ad88888ba db ad88888ba
d8" "8b d88b d8" "8b
Y8, d8'`8b Y8,
`Y8aaaaa, d8' `8b `Y8aaaaa,
`"""""8b, d8YaaaaY8b `"""""8b,
`8b d8""""""""8b `8b
Y8a a8P d8' `8b Y8a a8P
"Y88888P" d8' `8b "Y88888P"
ad888888b, ,a8888a, 88 888888888888
d8" "88 ,8P"' `"Y8, ,d88 ,8P'
a8P ,8P Y8, 888888 d8"
,d8P" 88 88 88 ,8P'
a8P" 88 88 88 d8"
a8P' `8b d8' 88 ,8P'
d8" `8ba, ,ad8' 88 d8"
88888888888 "Y8888P" 88 8P'
Martin
DGA-MI/IMPS/VSE
à l'attention du personnel SSI DGA-MI
Object : Restitution de la conférence Kaspersky (SAS 2017)
Chers Collègues,
intro
Les 3 et 4 avril, j'ai participé à la conférence Kaspersky sur les
menaces et malgiciels de l'année 2016. Voici ci-dessous ma restitution en
diffusion restreinte.
La conférence s'est déroulé à Saint Martin : Ile Franco Hollandaise des
caraïbes.
https://fr.wikipedia.org/wiki/Saint-Martin_(Antilles_fran%C3%A7aises)
Initialement, il y a 10 ans, Eugène Kaspersky crée un évènement annuel
interne pour permettre à ses techniciens de communiquer et de savourer de la
vodka. Le temps passa et la liste des invités grandit, maintenant la DGA en
fait parti.
La conférence est sous une bannière bleu de collaboration pour la lutte contre
les menaces informatiques. Les Russes sont en majorité, suivi des Américains,
Israéliens, Britanniques puis Européens. Les Sud-américains puis les
Asiatiques sont minoritaires mais présent tout de même. Par ailleurs Kaspersky
est bien installé au Brésil.
Voici la vidéos youtube d'introduction (youtube interdit sur l'ISPT):
https://www.youtube.com/watch?v=kRXr4pkYJiw
============================================================================
plan
0. Introduction intro
1. Résumé resume
2. Programme programme
2.1 Programme du jour 1 programme-jour1
2.2 Programme du jour 2 programme-jour2
3. Premier jour jour1
4. Deuxième jour jour2
============================================================================
resume
1. Résumé
---------
le-vol
-> Le vol d'identité reste l'attaque la plus populaire
aux_usa
-> Aux USA, la cyber est une nouvelle arme au même titre que la terre, la
marine et l'aéro
le-recouverment
-> Le recouvrement de signatures entre 2 moteurs antivirus est de
seulement 20%. Il n'est donc pas délirant de les empiler
risque_equal
-> RISQUE = VULNÉRABILITÉ X MENACE
ncsa
-> la NCSA est l'équivalent Israélien de l'ANSSI
- Elle fait de l'audit open source sur les produits critiques
- NCSA = National Cyber Security Authority (crée en 2015)
en-1996
-> En 1996:
-> 99% des guerriers informatiques agissaient seul pour se divertir
-> 1% étaient professionnels pour le gouvernement
-> Maintenant c'est l'inverse
kapsersky-non-attribue
-> Kaspersky n'a jamais attribué cependant au SAS 2017, il a fait 2
attributions:
attribution-coree
-> Attribution d'un logiciel de vol bancaire à des attaquants de
Korée du Nord
attribution-hamas
-> Attribution d'un logiciel d'exfiltration de données militaire sur
Android ainsi que 100 attaques de social-engeenering à des attaquants
appartenant au Hamas
prime-yara
-> Le prix du meilleur expert en sécurité informatique offert au créateur
de YARA: framework antivirus (grep en mieux)
tizen-vuln
-> Tizen le nouvel OS Samsung (galaxy S9) contient plusieurs
vulnérabilités dont des tableuax, malloc et stcpy sans vérifications
sagesse
-> Ne blâme pas la victime (d'une attaque informatique)
-> Personne ne se rend au travail pour y faire un mauvais travail
-> Les petits pas dans la défense rendent l'attaque plus difficile
la-moitie
-> La moitié des banques ne contrôle pas leur serveur DNS (Brésil)
-> Quelques unes de ces banques partagent le même serveur DNS
la-securite
-> La sécurité est un processus et non une destination (Blackberry)
armee-zombie
-> Le mieux pour obtenir une armée de zombie est l'hameçonnage (fishing)
open-defense
-> Interdire les scripts powershell non signés
-> Interdire les macros MS-Office
-> Utiliser des Scanners de mémoire chez l'hôte
-> Utiliser des Scanners de comportement
14-journalistes
-> Turquie: 14 journalistes en prison depuis 18 mois pour un document
électronique. L'analyse des fichiers "log sequence numbers" semblent
révéler un coup monté. L'agence d'enquête "Arsenal" sous attaque lors de
son enquête
============================================================================
programme
2. Programme
------------
Voici ci-après le programme que vous pourrez trouver ici:
https://sas.kaspersky.com/#conference-day-1-monday-april-3-2017
https://sas.kaspersky.com/#conference-day-2-tuesday-april-4-2017
programme-jour1
2.1 Programme-jour1
-------------------
2.1 Intellect
09:30 - 09:40 Welcome and introductions
*Eugene-Kaspersky
09:40 - 10:10 The (memory corruption) safety dance
Mark-Dowd @ Azimuth Security
10:10 - 10:35 Threat intelligence threatening intel operations
Catherine-Lotrionte @ Georgetown University
10:35 - 11:00 When will the future of cybersecurity get here?
