Quand la Threat Intel rencontre le DFIR – 1ère partie

Magazine
Marque
MISC
Numéro
85
|
Mois de parution
mai 2016
|
Domaines


Résumé
Qu’on se prenne pour James Bond ou pour un shaman, ce que notre industrie appelle la Threat Intelligence fait place à beaucoup de fantasmes que les vendors nourrissent joyeusement à chaque fois qu’un nouveau rapport est publié. Mais, concrètement, à quoi ça sert de « faire de la threat intelligence » ? Quelle est la différence par rapport au renseignement classique ? Quels sont les avantages concrets que le renseignement sur les menaces apporte lors de la gestion d’un incident de sécurité ? C’est ce que cet article cherche à expliquer, du point de vue de deux DFIRers.

La suite est réservée aux abonnés. Déjà abonné ? Se connecter

Sur le même sujet

Auditer la sécurité d'une application iOS

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

Auditer la sécurité d'une application iOS n'est toujours pas une tâche aisée. Force est de constater que la plupart des auditeurs, amateurs de bug bounty ou autres curieux préfèrent travailler sur les applications Android malgré les récentes protections ajoutées au système d'exploitation de Google. Nous allons malgré tout essayer de présenter une méthodologie qui rend possible l'analyse orientée sécurité d'une application iOS, même sans jailbreak. Un bref rappel sera effectué pour ensuite introduire quelques outils et documentations apparues ces derniers mois.

Sondes de détection : performances, évaluations et biais

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En avril 2019, l’ANSSI a qualifié les premières sondes pour assurer la supervision de sécurité de réseaux. Les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE) et, d’une manière générale, les organismes opérant des fonctions sensibles disposent ainsi de produits français de confiance : Cybels Sensor de Thales et Trackwatch Full Edition de Gatewatcher.La méthodologie d’évaluation des sondes n’est, hélas, pas publique. Les ingénieurs sécurité et réseau devant intégrer ces sondes ne disposent donc pas de guides pour effectuer la recette de leur efficacité en production. Cet article propose un retour d’expérience sur l’évaluation des sondes, notamment sous l’angle de la performance. Cet aspect est, en effet, particulièrement significatif puisque le taux de détection d’une sonde diminue si elle est submergée, quand bien même elle serait équipée des meilleurs signatures et moteurs d’analyse.

Richelieu : solution du challenge de la DGSE

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

En mai 2019, la DGSE (Direction Générale de la Sécurité Extérieure) a organisé pour la première fois un challenge de sécurité informatique ouvert au public, qu’elle a baptisé Challenge Richelieu. Je vous invite à écouter la bande originale du Bureau des Légendes en fond sonore. Imprégnez-vous de cette atmosphère pleine de tension où les secrets sont rois, puis regardons ensemble ce que nous réservait ce challenge.

Aléa et cryptanalyse de générateurs

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

La plupart des applications en cryptographie moderne nécessitent à un moment ou un autre une source d’aléa [1]. Que ce soit pour chiffrer, générer des nonces, des clés ou même des sels cryptographiques. Mais comment générer de l’aléa sur nos ordinateurs qui sont des machines déterministes ?Dans cet article, nous allons nous intéresser à la place de l’aléa dans les algorithmes de chiffrements modernes. Puis nous verrons trois CTF ou le but est de cryptanalyser des générateurs de nombres aléatoires ; cela nous permettra d’en comprendre le fonctionnement et de voir quelques attaques sur des générateurs de nombres aléatoires.

Contournement de l'API Google Play Billing

Magazine
Marque
MISC
Numéro
106
|
Mois de parution
novembre 2019
|
Domaines
Résumé

D'après le blog [INVESP], le montant global des paiements dits « in-app » représentait environ 37 milliards de dollars (USD) en 2017 pour les applications mobiles (Android et Apple). Ce montant représente quasiment la moitié des revenus générés par les applications mobiles (48,2%), dépassant les revenus générés par les régies publicitaires (14%), ainsi que l'achat d'applications (37,8%). Il est donc important que la sécurité de ces paiements soit correctement implémentée afin d'éviter un manque à gagner pour les développeurs des applications. Dans le cadre de cet article, nous avons passé en revue 50 applications Android afin d'étudier le fonctionnement de l'API Google Play Billing et d'identifier les vulnérabilités liées à une mauvaise implémentation. Nous détaillerons en exemple des applications vulnérables.

