 devices Jan Hoersch, Securai GmbH 12:30 - 12:50 Trade controls impact on industrial Internet of Things Harsha Banavara, Schneider Electric 12:50 - 13:10 BackConnect's suspicious BGP hijacks Doug Madory, Dyn 13:10 - 13:30 What zombies know about ICS Kirill Kruglov, Vyacheslav Kopeitsev, Kaspersky Lab 2.11 Collaboration 14:30 - 15:00 Destructive malware: When money isn't a motive Muks Hirani, Mandiant 15:00 - 15:20 The open source APT Kurt Baumgartner, Kaspersky Lab 15:20 - 15:40 High stakes evidence tampering and the failure of digital forensics Mark Spencer, Arsenal Consulting 15:40 - 16:00 Undocumented MS Word features abused by attackers Alexander Liskin, Anton Ivanov, Kaspersky Lab 16:00 - 16:20 Infecting a computer by browsing is harder than you thin Boldizsar Bencsath, CrySyS Lab 16:20 - 16:40 Battle of hunters: Attacking the weakest link of the strongest chain? Ido Naor, Kaspersky Lab 2.12 Safety 14:30 - 15:00 Scaling properties of software and system security Paul Vixie, Farsight Security 15:00 - 15:20 Building inferences of guilt, attribution, and data visualization with semantic graphs Dan Hubbard, Thibault Reuille, OpenDNS 15:20 - 15:40 Don't push the button or I will Yara you down Markus Neis, Swisscom 15:40 - 16:00 Hidden treasure: Detecting intrusions with ET Kyle Reed, Microsoft 16:00 - 16:20 Research of using steganalysis and countermeasures against steganography in Anti-APT products Alexey Shulmin, Evgeniya Krylova, Kaspersky Lab 16:20 - 16:40 Ponce: One-click concolic execution in IDA Pro Alberto Garcia Illera, Francisco Oca, Salesforce 2.13 Reliability 14:30 - 15:00 Industrial malware: The automated way to take down the grid or plants in seconds Dewan Chowdhury, MalCrawler 15:00 - 15:20 Through the eyes of the attacker: Data integrity attacks in the power sector Marina Krotofil, Honeywell; Chris Sistrunk, Mandiant 15:20 - 15:40 Smart medicine breaches its "First Do No Harm" principle Denis Makrushin, Kaspersky Lab 15:40 - 16:00 Security incidents in ICS/SCADA organizations Alexey Polyakov, Kaspersky Lab 16:00 - 16:20 When smart medical devices become our worst nightmare Stephen Chavez, Lani Rupp, Omega Intelligence & Security Solutions 16:20 - 16:40 How to get good seats in the security theater: Hacking boarding passes for fun and profit Przemek Jaroszewski, CERT Polska 2.14 Velocity 20 slides of 20 sec each: - ICS transforms in Maltego Roelof Temmingh, Paterva - Analyzing APT artifacts - 1000 at a time Marco Preuss Vicente Diaz, Kaspersky Lab - Injection without needles: A detailed look at the data being injected into our web browsers Paul Alderson, FireEye - Ghosts in the WMI Yury Namestnikov, Kaspersky Lab - PowerShell threats: Why they work so well and why they will develop further Candid Wüest, Symantec The secret power of Yara Vitaly Kmluk, Kaspersky Lab ---------------------------------------------------------------------------- jour1 3.1 Jour1 3.1 Intellect 09:30 - 09:40 Welcome and introductions Eugene-Kaspersky * Il y a 360 participants de 36 pays * C'est le SAS numéro 9 * Toujours dans un lieu exotique 09:40 - 10:10 The (memory corruption) safety dance Mark-Dowd @ Azimuth Security * Auteur Australien * Chef de Azimuth Security * Son but est de prévenir les vulnérabilités 1/ Défense ---------- 1.a Minimisation de bogues * Fuzz * Langages avec types sures (type-safe) * Analyseur statiques 1.b Mitigation d'exploitations * ASLR * DEP * Code Signing * CFG (Control Flow Guard) 1.c Isolation 2/ Attaque --------- ! Exceptions -> Fuite d'information 1 Corrompt 2 Injecte 3 Exécute * C'est plus difficile de trouver des vulnérabilités que jadis * Les exploitations sont utilisables peu de temps car la fréquence des patchs a augmentée * S'échapper d'un banc à sable est ce qu'il y a de plus difficile -> L'usage d'un bac à sable double le travail de l'attaquant * La majorités des chercheurs de vulnérabilités en trouvent grâce au fuzzing * La recherche de vulnérabilité est 4 fois plus dur qu'en 2010 * Le problème des statistiques disponibles est qu'elles dépendent du software et de sa version -> Ne pas faire confiance aux statistiques (publiques) * Maintenant l'attaquant nécessite toujours une ou plusieurs fuites d'information * Les explorateurs web (ie: browsers) sont les logiciels les plus attaqués car ils donnent un feedback au programmeur. -> JavaScript est facile à attaquer et dur à défendre. 