Ron-Gula @ Gula Tech Adventures
11:00 - 11:20 From defending an organization to defending a country
Buky-Carmeli @ Israeli National Cyber Security Authority
11:20 - 11:40 Coffee break
2.2 Intuition
11:40 - 12:10 A link to the past: Connecting the birth of cyberespionage
Thomas Rid, Daniel Moore, King's College London;
Juan Andres Guerrero-Saade, Costin Raiu @ Kaspersky Lab
12:10 - 12:35 The seven year itch
Kris-McConkey @PwC
12:35 - 13:00 Cyber in a world of cloud
John-Lambert @ Microsoft
13:00 - 14:00 Lunch
2.3 Energy
14:00 - 14:40 Chasing bad guys from Bangladesh to Costa Rica
Vitaly-Kamluk Aleks-Gostev @ Kaspersky Lab
Adrian-Nish Sergei-Shevchenko @ BAE Systems
Dries-Watteyne @ SWIFT
14:40 - 15:05 Attacking the hospitality and gaming industries: Tracking an
attacker around the world in 8 years
Preston-Lewis Jacob-Christie @ Mandiant
15:05 - 15:30 Hunting an IT-criminal gang from Romania
Peter-Kruse Jan-Kaastrup @ CSIS Security Group
15:30 - 15:55 Live in the ATM malware trenches
Sergey-Golovanov Igor-Soumenkov @ Kaspersky Lab
15:55 - 16:10 The SAS 2017 MVP award
16:10 - 16:30 Coffee break
2.4 Agility
16:30 - 16:55 Breaking Tizen
Amihai-Neiderman
16:55 - 17:20 Elephant and monkey
Peter-Zinn Erik-Johansson
17:20 - 17:45 Time to grow up: Counterproductive security behaviors that
must end
Chris-Eng @ Veracode
17:45 - 18:30 The digital frontier Live debates
Dinner
programme-jour2
2.2 Programme-jour2
-------------------
2.5 Stamina
09:30 - 10:00 Hunting bugs for humanity
David-Jacoby @ Kaspersky Lab;
Frans-Rosen @ Detectify
10:00 - 10:20 Wassenaaren't you glad I didn't say banya?
Katie Moussouris, Luta Security
10:20 - 10:40 Stop hacking me bro! Changing behavior through gamification
and behavior modification principles
Kymberlee Price, Microsoft
Amin Hasbini, Kaspersky Lab
10:40 - 11:00 Lessons from the hacker front lines
Alex Rice, HackerOne;
Ryan Naraine, Kaspersky Lab
11:00 - 11:20 15+ years of disclosures: The good, the bad and the worst
Cesar Cerrudo, IOActive Labs
2.6 Flexibility
09:30 - 10:00 A bad guy's dream coming true: The hijack of an entire bank
operation
Dmitry Besthuzhev, Fabio Assolini @ Kaspersky Lab
10:00 - 10:20 From hot tubs to thousands of booze bottles: Real world PoS
system mass pwnage
Domingo Montanaro, Ventura Enterprise Risk Management;
Cyllas Elia, Sao Paulo State Police
10:20 - 10:40 Malicious traders
Aleks Gostev, Kaspersky Lab
10:40 - 11:00 Exploit kit redux: What happens when kits disappear
Nick Biasini, Cisco Talos
11:00 - 11:20 Behind enemy lines: Funny bugs and exploits from inside a
criminal's infrastructure
Maciej Kotowicz, CERT Polska
2.7 Focus
09:30 - 10:00 Trust no one or how to survive in a world of total mistrust
Andrey-Nikishin @ Kaspersky Lab
10:00 - 10:20 ICS cybersecurity programs for multi-national corporations
Vladimir Vylkov, Siemens Industry USA;
Melissa Crawford, Siemens AG
10:20 - 10:40 The ultimate tips to implement a secure Smart City municipal
drone program
Amin Hasbini, Kaspersky Lab
10:40 - 11:00 Eight crazy ways to foil hardware attacks, for all budgets
Joe Fitzpatrick, SecuringHardware.com
11:00 - 11:20 Fuzz me gently Catch my crashes!
Sergey Temnikov, Vladimir Dashchenko, Kaspersky Lab
2.8 Persistence
11:40 - 12:10 Inside an active APT incident response
Brian Candlish, Christian Teutenberg, Telstra
12:10 - 12:30 Ransomware in targeted attacks
Anton Ivanov, Kaspersky Lab
12:30 - 12:50 China's evolving cyber operations: A look into APT19's shift
in tactics
Ben Withnell, Erica Eng, FireEye
12:50 - 13:10 Finding Shamoon
Amin Hasbini, Kaspersky Lab
13:10 - 13:30 Endless gunfire in South Korea
Seongsu Park, Kaspersky Lab;
Donghee Lee, SK Infosec TopCERT
2.9 Passion
11:40 - 12:10 Winning the battle by design: The art of security engineering
in safety critical systems
Campbell Murray, BlackBerry
12:10 - 12:30 Hardening Android against ransomware, one dessert at a time
Elena Kovakina, Google
12:30 - 12:50 Mobile espionage in the wild: Pegasus and nation-state level
attacks
Andrew Blaich, Lookout
12:50 - 13:10 Do-it-yourself spy program: Abusing Apple's Call Relay
Protocol
Martin Vigo, Salesforce
13:10 - 13:30 Do Tinder bots dream of electric toys?