Par le même auteur

Analyse d’un malware en Node.JS

Magazine
Marque
MISC
Numéro
92
|
Mois de parution
juillet 2017
|
Domaines
Résumé
En plus des classiques fichiers exécutables Windows (.exe ou .dll), les malwares se présentent sous d'autres formats divers. VBScript (Houdini), fichiers Office (droppers de Dridex ou divers types de ransomware), Python (convertis en PE avec py2exe), Java (histoire d’assurer l’interopérabilité entre systèmes), ELF, JScript (droppers Locky)… Ici, nous allons nous intéresser de près à un exemple de malware écrit en… Node.JS [1].

Quand la Threat Intel rencontre le DFIR – 2ème partie

Magazine
Marque
MISC
Numéro
86
|
Mois de parution
juillet 2016
|
Domaines
Résumé
Dans la première partie de cet article (MISC n°85) nous avons présenté la Threat Intelligence, ses concepts, ses outils. Dans cette seconde et dernière partie, nous passons à la pratique. Nous allons voir comment la Threat Intelligence opérationnelle peut aider et comment elle s'insère dans les activités de réponse aux incidents et d'investigation numérique (DFIR).

Quand la Threat Intel rencontre le DFIR – 1ère partie

Magazine
Marque
MISC
Numéro
85
|
Mois de parution
mai 2016
|
Domaines
Résumé
Qu’on se prenne pour James Bond ou pour un shaman, ce que notre industrie appelle la Threat Intelligence fait place à beaucoup de fantasmes que les vendors nourrissent joyeusement à chaque fois qu’un nouveau rapport est publié. Mais, concrètement, à quoi ça sert de « faire de la threat intelligence » ? Quelle est la différence par rapport au renseignement classique ? Quels sont les avantages concrets que le renseignement sur les menaces apporte lors de la gestion d’un incident de sécurité ? C’est ce que cet article cherche à expliquer, du point de vue de deux DFIRers.

Malcom – the MALware COMmunication analyzer

Magazine
Marque
MISC
HS n°
Numéro
12
|
Mois de parution
octobre 2015
|
Domaines
Résumé

L’analyse de trafic réseau est une des techniques les plus populaires d’analyse dynamique de malwares. Dans le cadre de la réponse à incident, elle permet rapidement d’identifier les points de commande et contrôle (C2) et de produire des marqueurs ou indicateurs de compromission (« Indicators of Compromise », ou IOC) pertinents pour identifier des hôtes infectés. Les marqueurs réseau sont aussi un très bon point de pivot pour étendre sa connaissance sur l’adversaire : infrastructure, autres malwares, etc. Cependant, les outils classiques d’analyse réseau ne permettent pas de partager ses trouvailles avec d’autres chercheurs, obligeant la communauté « blue team » à partir de zéro lors de l’analyse. Nous allons voir comment Malcom essaye de répondre à ces besoins de partage et en quoi il diffère des outils d'analyse réseau classiques.

Threat Intelligence is a box of cookies

Magazine
Marque
MISC
Numéro
75
|
Mois de parution
septembre 2014
|
Domaines
Résumé
Le monde de la sécurité informatique est périodiquement assailli par des buzzwords marketing, de nouveaux challenges techniques et des trolls rétrogrades. Dans cette jungle bruyante, difficile souvent de faire le distinguo entre gesticulation commerciale et scepticisme systématique. Les activités de Threat Intelligence n'échappent pas à la règle, la plupart des personnes en parlant (ou en vendant) ne sachant pourtant pas ou peu de quoi il retourne. Cet article se propose de démystifier cette activité, avant tout humaine, en vous présentant ses enjeux, sans fard ni artifice (ni feeds ou Big Data).