3/ Futur -------- * JIT : la compilation "juste à temps" * L'intégrité du Noyau ! Les bogues au niveau du processeur restent des dangers bas niveau * Trust - zone -> La chaine totale pour écrire une exploitation durera 1 ans en 2020 ~/ Conclusion le-vol ------------- * Les attaquants vont toujours à la victoire facile -> Le vol d'identité est et restera l'attaque la plus populaire 10:10 - 10:35 Threat intelligence threatening intel operations Catherine-Lotrionte @ Georgetown University * l'auteur est un avocat d'état * Elle réduit sa présentation de 4h à 20 min (les excuses) * Préalablement elle travaillait à la CIA et nous explique la législation sur la sécurité informatique -> Il n'y a pas de législation internationale sur la sécurité informatique aux_usa -> Aux USA, la cyber est une nouvelle arme au même titre que la terre, la marine et l'aéro ~/ Les politiques des agences gouvernementales aux US. ------------------------------------------------------ * Ne pas recruter de méchantes entités privée (ie: cyber mercenaire) * Ne pas compromettre la pays (même si on est sous attaque digitale) * Ne pas donner d'information classifier aux journalistes -> Si tu le fais, explique leur alors l'impact potentiel d'une divulgation -> Donne la responsabilité de la compromission à cet agent -> le journaliste doit être habilité au secret * Il n'existe malheureusement pas de protocole de communication entre les médias et les agences gouvernementales (CIA, NSA) * En bref ces questions d'éthiques regroupent: 1 Média 2 Gouvernement 3 Entreprises 4 La loi Questions à un avocats : ------------------------- ? Comment les agences espionnent légitimement ? -> Pour la paix (l'US veut savoir ce que mijotent les Européens avec les pays frontaliers, pour rester "in" ? Pourquoi on ne voit pas de relations cyber - média ? -> Les autres secteurs, même militaire voir nucléaire ont leurs service médiatiques : en effet, des impôts, ils travaillent pour le peuple -> Les opérations cybers sont en retard étant tout simplement plus jeunes * A savoir : -> Les analystes de malgiciels ne parlent jamais kapsersky-non-attribue -> Kaspersky n'attribue jamais ? Peut on impunément faire fuir de l'information ? -> Tant que tu ne romps aucune loi (ex : atteinte à la vie privée), tu peux dire ce qu'il te plait car il existe la liberté des médias -> Évidement tu perd ton job mais seras toujours jugé dans le civil comme un civil 10:35 - 11:00 When will the future of cybersecurity get here? Ron-Gula @ Gula Tech Adventures * L'auteur est un ancien pentesteur * Il nous enseigne à nous défendre (comme chuck norris) * Utilise plusieurs "thread inteligence" (ie : antivirus) le-recouverment -> Le recouvrement de signatures entre 2 moteurs anti-viraux est de seulement 20%. Il n'est donc pas délirant de les empiler * Dessine un cadre (framework) de sécurité permettant de ne pas répéter les mêmes erreurs risque_equal * risque = vulnérabilité x menace -> Il est dur d'estimer la vulnérabilité 1 Qu'est ce que tu veux protéger ? (ex : ta virginité) 2 Quels sont les outils qui te permettent de protéger ceci ? (ex : une ceinture de chasteté) ! Cloud: Tout est dans le cloud aujourd'hui, n'y vas pas ! IOT: Internet Of Things ou objets connecté. On en reparlera mais évite de connecter ta tronçonneuse ou tes plaques chauffantes ! Legacy: en héritant de code pourri un code deviens pourri 11:00 - 11:20 From defending an organization to defending a country Buky-Carmeli @ Israeli National Cyber Security Authority * L'auteur est le chef de l'NCSA qui est la copie Israélienne de l'ANSSI * Le nom que vous lisez 'Buky' n'est pas son vrai nom et il fait peur * La NCSA est crée en 2015 pour se séparer des services de renseignement et de l'armée. Ces dernières sont appelées agences "spéciales" * La NCSA est une agence civile qui défend : -> Les infrastructures critiques (ex : train, eau ...) (ie : vitale) -> Les secrets gouvernementaux (ex : adresses de représentants) * La NCSA veut que les citoyens Israéliens se sentent en sécurité ncsa * Concrètement la NCSA fait de l'audit open source sur les produits critiques -> La NCSA cherche à collaborer avec le reste du monde contre le terrorisme car le monde cybernétique n'a pas de frontière 11:20 - 11:40 Coffee break 2.2 Intuition 11:40 - 12:10 A link to the past: Connecting the birth of cyberespionage Thomas-Rid Daniel-Moore @ King's College London; Juan-Andres Guerrero-Saade Costin-Raiu @ Kaspersky Lab * Un log datant d' il y a 20 a permit aux auteurs de localiser des délinquants informatiques en-1996 * 1996 : Hacking Universitaire pour se divertir -> 99% des hackers le faisaient en solo pour se divertir -> 1% le faisaient pour le gouvernement -> Mainteant c'est l'inverse * Le FBI détruit des preuves aujourd'hui : c'était mieux avant * Remontons en 1996 du temps où le but était dévoiler le plus de données * Une vulnérabilité httpd était communément exploitée. Ah les jeunes ... * Les auteurs cherchent à savoir qui l'exploitait d'antan. Le problème revient à filtrer (grep) les mouvements de l'attaquant dans les gigantesques logs des serveurs Étasuniens. * Un serveur était alors utilisé pour faire un tunnel vers un autre. Il faut donc suivre les données et pas les actions serveurs, comme un combat au couteau où il faut suivre le couteau et non les mains de l'adversaire * Attaquants: utilisaient Loki2 comme outil de prédilection. Les auteurs suivent donc cet outil de log en log et en 2014 sort Penquin-Turla basé sur Loki2. Il est le premier malware attaquant les systèmes Linux et est basé sur une backdoor datant d'il y a 20 ans. Ah les anciens ... * Moonlight-Maze est une version de Loki2 à partir de laquelle les attaquants ont strippé leur code (ie: retirer les noms de fonctions pour gêner le reverseur) * Il s'agit d'un des meilleurs groupes d'attaquants au monde, ils passent sous les radars depuis 20 ans mais les auteurs ont pu les détecter grâce à un log datant d'il y a 20 ans qui les localise sur méridien GMT+3 (Russie, Turquie, Iran, Arabie Saoudite) 12:10 - 12:35 The seven year itch Kris-McConkey @PwC * Un autre lien vers le passé mais encore plus ancien * Il s'agit de suivre la chaine de caractère "comme on man don't kill me" qui a été découverte dans un malware * Ces malwares appelés rats sont attribué au même groupe ( APT10 ): 1 - PlugX 2 - Chches (Powershell malware) 3 - Redleaves (Malware family) 4 - Quasar * Il y a un break de 2H pour midi dans la distribution des dates de compilations ces rats * Les attaquants sont: -> Chinois -> Expérimentés en C, C++, C# et PowerShell -> Toujours actifs -> Sous la vigilance de FireEye 12:35 - 13:00 Cyber in a world of cloud John-Lambert @ Microsoft * Les appareils sont petits -> Ils ont besoin du cloud pour enregistrer des informations * Ces entreprises ont des hyper-clouds -> Google -> Amazon -> Microsoft * Les entreprises citées ont des chercheurs en grandes données (data - scientists) * Microsoft suit des dizaines de groupes d'APT. Il les nomme et les étudie. Ceci est une nécessite engendrée par la migration vers le nuage (cloud-shift) * Les attaquants répondent par un appâts (fish) aux appâts de Microsoft. Ce sont donc des attaquants