Inbar Raz, PerimeterX
2.10 Expertise
11:40 - 12:10 Back to the IoT Future: Where Marty controls all your routers
Dan Demeter, Costin Raiu, Kaspersky Lab
12:10 - 12:30 IoT security nightmares - 20 minutes, 10 devices
Jan Hoersch, Securai GmbH
12:30 - 12:50 Trade controls impact on industrial Internet of Things
Harsha Banavara, Schneider Electric
12:50 - 13:10 BackConnect's suspicious BGP hijacks
Doug Madory, Dyn
13:10 - 13:30 What zombies know about ICS
Kirill Kruglov, Vyacheslav Kopeitsev, Kaspersky Lab
2.11 Collaboration
14:30 - 15:00 Destructive malware: When money isn't a motive
Muks Hirani, Mandiant
15:00 - 15:20 The open source APT
Kurt Baumgartner, Kaspersky Lab
15:20 - 15:40 High stakes evidence tampering and the failure of digital
forensics
Mark Spencer, Arsenal Consulting
15:40 - 16:00 Undocumented MS Word features abused by attackers
Alexander Liskin, Anton Ivanov, Kaspersky Lab
16:00 - 16:20 Infecting a computer by browsing is harder than you thin
Boldizsar Bencsath, CrySyS Lab
16:20 - 16:40 Battle of hunters: Attacking the weakest link of the strongest
chain?
Ido Naor, Kaspersky Lab
2.12 Safety
14:30 - 15:00 Scaling properties of software and system security
Paul Vixie, Farsight Security
15:00 - 15:20 Building inferences of guilt, attribution, and data
visualization with semantic graphs
Dan Hubbard, Thibault Reuille, OpenDNS
15:20 - 15:40 Don't push the button or I will Yara you down
Markus Neis, Swisscom
15:40 - 16:00 Hidden treasure: Detecting intrusions with ET
Kyle Reed, Microsoft
16:00 - 16:20 Research of using steganalysis and countermeasures against
steganography in Anti-APT products
Alexey Shulmin, Evgeniya Krylova, Kaspersky Lab
16:20 - 16:40 Ponce: One-click concolic execution in IDA Pro
Alberto Garcia Illera, Francisco Oca, Salesforce
2.13 Reliability
14:30 - 15:00 Industrial malware: The automated way to take down the grid or
plants in seconds
Dewan Chowdhury, MalCrawler
15:00 - 15:20 Through the eyes of the attacker: Data integrity attacks in
the power sector
Marina Krotofil, Honeywell; Chris Sistrunk, Mandiant
15:20 - 15:40 Smart medicine breaches its "First Do No Harm" principle
Denis Makrushin, Kaspersky Lab
15:40 - 16:00 Security incidents in ICS/SCADA organizations
Alexey Polyakov, Kaspersky Lab
16:00 - 16:20 When smart medical devices become our worst nightmare
Stephen Chavez, Lani Rupp,
Omega Intelligence & Security Solutions
16:20 - 16:40 How to get good seats in the security theater: Hacking
boarding passes for fun and profit
Przemek Jaroszewski, CERT Polska
2.14 Velocity
20 slides of 20 sec each:
- ICS transforms in Maltego Roelof Temmingh, Paterva
- Analyzing APT artifacts - 1000 at a time Marco Preuss
Vicente Diaz, Kaspersky Lab
- Injection without needles: A detailed look at the data being
injected into our web browsers Paul Alderson, FireEye
- Ghosts in the WMI Yury Namestnikov, Kaspersky Lab
- PowerShell threats: Why they work so well and why they will
develop further Candid Wüest, Symantec
The secret power of Yara Vitaly Kmluk, Kaspersky Lab
----------------------------------------------------------------------------
jour1
3.1 Jour1
3.1 Intellect
09:30 - 09:40 Welcome and introductions
Eugene-Kaspersky
* Il y a 360 participants de 36 pays
* C'est le SAS numéro 9
* Toujours dans un lieu exotique
09:40 - 10:10 The (memory corruption) safety dance
Mark-Dowd @ Azimuth Security
* Auteur Australien
* Chef de Azimuth Security
* Son but est de prévenir les vulnérabilités
1/ Défense
----------
1.a Minimisation de bogues
* Fuzz
* Langages avec types sures (type-safe)
* Analyseur statiques
1.b Mitigation d'exploitations
* ASLR
* DEP
* Code Signing
* CFG (Control Flow Guard)
1.c Isolation
2/ Attaque
---------
! Exceptions -> Fuite d'information
1 Corrompt
2 Injecte
3 Exécute
* C'est plus difficile de trouver des vulnérabilités que jadis
* Les exploitations sont utilisables peu de temps car la fréquence des
patchs a augmentée
* S'échapper d'un banc à sable est ce qu'il y a de plus difficile
-> L'usage d'un bac à sable double le travail de l'attaquant
* La majorités des chercheurs de vulnérabilités en trouvent grâce au
fuzzing
* La recherche de vulnérabilité est 4 fois plus dur qu'en 2010
* Le problème des statistiques disponibles est qu'elles dépendent du
software et de sa version
-> Ne pas faire confiance aux statistiques (publiques)
* Maintenant l'attaquant nécessite toujours une ou plusieurs fuites
d'information
* Les explorateurs web (ie: browsers) sont les logiciels les plus
attaqués car ils donnent un feedback au programmeur.
