Conférence Réponse Incidents Investigation CoRIIN 2016 à Lille
Date : 07 Février 2016
La 2ème édition de la conférence sur la réponse aux incidents et l’investigation numérique CoRI&IN 2016 s’est déroulée à Lille le 27 Janvier 2016. Elle s’est tenue à la suite du FIC 2016 (Forum International sur la Cybersécurité) et était organisée par le Centre Expert contre la Cybercriminalité Français (CECyF).
Cette conférence est dédiée aux techniques de réponse aux incidents et d’investigation numérique. Elle a permis de rassembler une communauté d’experts sur la réponse aux incidents, de CERTs, d’enquêteurs spécialisés, d’experts judiciaires, juristes et chercheurs en sécurité informatique.
Cette journée a donné lieu à 7 présentations orientées forensics pour la plupart. Les supports de présentation sont disponibles sauf pour les retours d’expériences de cas réels qui restent confidentiels.
Nous donnons ci-dessous un compte rendu rapide de chacune des présentations, en suivant l’ordre du déroulement de la conférence.
[Windows/Linux] Analyse de codes malveillants complexes
Paul Rascagnères et Sébastien Larinier, sont venus présenter l’outil « FastIR Collector ». Ce logiciel a été développé pour réaliser des collectes d’information sur des systèmes d’exploitation lors d’investigations forensics. Les données recueillies permettent d’identifier et analyser tout type de malwares (rootkit, bootkit, userland RAT…). La société a publié les binaires sous licence Open Source.
FastIR Collector permet de collecter les artefacts différents selon le système d’exploitation (Windows / Unix). Les artefacts recueillis sur le système sont nombreux et variés. Les principaux sont : MFT, MBR, RAM, logs, événements, drivers, historique des navigateurs.
Les analystes forensic peuvent s’appuyer sur les données collectées pour effectuer l’analyse du système. Des releases avec corrections de bugs et évolutions (prise en compte de nouveaux artefacts) sont publiés régulièrement. Un suivi de gestion de bug et demande d’évolution est réalisé par l’équipe de développement.
Le support de la présentation : CoRIIN2016-01-FastIR.pdf
[Windows/Linux] De l’hameçonnage ciblé à la compromission totale du domaine
Johanne Ulloa, est venue présenter une attaque ciblée et décrire une protection « dynamique » à mettre en place pour se protéger.
La première partie de la présentation a permis de mettre en évidence la facilité de mise en œuvre d’une attaque ciblée. A partir d’outils sous licence Open Source, il est possible avec un minimum de connaissances de créer un mail avec un document attaché comportant une macro qui, une fois exécutée par l’utilisateur, permet de télécharger et installer un malware. Ce malware va permettre d’ouvrir une connexion avec le serveur de Commande et Contrôle de l’attaquant qui pourra, en exploitant des failles de sécurités, accéder à des serveurs latéraux et en extraire des données monnayables.
La protection de type résistance (pare-feu) est en train de migrer vers une protection de type résilience. Cette protection dynamique permet d’évoluer en fonction des attaques. Le principe de fonctionnement est d’exécuter tous les fichiers téléchargés dans une sandbox pour déterminer si l’exécutable essaie d’accéder à des adresses mail ou IP. Ces informations sont automatiquement mises à jour au niveau des PC utilisateurs (signatures custom pour l’antivirus) et au niveau du firewall (adresse IP). Ces mesures permettent de stopper les communications avec les serveurs de Commandes et de Contrôles et de nettoyer les postes des utilisateurs finaux.
Le support de la présentation : CoRIIN2016-02-Johanne-Ulloa.pdf
[Retour d’expérience] Gestion de crise SSI en environnement non préparé
Vincent Nguyen est venu présenter un retour d’expérience sur une gestion de crise d’un grand compte qui n’était pas préparé à ce type d’attaque.
Cette présentation particulièrement intéressante a mis en évidence le niveau de stress extrême des acteurs de la gestion de crise. Sans parler du déroulement et des moyens mis en place, la présentation était indexée sur 2 indicateurs : la durée d’intervention et le niveau de stress. Le manque de sommeil, les repas pris au coin d’une table et les connexions de l’attaquant font que le stress de l’équipe RSSI arrive rapidement à son plus haut niveau.