avec un certains sens de l'humour (ie: pas des britanniques) * Microsoft est client de son propre nuage -> se défendre lui même lui permet de défendre ses clients * L'impossibilité actuelle du voyage temporel ou du voyage spatial rapide permet de localiser les utilisateurs illégitimes * Attaquants: utilisent l'attaque des touches rémanentes (sticky keys attack) : -> Récrire la callback graphique des touches rémanentes afin d'obtenir une commande. -> Écrire un registre de la base de registre Windows -> Cliquer 5 fois sur shift pour lancer la commande des touches rémanentes -> Obtenir l'IP de la victime en changeant ce registre -> Installer à souhait (ex: chrome) -> Contaminer une autre machine * Les défenseurs ont accés à des logs qui rendent compte de ce type d'attaque * Les attaquants exploitent également des macros commandes office. Par exemple ils placent de faux boutons en haut des pages (du genre warning read-only page, click here to enable write) * Les attaquants esquivent la géolocalisation * Les attaquants n'attaquent pas les entreprises fortes (comme Microsoft) 13:00 - 14:00 Lunch 2.3 Energy 14:00 - 14:40 Chasing bad guys from Bangladesh to Costa Rica Vitaly-Kamluk Aleks-Gostev @ Kaspersky Lab Adrian-Nish Sergei-Shevchenko @ BAE Systems Dries-Watteyne @ SWIFT * Des attaquants ont patché un contrôle d'intégrité (hash-check) d'un code de transaction bancaire en changeant un jmp en nop. Qui sont ils ? * On peut aussi changer jnz 04 en jnz 00 en patchant simplement 1 bit * Cette technique a été employée mais n'a pas fonctionné au Bangladesh donc les attaquants ont changé de cible * Un "iFrame" js mène à un script jsp (JavaServer Pages) qui cherche l'endroit où patcher ce programme bancaire * Le script jsp possède une liste blanche pour éviter d'attaquer les pays riches où les banques se défendent fortement : les attaquants attaquent les pauvres. Ils ont attaquer bitcoins et aussi le Chili, estos aweonados de la concha su madre ! * La charge utile (payload) a été testée en Asie du sud est sur virustotal.com * Le compilateur de l'OS révèle l'utilisation du langage Koréen : même si il était utilisé en Anglais, c'était une version Koréenne. * Les attaquants utilisent de faux drapeaux (flag) Russes * L'attaque a été tester via VPN en France, bachibouzouk ! * Pour la première fois, Kaspersky fait une attribution : attribution-coree -> L'attaque vient de Corée du Nord 14:40 - 15:05 Attacking the hospitality and gaming industries: Tracking an attacker around the world in 8 years Preston-Lewis Jacob-Christie @ Mandiant * Pour changer, on recherche encore un attaquant * Attaquant: FIN5 : Financially-motivated Threat Group * Attaquant: -> Parle Russe -> Agit aux US -> Est très bruyant -> Très focalisé sur sa, ses cible(s): il échoue mais revient -> Efface les logs derrière lui * Attaquant cible: -> Restaurants -> Hotels -> Casinos * Attaquant utilise: -> psexec de sysinternals pour pousser un malgiciel avec un nom McAfee -> Batch script -> Batch script -> psexec -> Service discovery -> Perl2Exe -> des fichiers SO avec beaucoup de bruit (ie: lourds) * Défenseur le traque via: -> Logs: -> Évènements système -> VPN -> Firewalls -> Des exports particuliers -> Les magiciels incluent powershell-arsenal 15:05 - 15:30 Hunting an IT-criminal gang from Romania Peter-Kruse Jan-Kaastrup @ CSIS Security Group * Auteur a un accent difficile voici quelques caractérisations de la menace * Attaquant: -> Commence avec des email d'hameçonnage (fishing) -> Corrompt 1000 serveurs (Européen) -> Exploite: l'indice du mot de passe administrateur aide souvent à le deviner -> Exploite: les connexions ADSL gouvernementales utilisent la même clef ssh * Défenseur: -> Le monitoring des cookies indique que les attaquants attaquent toujours les mêmes personnes -> Fait une revue pour savoir qui a cliquer sur les sites d'hameçonnage * Les données sur les serveurs compromis ne sont pas en sécurité 15:30 - 15:55 Live in the ATM malware trenches Sergey-Golovanov Igor-Soumenkov @ Kaspersky Lab 1/ La magie en boite noire -------------------------- -> Vol d'argent sur les ATM -> Laissant un log appelé kl.txt (comme kaspersky lab). Il y est écrit "catch money bitch" -> La technique fonctionne avec tout les ATM -> Utilise MSXFS.dll -> Nécessite une installation depuis une banque 2/ A l'intérieur de la boite ---------------------------- -> Pour pénétrer l'ATM il faut brancher un clavier usb-bluetooth -> Installer un driver bluetooth (OS = Windows) -> Démarrer la machine ATM et utiliser le clavier pour obtenir le fric 3/ DRDRDRDRDRDRDRDRLLLLING -------------------------- -> Attaquant: perce l'ATM -> Attaquant: essaie d'atteindre le bus SDC: un bus RS485 de 9 bits -> Défenseur: reverse le protocole du bus via le hardware -> Chaque appareil est appelé par son adresse -> Chaque erreur fait redémarrer l'ATM (attente = 10 min) -> Défenseur: construit un petit appareil pour imiter la requête du vol d'argent 15:55 - 16:10 The SAS 2017 MVP award prime-yara * Victor Manuel Alvarez a été primé. C'est un Cubain créateur de YARA 16:10 - 16:30 Coffee break 2.4 Agility 16:30 - 16:55 Breaking Tizen Amihai-Neiderman * Tizen est le futur OS Samsung. Il est open source, réputé sécurisé * ADB -> SDB * Linux (basé sur...) * Le marché virtual Tizen a un haut privilège (ie: SYSTEM) * Pas de review de code tizen-vuln * strcpy sans vérification de taille * malloc sans vérification du retour * taille des tableaux non vérifier * On peut pas faire d'injection SQL: c'est le point fort de ce système faible * Auteur: trouve 40 bugs et se sent comme en 2005. Comme en 40 quoi * Samsung Galaxy S9 viendra avec Tizen installé * Samsung a proposé 1000$ a l'auteur pour son silence * Auteur: est un chercheur de vulns solo, cherche partenaire particulier 16:55 - 17:20 Elephant and monkey Peter-Zinn Erik-Johansson * Petite présentation rigolote qui se moque des -> IOT: Internet Of Things = objects connectés (monkey) -> L'informatique industrielle (IT) * L'accouplement des deux crée une aberration 17:20 - 17:45 Time to grow up: Counterproductive security behaviors that must end Chris-Eng @ Veracode * On critique plus les choses imparfaites que félicite les bonnes choses * Les petits pas dans la défense rendent l'attaque plus difficile * Penser "Mieux Vs Moins bien" au lieu de "Bon VS Mauvais" -> Personelement je formulerai: "La pente importe plus que l'altitude" * Se souvenir qu'au USA, certains s'opposaient au vote féminin par peur qu'elles interdisent l'alcool sagesse * Ne blame pas la victime (d'une attaque informatique) * Suppose que personne ne se rend au travail pour y faire un mauvais travail * Plus tu dis que t'es un hackeur moins probable que tu le sois * Hackeur ~= elite ! Mon cul ! * Pense comment les gens te perçoivent en dehors de ton domaine d'expertise 17:45 - 18:30 The digital frontier Live debates Dinner * Quelques débats actuels 3 vs 3 sur base de l'humour 1/ Sécurité: Le gouvernement peut-il pénétrer ta vie privée 2/ La "Nouvelle génération" d'AV est-elle différente ou n'est ce que de la com ? 3/ IoT.net, ça vous fait peur ? 4/ Les entreprises devraient elles travailler avec Wikileak pour réparer leurs propres vulnérabilités ? ================================================================================ jour2 4. Jour2 @Stamina 09:30 - 10:00 A bad guy's dream coming true: The hijack of an entire bank operation Dmitry-Besthuzhev Fabio-Assolini @ Kaspersky Lab * Auteur: Brésilien * Malware: regarde index.html dans le pluggin jar * Le module jar est complètement non détecté: pas d'entrée VirusTotal * Malware: contient Avanger un outil pour retirer les rootkits. Il est ici utilisé pour retirer les AV * Malware: Cible 36 banques Brésiliennes et 9 