-> JavaScript est facile à attaquer et dur à défendre.
3/ Futur
--------
* JIT : la compilation "juste à temps"
* L'intégrité du Noyau
! Les bogues au niveau du processeur restent des dangers bas niveau
* Trust - zone
-> La chaine totale pour écrire une exploitation durera 1 ans en
2020
~/ Conclusion le-vol
-------------
* Les attaquants vont toujours à la victoire facile
-> Le vol d'identité est et restera l'attaque la plus populaire
10:10 - 10:35 Threat intelligence threatening intel operations
Catherine-Lotrionte @ Georgetown University
* l'auteur est un avocat d'état
* Elle réduit sa présentation de 4h à 20 min (les excuses)
* Préalablement elle travaillait à la CIA et nous explique la législation
sur la sécurité informatique
-> Il n'y a pas de législation internationale sur la sécurité
informatique
aux_usa
-> Aux USA, la cyber est une nouvelle arme au même titre que la terre, la
marine et l'aéro
~/ Les politiques des agences gouvernementales aux US.
------------------------------------------------------
* Ne pas recruter de méchantes entités privée (ie: cyber mercenaire)
* Ne pas compromettre la pays (même si on est sous attaque digitale)
* Ne pas donner d'information classifier aux journalistes
-> Si tu le fais, explique leur alors l'impact potentiel d'une
divulgation
-> Donne la responsabilité de la compromission à cet agent -> le
journaliste doit être habilité au secret
* Il n'existe malheureusement pas de protocole de communication entre les
médias et les agences gouvernementales (CIA, NSA)
* En bref ces questions d'éthiques regroupent:
1 Média
2 Gouvernement
3 Entreprises
4 La loi
Questions à un avocats :
-------------------------
? Comment les agences espionnent légitimement ?
-> Pour la paix (l'US veut savoir ce que mijotent les Européens
avec les pays frontaliers, pour rester "in"
? Pourquoi on ne voit pas de relations cyber - média ?
-> Les autres secteurs, même militaire voir nucléaire ont leurs
service médiatiques : en effet, des impôts, ils travaillent pour
le peuple
-> Les opérations cybers sont en retard étant tout simplement
plus jeunes
* A savoir :
-> Les analystes de malgiciels ne parlent jamais
kapsersky-non-attribue
-> Kaspersky n'attribue jamais
? Peut on impunément faire fuir de l'information ?
-> Tant que tu ne romps aucune loi (ex : atteinte à la vie
privée), tu peux dire ce qu'il te plait car il existe la liberté
des médias
-> Évidement tu perd ton job mais seras toujours jugé dans le
civil comme un civil
10:35 - 11:00 When will the future of cybersecurity get here?
Ron-Gula @ Gula Tech Adventures
* L'auteur est un ancien pentesteur
* Il nous enseigne à nous défendre (comme chuck norris)
* Utilise plusieurs "thread inteligence" (ie : antivirus)
le-recouverment
-> Le recouvrement de signatures entre 2 moteurs anti-viraux est de
seulement 20%. Il n'est donc pas délirant de les empiler
* Dessine un cadre (framework) de sécurité permettant de ne pas répéter
les mêmes erreurs
risque_equal
* risque = vulnérabilité x menace
-> Il est dur d'estimer la vulnérabilité
1 Qu'est ce que tu veux protéger ? (ex : ta virginité)
2 Quels sont les outils qui te permettent de protéger ceci ? (ex : une
ceinture de chasteté)
! Cloud: Tout est dans le cloud aujourd'hui, n'y vas pas
! IOT: Internet Of Things ou objets connecté. On en reparlera mais évite
de connecter ta tronçonneuse ou tes plaques chauffantes
! Legacy: en héritant de code pourri un code deviens pourri
11:00 - 11:20 From defending an organization to defending a country
Buky-Carmeli @ Israeli National Cyber Security Authority
* L'auteur est le chef de l'NCSA qui est la copie Israélienne de l'ANSSI
* Le nom que vous lisez 'Buky' n'est pas son vrai nom et il fait peur
* La NCSA est crée en 2015 pour se séparer des services de renseignement
et de l'armée. Ces dernières sont appelées agences "spéciales"
* La NCSA est une agence civile qui défend :
-> Les infrastructures critiques (ex : train, eau ...) (ie : vitale)
-> Les secrets gouvernementaux (ex : adresses de représentants)
* La NCSA veut que les citoyens Israéliens se sentent en sécurité
ncsa
* Concrètement la NCSA fait de l'audit open source sur les produits
critiques
-> La NCSA cherche à collaborer avec le reste du monde contre le
terrorisme car le monde cybernétique n'a pas de frontière
11:20 - 11:40 Coffee break
2.2 Intuition
11:40 - 12:10 A link to the past: Connecting the birth of cyberespionage
Thomas-Rid Daniel-Moore @ King's College London;
Juan-Andres Guerrero-Saade Costin-Raiu @ Kaspersky Lab
* Un log datant d' il y a 20 a permit aux auteurs de localiser des
délinquants informatiques
en-1996
* 1996 : Hacking Universitaire pour se divertir
-> 99% des hackers le faisaient en solo pour se divertir
-> 1% le faisaient pour le gouvernement
-> Mainteant c'est l'inverse
* Le FBI détruit des preuves aujourd'hui : c'était mieux avant
* Remontons en 1996 du temps où le but était dévoiler le plus de données
* Une vulnérabilité httpd était communément exploitée. Ah les jeunes ...
