Les articles de MISC N°79

L'univers a besoin que tout soit observé, de peur de cesser d'exister [1]
Défini par Peter Van Eeckhoutte, son auteur, comme la boite à outils du développement d'exploits en environnement win32, mona.py [1] est un plugin qui fonctionne avec Immunity Debugger et WinDBG. Simple d'utilisation, il a l'énorme avantage de réunir les fonctionnalités de bon nombre d'autres outils tout en s'intégrant dans votre débogueur. Plutôt que de présenter toutes ses possibilités une par une, nous allons à travers des exemples pratiques montrer comment il permet de gagner du temps lors de l'écriture d'exploits en environnement Windows.
Ces mois de février et mars ont vu la médiatisation de trois malwares vraisemblablement développés par la même équipe. Un des éléments qui a fait beaucoup couler beaucoup d'encre est leurs noms : Bunny, Babar et Casper. Ces noms ont été choisis par les développeurs eux-mêmes. Je présume qu'ils doivent être fans de dessins animés ;). Cet article a pour but de décrire quelques fonctionnalités présentes dans chacun de ces trois malwares. 
Note : aucune attribution n’est évoquée dans l’article. Ce n'est pas le but de l’analyse. Cet article reste strictement dans le domaine technique.
Melissa vient de fêter ses seize ans. Il y a quelques mois, si on m'avait dit que j'écrirais un article sur les Macros Office dans MISC en 2015, j'aurais fait des yeux ronds. Dans le monde du malware, les macros étaient devenues ringardes depuis bien longtemps, une technologie obsolète du siècle dernier dont on ne parlait plus que dans les manuels d'histoire de la cybersécurité. Et pourtant... Les macros sont de retour, et le succès est là, comme les stars des années 80 en tournée !Combien de temps cela va-t-il durer ? Mystère. En tout cas, il est aujourd'hui de bon ton de savoir comment détecter et analyser ces documents avec macros envoyés par des inconnus.
Depuis quelque temps, pas une semaine ne semble passer sans qu’il n’y ait un article, un billet de blog, ou un white paper sur le sujet des APT, que ce soit pour décrire des campagnes d’attaque, des groupes d’attaquants, analyser des malwares dédiés à ces attaques, ou malheureusement faire du marketing à peu de frais. Cependant, force est de constater que même les professionnels de l’IT sont parfois victimes de méconnaissances ou d’idées reçues sur cette problématique. Le but de cet article est donc d’exposer brièvement les premières bases de connaissance d'une attaque APT, son mode opératoire, et de définir un peu plus les différences entre compromissions classiques et APT.
Passé le moment de la détection de l’APT (quel que soit le moyen, seule la victoire est belle), toute équipe CSIRT se retrouve rapidement déchirée sur la conduite à tenir. Non seulement on ne comprend pas tout, mais en plus il faut choisir entre éliminer le symptôme, et collecter un maximum de données sur l’attaque et l’attaquant pour agir de façon plus définitive.
Dans le contexte de réponse à incident, la phase d'investigation numérique peut être traitée soit en mode tour d'ivoire, soit en prenant en compte un écosystème plus global. Dans ce cadre, l'attaque sera mise en relation avec d'autres attaques déjà observées. C'est cet objectif que vise à atteindre toute la mécanique de la threat intelligence : modéliser les menaces pour savoir à un instant T ce à quoi une victime est confrontée.
Lors d'une attaque de type APT, les attaquants sont amenés à mettre en place des moyens de persistance dans le système d'information de leur victime. Pour cela, le RAT (Remote Administration Tool) est l'arme de choix, un type de malware conçu pour donner un accès quasi-complet à la machine infectée et à distance. Au royaume des RAT, PlugX fait partie des grands favoris.
Airbus Defense and Space a récemment organisé un challenge sécurité intitulé « Trust the Future », à destination des étudiants de certaines écoles et universités. Nous nous sommes intéressés à ces épreuves – une seule nous a résisté avant la date limite. Nous décrivons ici comment nous avons réussi ces épreuves, en essayant pour certaines de donner des moyens un peu atypiques pour arriver à la solution (pas de python, etc.)...
Aujourd'hui, quasiment toutes les activités sur l'Internet mettent en jeu de nombreuses requêtes DNS [1]. Ce protocole présente plusieurs caractéristiques du point de vue de la vie privée : le trafic est toujours en clair, et les requêtes DNS sont souvent vues par des acteurs qui sont loin du canal de communication entre Alice et Bob, canal qui fait l'objet de la plupart des analyses de confidentialité. Comme le montrent les révélations sur le programme NSA « More Cowbell » [MORECOWBELL], ces particularités du DNS sont activement exploitées dans des programmes de surveillance massive, mais aussi fréquemment pour de la surveillance plus ciblée. Peut-on améliorer le DNS pour préserver un peu plus la vie privée ? L'IETF explore actuellement plusieurs possibilités techniques en ce sens. Ou bien faudra-t-il abandonner le DNS et passer à un autre système de noms ?
Quelqu'un a pénétré dans la nuit dans vos locaux. Trois serveurs, pourtant installés dans un local sécurisé, ont disparu. Ils contenaient l'ensemble des données critiques de l’entreprise. Pourtant, aucune trace d'effraction. Ce scénario catastrophe est-il crédible ?