internationales * Malware: compromet le PoS Network. Puis le lecteur de carte bleu envois de la victime envois des informations au serveur compromis * Attaquant: vole les certificats des clients de la banque * Attaquant: a même compromis l'email de la banque ce qui empêcha cette dernière de communiquer à ses clients et de les avertir de la faille * DNS hijacking: -> Le DNS des banques a été court-circuité -> Google.com redirigé vers un site porno -> Tous ces DNS compromis par simplement 1 registre "registro.br" -> Le "Certificate Pinning" a protégé les utilisateurs Android la-moitie -> La moitié des banques ne contrôle pas leur serveur DNS -> Quelques unes de ces banques partagent le même serveur DNS @Flexibility 10:00 - 10:20 From hot tubs to thousands of booze bottles: Real world PoS system mass pwnage Domingo-Montanaro @ Ventura Enterprise Risk Management; Cyllas-Elia @ Sao Paulo State Police * Attaquants: se sont rendu physiquement dans des supermarché pour réaliser leur attaque * Attaquants: ont falsifié des factures * Attaquants: utilisent un Rasberry-Pi pour faire un Man-In-The-Middle * Attaquants: trop gourmands: ils ont transféré 100k$ en 2h ce qui a éveillé l'attention de la banque qui a appelé la police qui a regardé les vidéo de surveillance des supermarchés et qui a démasqué les attaquants * Attaquants: achetèrent des bouteilles de whisky et du matériel de construction. Le montant total atteignant 200 000$ @Stamina 10:20 - 10:40 Stop hacking me bro! Changing behavior through gamification and behavior modification principles Kymberlee-Price @ Microsoft Amin-Hasbini @ Kaspersky Lab * Presentation RH expliquant la nouvelle perspective de Microsoft pour guider ses travailleurs avec une carotte plutôt qu'un bâton. * Gamification = donner aux travailleur des taches de complexité croissantes tels les niveuax d'un jeu vidéo @Stamina 10:40 - 11:00 Lessons from the hacker front lines Alex-Rice @ HackerOne; Ryan-Naraine @ Kaspersky Lab * Les entreprises répondent en 7h aux rapports de bogues * Correctif en moins de 24h @Flexibility 11:00 - 11:20 Behind enemy lines: Funny bugs and exploits from inside a criminal's infrastructure Maciej-Kotowicz @ CERT Polska * Pony (stealer) * Hanciton * ZeuS * ISFB 11:40 - 12:10 Winning the battle by design: The art of security engineering in safety critical systems Campbell-Murray @ BlackBerry * Les pentesteurs de Blackberry font des concours internes : chasse aux bogues * Backbverry est compatible Android donc ils donnent à Google tout les bogues qu'ils y trouvent * Les mises à jour depuis le cloud sont intéressantes mais sont un véritable casse tête en sécurité la-securite -> La sécurité est un processus et non une destination @Expertise 12:10 - 12:30 IoT security nightmares - 20 minutes, 10 devices Jan-Hoersch @ Securai GmbH * Étude du routeur de voyage Starttech -> Il ouvre telnet -> Le password root est hardcoder et est "root" et ne peut pas être changer * Hotoo * TrendNet = routeur * WD MyCloud/Miroir -> 85 RCE -> 'sprintf' la commande interprétée puis 'eval' dessus -> Il faut faire 1 ticket par bogue pour que les réparations se fassent en parallèle -> Tu es toujours le débutant de quelqu'un @Expertise 13:10 - 13:30 What zombies know about ICS Kirill-Kruglov Vyacheslav-Kopeitsev @ Kaspersky Lab armee-zombie * Le mieux pour obtenir une armée de zombie est l'hameçonnage (fishing) * Défenseur: a vu des emails depuis des entreprises légitimes * 500 entreprises sous attaque * Attaquant: utilise une boite de pandore de malgiciels voleurs de mot de passe * Attaquant: prépare soigneusement ses emails en fonction de l'entreprise à hameçonner (ie: social engineering) * Défenseur: crée un cercle d'information pour pouvoir réagir plus vite @Collaboration 15:00 - 15:20 The open source APT Kurt-Baumgartner @ Kaspersky Lab * On-Beef * Unicorn * Pupy * Mimikatz * Les APT commencent à utiliser du code en source ouverte ou fermée mais en tout cas ne font plus tout tout seuls. Ils deviennent donc plus difficiles à détecter, attribuer * ISIS est en turquie * Les gouvernements Indiens et Russes sont compromis * Puppy est une porte dérobée vivant dans la RAM: quand il est chargé par powershell, il ne passe pas du tout par le disque * NewBeef utilise Beef partout et tatoue les systèmes, lance de faux installateurs * Sofacy * Défenseur: open-defense -> Interdire les scripts powershell non signés -> Interdire les macros MS-Office -> Utiliser des Scanners de mémoire chez l'hôte -> Utiliser des Scanners de comportement @Collaboration 15:20 - 15:40 High stakes evidence tampering and the failure of digital forensics Mark-Spencer @ Arsenal Consulting * Mark spencer est le chef de Arsenal Consulting, la meilleure entreprise privée de forensic * Jadis, l'entreprise a été impliquée dans une affaire concernant la préparation d'une bombe contre une mosquée * L'histoire qui suit concerne le destin de 14 journalistes Turques, emprisonnés depuis 18 mois et qui ont versé tout les fonds de leur entreprise pour en sortir * Ils sont accusé d'être une "TV patriotique" liée au Mossad et à la CIA * Cette accusation est basée sur le travail forensic d'un PC portable d'un journaliste fait par un enquêteur envoyé par le président Erdogan * Mais Arsenal ne croit pas en la véracitée de cette enquête gouvernementale Turque * Arsenal a regardé les "log sequence Number" pour vérifier la chronologie des faits -> Des documents ont été crée puis supprimer alors que le laptop était éteint -> C'est le troisième cas de ce type au moyen orient que traite Arsenal -> Le document légitimant l'arrestation des journaliste a été copié juste avant que l'ordinateur ne soit saisi et le "timestamp" a été modifié pour faire croire qu'il était là depuis plus longtemps -> Apparemment le document comptait être copier Jeudi soir mais l'attaquant aurai du revenir Vendredi et pris de vitesse, il aurait oublier de supprimer les logs de chronologie de Windows (event tracing) * Attaquant: Voyant Arsenal si près du but, il publie de faux rapport en leur nom, ce qui énerva particulièrement Mark Spencer qui pris l'affaire à titre personnel -> ID d'Arsenal a été usrupé -> Arsenal traque les attaquants de ODATV -> Arsenal retrouve 4 attaques similaires avec le déploiement du même rat 14-journalistes -> Si tu dois copier de faux documents sur le PC d'une victime, n'oublie pas d'effacer les "log sequence numbers" @Collaboration 15:40 - 16:00 Undocumented MS Word features abused by attackers Alexander-Liskin Anton-Ivanov @ Kaspersky Lab * MS-word a une fonction permettant de télécharger des images depuis internet. C'est une technique bien connue pour attaquer * Défenseur: doit lire OLE2 (MS-CFB) documentation * Défenseur: trouve IncludePicture fonction avec un URL invalide * Il y a un byte 0x01 supicieux dans le 2ème champs de la fonction IncludePicture * Ce n'est pas facile à détecter, non documenté, les attaquants ont fait une reverse lourde du format MS-Word -> Finalement ce 0x01 pointe vers un conteneur qui contient l'URL malveillant, celui de la charge @Collaboration 16:20 - 16:40 Battle of hunters: Attacking the weakest link of the strongest chain? Ido Naor, Kaspersky Lab * Conférence sur le social engineering confrontant Mossad et Hamas <- l'auteur est Israélien, il travaillait pour l'ISA : Israel Security Agency * Hameçonnage ciblé, une fille (attaquante) drague un mec (victime) sur fb lui demande d'installer une app pour un chat privé. Son hébreu n'est pas top, cette attaque visant 100 soldats Israélien est attribué au Hamas * Quelques données militaires Israélienne ont été ainsi exfiltrée attribution-hamas -> Pour la deuxième fois un agent de Kaspersky attribue (ici au Hamas) vim:tw=78:ts=4:et:sw=4:ft=help