* Les auteurs cherchent à savoir qui l'exploitait d'antan. Le problème
revient à filtrer (grep) les mouvements de l'attaquant dans les
gigantesques logs des serveurs Étasuniens.
* Un serveur était alors utilisé pour faire un tunnel vers un autre. Il
faut donc suivre les données et pas les actions serveurs, comme un combat
au couteau où il faut suivre le couteau et non les mains de l'adversaire
* Attaquants: utilisaient Loki2 comme outil de prédilection. Les auteurs
suivent donc cet outil de log en log et en 2014 sort Penquin-Turla basé
sur Loki2. Il est le premier malware attaquant les systèmes Linux et est
basé sur une backdoor datant d'il y a 20 ans. Ah les anciens ...
* Moonlight-Maze est une version de Loki2 à partir de laquelle les
attaquants ont strippé leur code (ie: retirer les noms de fonctions pour
gêner le reverseur)
* Il s'agit d'un des meilleurs groupes d'attaquants au monde, ils passent
sous les radars depuis 20 ans mais les auteurs ont pu les détecter grâce à
un log datant d'il y a 20 ans qui les localise sur méridien GMT+3 (Russie,
Turquie, Iran, Arabie Saoudite)
12:10 - 12:35 The seven year itch
Kris-McConkey @PwC
* Un autre lien vers le passé mais encore plus ancien
* Il s'agit de suivre la chaine de caractère "comme on man don't kill me"
qui a été découverte dans un malware
* Ces malwares appelés rats sont attribué au même groupe ( APT10 ):
1 - PlugX
2 - Chches (Powershell malware)
3 - Redleaves (Malware family)
4 - Quasar
* Il y a un break de 2H pour midi dans la distribution des dates de
compilations ces rats
* Les attaquants sont:
-> Chinois
-> Expérimentés en C, C++, C# et PowerShell
-> Toujours actifs
-> Sous la vigilance de FireEye
12:35 - 13:00 Cyber in a world of cloud
John-Lambert @ Microsoft
* Les appareils sont petits -> Ils ont besoin du cloud pour enregistrer
des informations
* Ces entreprises ont des hyper-clouds
-> Google
-> Amazon
-> Microsoft
* Les entreprises citées ont des chercheurs en grandes données (data -
scientists)
* Microsoft suit des dizaines de groupes d'APT. Il les nomme et les
étudie. Ceci est une nécessite engendrée par la migration vers le nuage
(cloud-shift)
* Les attaquants répondent par un appâts (fish) aux appâts de Microsoft.
Ce sont donc des attaquants avec un certains sens de l'humour (ie: pas des
britanniques)
* Microsoft est client de son propre nuage -> se défendre lui même lui
permet de défendre ses clients
* L'impossibilité actuelle du voyage temporel ou du voyage spatial rapide
permet de localiser les utilisateurs illégitimes
* Attaquants: utilisent l'attaque des touches rémanentes (sticky keys
attack) :
-> Récrire la callback graphique des touches rémanentes afin
d'obtenir une commande.
-> Écrire un registre de la base de registre Windows
-> Cliquer 5 fois sur shift pour lancer la commande des touches
rémanentes
-> Obtenir l'IP de la victime en changeant ce registre
-> Installer à souhait (ex: chrome)
-> Contaminer une autre machine
* Les défenseurs ont accés à des logs qui rendent compte de ce type
d'attaque
* Les attaquants exploitent également des macros commandes office. Par
exemple ils placent de faux boutons en haut des pages (du genre warning
read-only page, click here to enable write)
* Les attaquants esquivent la géolocalisation
* Les attaquants n'attaquent pas les entreprises fortes (comme Microsoft)
13:00 - 14:00 Lunch
2.3 Energy
14:00 - 14:40 Chasing bad guys from Bangladesh to Costa Rica
Vitaly-Kamluk Aleks-Gostev @ Kaspersky Lab
Adrian-Nish Sergei-Shevchenko @ BAE Systems
Dries-Watteyne @ SWIFT
* Des attaquants ont patché un contrôle d'intégrité (hash-check) d'un code
de transaction bancaire en changeant un jmp en nop. Qui sont ils ?
