Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Conférence hack.lu 2016 CONIX

Suite à notre présence à la Conférence Hack.lu 2016, voici un premier billet de blog présentant les conférences qui ont le plus marqué nos collaborateurs.

KillTheHashes 30 million Malware DNA profiling exercise
Luciano Martins, Rodrigo Cetera et Javier Bassi ont présenté leurs travaux sur l’analyse de malwares. Contrairement à l’approche habituelle qui est d’analyser les malwares indépendamment les uns des autres et de manière unitaire, il ont pris le parti d’analyser les malwares les uns par rapport aux autres et de corréler les diverses informations concernant chaque malware analysé.

L’outil développé à cet effet par  l’équipe de Deloitte Argentine peut ainsi extraire jusqu’à 142 attributs de chaque souche de malware et les corréler. Ce travail a été appliqué à une base de 30 millions de malwares afin d’obtenir des statistiques. Les résultats sont surprenants et permettent de mettre en lumière certaines caractéristiques des malwares. Le cas concret de l’analyse des DLL et fonctions les plus utilisées par les malwares a été présenté.

A Network of Sorrows: Small Adversaries and Small Allies
Dans sa keynote, la journaliste Quinn Norton commence par rappeler que les plus grandes menaces actuelles pour la société dans son ensemble ne sont pas les attaques ultra-avancées de type APT, mais les attaques de petites intensités de type ransomware, qui font des dégâts beaucoup plus petits mais beaucoup plus dramatiques car ciblant des entités plus démunies face à ce genre de chose. L’exemple simple pour confirmer ceci est l’exemple du ransomware, il peut en effet faire couler une petite société si toutes les données deviennent chiffrées, tandis qu’une entreprise de taille conséquente à tout à fait les moyens de s’en défendre (que ce soit en compétences internes ou sous forme de prestations). Malheureusement, certains de ces petits acteurs pouvant se retrouver dans des situations dramatiques sont également ceux sur lesquels la société se base pour l’éducation, la santé, etc.

Si l’on part du principe que les grands acteurs ayant des moyens presque illimités peuvent se faire passer aisément pour des petites menaces, est-ce que la meilleure façon de se protéger des grosses menaces ne serait donc pas d’apprendre à se protéger de manière efficace de celles qui nous semblent bénignes ?

Interesting Malware – No, I’m not kidding…
Marion Marschalek est revenue sur une série de malwares assez ancienne qui lui a été transmis. Cette famille de malwares qu’elle a appelé CheshireCat (le chat d’Alice au pays des merveilles) possède diverses caractéristiques assez uniques comme le fait d’être compatible avec des systèmes aussi vieux que Windows 3.1 ou de posséder un support des connections dial-up. Cette famille contenant de vieux malwares possède également dans ses samples les plus récents d’autres caractéristiques particulières comme  le fait de tenter des détections de conditions d’analyses via l’identification de divers logiciels communément utilisés par les analystes de malwares ; ainsi que la détection de l’antivirus Kaspersky ; dans ces deux derniers cas, le malware adapte son comportement afin d’éveiller le moins de soupçon possible.

Enfin, le malware possède un design et un style d’écriture que l’on peut qualifier de rétro, cette dernière particularité le rend d’ailleurs sans doute très complexe à maintenir et à faire évoluer.

Cyber Grand Shellphish: Shellphish and the DARPA Cyber Grand Challenge
Comme les voitures, le hacking “autonome” arrive à grands pas.
Cette équipe reconnue de CTF présente un de ses frameworks qu’elle a développé, afin de répondre à un challenge du DARPA : créer un outil de détection, exploitation et patching automatisé de faille. Sur un système d’exploitation simplifié créé à cet effet par le DARPA, le but du challenge est de créer un outil qui en affronte d’autres du même genre et remporte le CTF. Le framework ainsi développé, Mechanical Phish a ainsi remporté la troisième place du concours. Le framework repose partiellement sur de l’exécution symbolique et du fuzzing pour trouver des bugs exploitables, et sur de l’analyse niveau binaire afin de générer des preuves d’exploitation et des patchs.

A quand l’obsolescence des auditeurs ?!

By | 2017-01-31T12:12:06+00:00 28/10/2016|Conférences|