Partant du principe que toute l’infrastructure pouvait être compromise, un serveur dédié à la gestion de la crise a été installé. Ce serveur embarquait les logiciels suivants :
- Un wiki : permettre de partager les informations,
- Un webmail : permettre d’échanger les informations,
- Une VM avec un outil de SIEM : pour effectuer la surveillance du serveur de gestion de crise,
- Des outils de scans des postes clients à la recherche de signatures,
- Des outils d’analyse et de gestion de fichiers de log.
Le coût de la crise s’est élevé à plusieurs millions d’euros répartis sur les postes suivants :
- Revue des pare feux,
- Revue / achat d’outils de supervision,
- Equipe de gestion de crise et intervenants externes,
- La gestion juridique de la crise.
[Juridique] La règle du boomerang
Eve Matringe, Avocate du Barreau de Luxembourg, est venue nous présenter le point de vue juridique en ce qui concerne les droits à répliquer quand une institution est victime d’une attaque.
Une façon de traiter cela est de se demander « dans quelle mesure la "Légitime défense" peut justifier la réplique informatique de l’entité victime d’une attaque informatique ». Selon le droit, si on se permet d’attaquer, on admet le droit d’être attaqué. Dans ce cas, l’attaquant devient alors une victime et peut à son tour faire appel à la justice pour les préjudices subis.
Dans le cas de la légitime défense, il faut être extrêmement prudent. Les représailles doivent être proportionnelles à l’attaque et il faut être sûr de l’identité des attaquants.
Le support de la présentation : CoRIIN2016-04-Eve-MATRINGE.pdf
[Retour d’expérience] Surveillance de circonstance
Jean-Baptiste Galet est venu présenter un retour d’expérience sur les moyens de surveillance mis en œuvre lors de réponse sur incident et leur utilité dans le cadre de l’investigation numérique.
La réponse à incident se fait en support de l’équipe technique du client. Elle commence par la recherche de communications suspicieuses vers l’extérieur par l’intermédiaire de sondes réseaux. Une fois le poste infecté identifié, commence l’investigation numérique légale. Cette investigation va permettre de collecter les preuves juridiques :
- Extraction des données (mémoire vive, disques durs)
- Frise chronologique des évènements
- Collecte d’artefacts
- Analyse des données
- Recherche d’indices de compromissions
- Garantir la chaine de traçabilité
[Technique] Tour d’horizon des techniques d’extraction et d’analyse de RAM
Pierre Veutin et Nicolas Scherrmann sont venus présenter de nouvelles techniques pour analyser le contenu de la mémoire à la recherche de données comme des images, document…
Les outils traditionnels permettent une analyse séquentielle de pages mémoire de 4 ko (ASLR). Cela permet de retrouver un grand nombre de fichiers mais souvent incomplets. En utilisant des outils de reconstruction des plages d’adresses (utilisation d’outils dédiés) on obtient 4 fois moins de fichiers mais ces derniers sont exploitables par des enquêteurs.
En prenant comme exemple la recherche d’une image dans la RAM suite à la navigation sur internet, les outils de reconstruction des plages d’adresses ont permis de retrouver systématiquement l’image recherchée.
Le support de la présentation : CoRIIN2016-06-Veutin-Scherrmann.pdf
[Retour d’expérience] Retour d’expérience audit inforensic
Vladimir Kolla est venu présenter un retour d’expérience sur un audit inforensic d’un système d’information de quelque milliers de postes et serveurs.
L’audit s’est déroulé en trois phases :
- La pose de sondes entre les différents sites et le siège ainsi que sur la sortie internet. Ceci a permis de détecter 80% de la totalité des postes compromis.
- La recherche d’IOC via les sondes a permis d’identifier 90% de la totalité des postes compromis.
- L’analyse des PC clients (scanner d’IOC, outils de forensic, autorun, boot au démarrage…) a permis de finir d’identifier la totalité des postes compromis.
Les postes étaient infectés par des faux anti-virus ou des malwares provenant de macro Office. Les points d’amélioration proposés pour renforcer la politique de sécurité :
- Utilisation de proxy dans le cloud pour les personnes en télétravail,
- Suppression des droits d’admin sur les postes,
- Supervision des logs (centraliser et analyser),
- Embauche d’un RSSI.