* On peut aussi changer jnz 04 en jnz 00 en patchant simplement 1 bit
* Cette technique a été employée mais n'a pas fonctionné au Bangladesh
donc les attaquants ont changé de cible
* Un "iFrame" js mène à un script jsp (JavaServer Pages) qui cherche
l'endroit où patcher ce programme bancaire
* Le script jsp possède une liste blanche pour éviter d'attaquer les pays
riches où les banques se défendent fortement : les attaquants attaquent
les pauvres. Ils ont attaquer bitcoins et aussi le Chili, estos aweonados
de la concha su madre !
* La charge utile (payload) a été testée en Asie du sud est sur
virustotal.com
* Le compilateur de l'OS révèle l'utilisation du langage Koréen : même si
il était utilisé en Anglais, c'était une version Koréenne.
* Les attaquants utilisent de faux drapeaux (flag) Russes
* L'attaque a été tester via VPN en France, bachibouzouk !
* Pour la première fois, Kaspersky fait une attribution :
attribution-coree
-> L'attaque vient de Corée du Nord
14:40 - 15:05 Attacking the hospitality and gaming industries: Tracking an
attacker around the world in 8 years
Preston-Lewis Jacob-Christie @ Mandiant
* Pour changer, on recherche encore un attaquant
* Attaquant: FIN5 : Financially-motivated Threat Group
* Attaquant:
-> Parle Russe
-> Agit aux US
-> Est très bruyant
-> Très focalisé sur sa, ses cible(s): il échoue mais revient
-> Efface les logs derrière lui
* Attaquant cible:
-> Restaurants
-> Hotels
-> Casinos
* Attaquant utilise:
-> psexec de sysinternals pour pousser un malgiciel avec un nom
McAfee
-> Batch script -> Batch script -> psexec -> Service discovery
-> Perl2Exe -> des fichiers SO avec beaucoup de bruit (ie: lourds)
* Défenseur le traque via:
-> Logs:
-> Évènements système
-> VPN
-> Firewalls
-> Des exports particuliers
-> Les magiciels incluent powershell-arsenal
15:05 - 15:30 Hunting an IT-criminal gang from Romania
Peter-Kruse Jan-Kaastrup @ CSIS Security Group
* Auteur a un accent difficile voici quelques caractérisations de la
menace
* Attaquant:
-> Commence avec des email d'hameçonnage (fishing)
-> Corrompt 1000 serveurs (Européen)
-> Exploite: l'indice du mot de passe administrateur aide souvent à le
deviner
-> Exploite: les connexions ADSL gouvernementales utilisent la même
clef ssh
* Défenseur:
-> Le monitoring des cookies indique que les attaquants attaquent
toujours les mêmes personnes
-> Fait une revue pour savoir qui a cliquer sur les sites
d'hameçonnage
* Les données sur les serveurs compromis ne sont pas en sécurité
15:30 - 15:55 Live in the ATM malware trenches
Sergey-Golovanov Igor-Soumenkov @ Kaspersky Lab
1/ La magie en boite noire
--------------------------
-> Vol d'argent sur les ATM
-> Laissant un log appelé kl.txt (comme kaspersky lab). Il y est écrit
"catch money bitch"
-> La technique fonctionne avec tout les ATM
-> Utilise MSXFS.dll
-> Nécessite une installation depuis une banque
2/ A l'intérieur de la boite
----------------------------
-> Pour pénétrer l'ATM il faut brancher un clavier usb-bluetooth
-> Installer un driver bluetooth (OS = Windows)
-> Démarrer la machine ATM et utiliser le clavier pour obtenir le fric
3/ DRDRDRDRDRDRDRDRLLLLING
--------------------------
-> Attaquant: perce l'ATM
-> Attaquant: essaie d'atteindre le bus SDC: un bus RS485 de 9 bits
-> Défenseur: reverse le protocole du bus via le hardware
-> Chaque appareil est appelé par son adresse
-> Chaque erreur fait redémarrer l'ATM (attente = 10 min)
-> Défenseur: construit un petit appareil pour imiter la requête du
vol d'argent
15:55 - 16:10 The SAS 2017 MVP award
prime-yara
* Victor Manuel Alvarez a été primé. C'est un Cubain créateur de YARA
16:10 - 16:30 Coffee break
2.4 Agility
16:30 - 16:55 Breaking Tizen
Amihai-Neiderman
* Tizen est le futur OS Samsung. Il est open source, réputé sécurisé
* ADB -> SDB
* Linux (basé sur...)
* Le marché virtual Tizen a un haut privilège (ie: SYSTEM)
* Pas de review de code
tizen-vuln
* strcpy sans vérification de taille
* malloc sans vérification du retour
* taille des tableaux non vérifier
* On peut pas faire d'injection SQL: c'est le point fort de ce système
faible
* Auteur: trouve 40 bugs et se sent comme en 2005. Comme en 40 quoi
* Samsung Galaxy S9 viendra avec Tizen installé
* Samsung a proposé 1000$ a l'auteur pour son silence
* Auteur: est un chercheur de vulns solo, cherche partenaire particulier
16:55 - 17:20 Elephant and monkey
Peter-Zinn Erik-Johansson
* Petite présentation rigolote qui se moque des
-> IOT: Internet Of Things = objects connectés (monkey)
-> L'informatique industrielle (IT)
* L'accouplement des deux crée une aberration
17:20 - 17:45 Time to grow up: Counterproductive security behaviors that
must end
Chris-Eng @ Veracode
* On critique plus les choses imparfaites que félicite les bonnes choses
* Les petits pas dans la défense rendent l'attaque plus difficile
* Penser "Mieux Vs Moins bien" au lieu de "Bon VS Mauvais"
-> Personelement je formulerai: "La pente importe plus que l'altitude"
* Se souvenir qu'au USA, certains s'opposaient au vote féminin par peur
qu'elles interdisent l'alcool
sagesse
* Ne blame pas la victime (d'une attaque informatique)
* Suppose que personne ne se rend au travail pour y faire un mauvais
travail
* Plus tu dis que t'es un hackeur moins probable que tu le sois
* Hackeur ~= elite ! Mon cul !
* Pense comment les gens te perçoivent en dehors de ton domaine
d'expertise
17:45 - 18:30 The digital frontier Live debates
Dinner
* Quelques débats actuels 3 vs 3 sur base de l'humour
1/ Sécurité: Le gouvernement peut-il pénétrer ta vie privée
2/ La "Nouvelle génération" d'AV est-elle différente ou n'est ce que de
la com ?
3/ IoT.net, ça vous fait peur ?
4/ Les entreprises devraient elles travailler avec Wikileak pour réparer
leurs propres vulnérabilités ?
================================================================================
jour2
4. Jour2
@Stamina
09:30 - 10:00 A bad guy's dream coming true: The hijack of an entire bank
operation
Dmitry-Besthuzhev Fabio-Assolini @ Kaspersky Lab
* Auteur: Brésilien
* Malware: regarde index.html dans le pluggin jar
* Le module jar est complètement non détecté: pas d'entrée VirusTotal
* Malware: contient Avanger un outil pour retirer les rootkits. Il est
ici utilisé pour retirer les AV
* Malware: Cible 36 banques Brésiliennes et 9 internationales
* Malware: compromet le PoS Network. Puis le lecteur de carte bleu envois
de la victime envois des informations au serveur compromis
* Attaquant: vole les certificats des clients de la banque
* Attaquant: a même compromis l'email de la banque ce qui empêcha cette
dernière de communiquer à ses clients et de les avertir de la faille
* DNS hijacking:
-> Le DNS des banques a été court-circuité
-> Google.com redirigé vers un site porno
-> Tous ces DNS compromis par simplement 1 registre "registro.br"
-> Le "Certificate Pinning" a protégé les utilisateurs Android
la-moitie
-> La moitié des banques ne contrôle pas leur serveur DNS
-> Quelques unes de ces banques partagent le même serveur DNS
@Flexibility
10:00 - 10:20 From hot tubs to thousands of booze bottles: Real world PoS
system mass pwnage
Domingo-Montanaro @ Ventura Enterprise Risk Management;
Cyllas-Elia @ Sao Paulo State Police
* Attaquants: se sont rendu physiquement dans des supermarché pour
réaliser leur attaque
* Attaquants: ont falsifié des factures
* Attaquants: utilisent un Rasberry-Pi pour faire un Man-In-The-Middle
* Attaquants: trop gourmands: ils ont transféré 100k$ en 2h ce qui a
éveillé l'attention de la banque qui a appelé la police qui a regardé les
vidéo de surveillance des supermarchés et qui a démasqué les attaquants
* Attaquants: achetèrent des bouteilles de whisky et du matériel de
construction. Le montant total atteignant 200 000$
@Stamina
10:20 - 10:40 Stop hacking me bro! Changing behavior through gamification
and behavior modification principles
Kymberlee-Price @ Microsoft
Amin-Hasbini @ Kaspersky Lab
* Presentation RH expliquant la nouvelle perspective de Microsoft pour
guider ses travailleurs avec une carotte plutôt qu'un bâton.
* Gamification = donner aux travailleur des taches de complexité
croissantes tels les niveuax d'un jeu vidéo
@Stamina
10:40 - 11:00 Lessons from the hacker front lines
Alex-Rice @ HackerOne;
Ryan-Naraine @ Kaspersky Lab
* Les entreprises répondent en 7h aux rapports de bogues
* Correctif en moins de 24h
@Flexibility
11:00 - 11:20 Behind enemy lines: Funny bugs and exploits from inside a
criminal's infrastructure
Maciej-Kotowicz @ CERT Polska
* Pony (stealer)
* Hanciton
* ZeuS
* ISFB
11:40 - 12:10 Winning the battle by design: The art of security engineering
in safety critical systems
Campbell-Murray @ BlackBerry
* Les pentesteurs de Blackberry font des concours internes : chasse aux
bogues
* Backbverry est compatible Android donc ils donnent à Google tout les
bogues qu'ils y trouvent
* Les mises à jour depuis le cloud sont intéressantes mais sont un
véritable casse tête en sécurité
la-securite
-> La sécurité est un processus et non une destination
@Expertise
12:10 - 12:30 IoT security nightmares - 20 minutes, 10 devices
Jan-Hoersch @ Securai GmbH
* Étude du routeur de voyage Starttech
-> Il ouvre telnet
-> Le password root est hardcoder et est "root" et ne peut pas être
changer
* Hotoo
* TrendNet = routeur
* WD MyCloud/Miroir
-> 85 RCE
-> 'sprintf' la commande interprétée puis 'eval' dessus
-> Il faut faire 1 ticket par bogue pour que les réparations se
fassent en parallèle
-> Tu es toujours le débutant de quelqu'un
@Expertise
13:10 - 13:30 What zombies know about ICS
Kirill-Kruglov Vyacheslav-Kopeitsev @ Kaspersky Lab
armee-zombie
* Le mieux pour obtenir une armée de zombie est l'hameçonnage (fishing)
* Défenseur: a vu des emails depuis des entreprises légitimes
* 500 entreprises sous attaque
* Attaquant: utilise une boite de pandore de malgiciels voleurs de mot de
passe
* Attaquant: prépare soigneusement ses emails en fonction de l'entreprise
à hameçonner (ie: social engineering)
* Défenseur: crée un cercle d'information pour pouvoir réagir plus vite
@Collaboration
15:00 - 15:20 The open source APT
Kurt-Baumgartner @ Kaspersky Lab
* On-Beef
* Unicorn
* Pupy
* Mimikatz
* Les APT commencent à utiliser du code en source ouverte ou fermée mais
en tout cas ne font plus tout tout seuls. Ils deviennent donc plus
difficiles à détecter, attribuer
* ISIS est en turquie
* Les gouvernements Indiens et Russes sont compromis
* Puppy est une porte dérobée vivant dans la RAM: quand il est chargé
par powershell, il ne passe pas du tout par le disque
* NewBeef utilise Beef partout et tatoue les systèmes, lance de faux
installateurs
* Sofacy
* Défenseur:
open-defense
-> Interdire les scripts powershell non signés
-> Interdire les macros MS-Office
-> Utiliser des Scanners de mémoire chez l'hôte
-> Utiliser des Scanners de comportement
@Collaboration
15:20 - 15:40 High stakes evidence tampering and the failure of digital
forensics
Mark-Spencer @ Arsenal Consulting
* Mark spencer est le chef de Arsenal Consulting, la meilleure entreprise
privée de forensic
* Jadis, l'entreprise a été impliquée dans une affaire concernant la
préparation d'une bombe contre une mosquée
* L'histoire qui suit concerne le destin de 14 journalistes Turques,
emprisonnés depuis 18 mois et qui ont versé tout les fonds de leur
entreprise pour en sortir
* Ils sont accusé d'être une "TV patriotique" liée au Mossad et à la CIA
* Cette accusation est basée sur le travail forensic d'un PC portable d'un
journaliste fait par un enquêteur envoyé par le président Erdogan
* Mais Arsenal ne croit pas en la véracitée de cette enquête
gouvernementale Turque
* Arsenal a regardé les "log sequence Number" pour vérifier la chronologie
des faits
-> Des documents ont été crée puis supprimer alors que le laptop était
éteint
-> C'est le troisième cas de ce type au moyen orient que traite
Arsenal
-> Le document légitimant l'arrestation des journaliste a été copié
juste avant que l'ordinateur ne soit saisi et le "timestamp" a été
modifié pour faire croire qu'il était là depuis plus longtemps
-> Apparemment le document comptait être copier Jeudi soir mais
l'attaquant aurai du revenir Vendredi et pris de vitesse, il aurait
oublier de supprimer les logs de chronologie de Windows (event tracing)
* Attaquant: Voyant Arsenal si près du but, il publie de faux rapport
en leur nom, ce qui énerva particulièrement Mark Spencer qui pris
l'affaire à titre personnel
-> ID d'Arsenal a été usrupé
-> Arsenal traque les attaquants de ODATV
-> Arsenal retrouve 4 attaques similaires avec le déploiement du même
rat
14-journalistes
-> Si tu dois copier de faux documents sur le PC d'une victime, n'oublie
pas d'effacer les "log sequence numbers"
@Collaboration
15:40 - 16:00 Undocumented MS Word features abused by attackers
Alexander-Liskin Anton-Ivanov @ Kaspersky Lab
* MS-word a une fonction permettant de télécharger des images depuis
internet. C'est une technique bien connue pour attaquer
* Défenseur: doit lire OLE2 (MS-CFB) documentation
* Défenseur: trouve IncludePicture fonction avec un URL invalide
* Il y a un byte 0x01 supicieux dans le 2ème champs de la fonction
IncludePicture
* Ce n'est pas facile à détecter, non documenté, les attaquants ont fait
une reverse lourde du format MS-Word
-> Finalement ce 0x01 pointe vers un conteneur qui contient l'URL
malveillant, celui de la charge
@Collaboration
16:20 - 16:40 Battle of hunters: Attacking the weakest link of the strongest
chain?
Ido Naor, Kaspersky Lab
* Conférence sur le social engineering confrontant Mossad et Hamas <-
l'auteur est Israélien, il travaillait pour l'ISA : Israel Security
Agency
* Hameçonnage ciblé, une fille (attaquante) drague un mec (victime) sur fb
lui demande d'installer une app pour un chat privé. Son hébreu n'est pas
top, cette attaque visant 100 soldats Israélien est attribué au Hamas
* Quelques données militaires Israélienne ont été ainsi exfiltrée
attribution-hamas
-> Pour la deuxième fois un agent de Kaspersky attribue (ici au Hamas)
vim:tw=78:ts=4:et:sw=4:ft=help