4Wavestone était présent à l’édition 2017 de la conférence Hack-in-the-Box (HITB) ayant eu lieu à Singapour où Thomas DEBIZE et Mahdi BRAIK de la practice Cybersecurity & Digital Trust ont eu l’honneur de présenter leurs travaux autour de la sécurité du framework Hadoop.
Chadi Hantouche, Senior Manager du bureau de Hong Kong, est également venu représenter Wavestone en assistant à cet évènement :
Nous vous proposons ci-dessous un compte-rendu d’une sélection de talks, les supports de présentations étant disponibles sur le site officiel (https://gsec.hitb.org/materials/sg2017/), les vidéos de la track gratuite « CommSec » sont déjà disponibles sur Youtube (https://www.youtube.com/watch?v=6yIhL8mo7YA, https://www.youtube.com/watch?v=iRoOWWxGcgw) et celle de la track principale seront prochainement publiées sur https://www.youtube.com/user/hitbsecconf/playlists.
Nous tenons à remercier les organisateurs pour leur accueil chaleureux, la logistique et des activités post-conférence très appréciées : en bref toutes les valeurs indéfectibles de la maison HITB !
Pour information après Amsterdam et Singapour, c’est à Pékin qu’une toute nouvelle mouture de la conférence HITB aura lieu en 2018.
Jeudi 24 août
A Deep Dive into the Digital Weapons of the North Korean Cyber Army – Ashley Shen et Moonbeom Park
Les chercheurs ont tout d’abord évoqué les attaques “APT” auxquels des militaires de la Cyberarmée Nord-Coréenne auraient supposément pris part :
- Lazarus, aux motifs politiques, via l’attaque contre Sony Pictures et visant une désorganisation à l’échelle mondiale avec WannaCry. Une information importante pour cette APT rappelée dans ce talk est qu’un malware utilisé lors de de l’attaque de Sony Pictures a été également retrouvé dans l’attaque mondiale WannaCry :
- Blueronoff, visant à détourner de l’argent à travers les attaques contre le réseau SWIFT (banque du bangladesh etc.)
- Andariel, visant à récolter diverses informations (intelligence économique, obtention de capacités d’attaque)
Partant de cela les chercheurs ont voulu identifier les similarités au niveau des charges exécutables utilisées et ont catégorisé 4 blocs basiques de code, appelés « legos » :
- Le premier fait référence à une fonction de chiffrement personnalisée basée sur un XOR, utilisée pour obfusquer diverses chaines de caractères (appels aux APIs système etc.)
- Le second fait aussi référence à une fonction de chiffrement basée sur un XOR, avec la clé statique « 0xFE »
- Le troisième et quatrième font référence à des tables de correspondance, respectivement « Table_lookup_function » et « S_hat_decode », également utilisées pour obfusquer les appels aux APIs système
Des liens précis entre ces legos et leur utilisation au sein de 3 APT (GHOSTRAT, DESERTWOLF, VANAVM) ont été détaillés :
Enfin, les vulnérabilités communément utilisées lors des phases d’infiltration par spear-phishing ou water-holing par ces attaquants ont été détaillées.
Sans remettre en cause de le travail très intéressant de ces chercheurs, il est important de souligner que ce type d’analyse a de réelles limites dans la mesure où un tiers pourrait facilement réutiliser un ou plusieurs lego et ainsi se faire passer pour l’attaquant original.
Pwnrensics: How to Execute Code on a Forensic Workstation – Florian Lukavsky et Wolfgang Ettlinger
Les chercheurs ont identifié plusieurs vulnérabilités au sein d’outil d’analyse forensics de la suite « EnCase » dont notamment « EnCase Forensic Imager » et « EnCase Forensic Suite ». Ces défauts ont été mis en évidence via du fuzzing sur différents formats de système de fichiers :
Une faille de type « Stack-based buffer overflow » a pu être découvert et est critique d’un point de vue juridique car elle permet à un attaquant d’exécuter du code arbitraire sur le poste de l’analyste forensics, et ainsi porter atteinte à l’intégrité des données stockées. L’intégrité de la « chain of custody » (https://en.wikipedia.org/wiki/Chain_of_custody), caractéristique essentielle d’une preuve lors d’une procédure juridique, est par conséquent non assurée :
Pour conclure l’éditeur logiciel a indiqué qu’il ne comptait pas corriger cette faille, qu’il a par ailleurs qualifié de « extreme edge case », et ne considère pas ce risque comme important :
MythBusters: CVE-2017-5689 – How We Broke Intel AMT – Alexander Ermolov, Dimitri Ermolov et Maksim Malyutin
Les chercheurs ont détaillé une faille critique visant le système de management bas-niveau présent sur de nombreux processeurs Intel depuis 2006, Intel Management Engine (ME). Ce système, positionné en ring -3 dans l’échelle des anneaux de protection d’un ordinateur, dispose ainsi d’un accès maximum aux composants logiques et physiques :
Intel AMT, qui est une application basée sur Intel ME, expose notamment une interface Web où la vulnérabilité CVE-2017-5689, qui est tout simplement grotesque, a été identifiée : il est possible de contourner l’authentification en utilisant le login « admin » et en spécifiant un mot de passe…vide. En effet la routine de validation des authentifiants effectue une comparaison des caractères du mot de passe saisi et de celui attendu…pour une longueur spécifiée par l’utilisateur. Si l’utilisateur saisit un mot de passe vide, alors la fonction de comparaison « strncmp » renverra 0, et l’utilisateur sera authentifié :
Suite à la publication de cette faille, les chercheurs ont par ailleurs découvert qu’elle était aussi présente sur des équipements industriels de la marque Siemens.
Suite au patch développé par Intel, les chercheurs ont découvert que l’application Intel MEI (HECI) permet de gérer l’application AMT (activer/désactiver). En analysant et rétro-concevant le protocole DCMI-HI utilisé, les chercheurs ont produit un outil permettant d’activer AMT sur un système où il est désactivé, pour in-fine exploiter la faille CVE-2017-5689 :
Un ultime scénario malveillant identifié est la mise à jour du firmware pour :
- Effectuer un downgrade, si l’utilisateur a appliqué le patch développé par Intel
- Ou activer Intel AMT s’il a été désactivé
- Ou ajouter l’application Intel AMT sur les processeurs qui n’en disposent pas
Pour effectuer cette attaque au niveau logiciel, une vulnérabilité noyau ou BIOS est nécessaire ; au niveau matériel, un programmateur de mémoire flash SPI peut être utilisé si les zones mémoires ne sont pas protégées.
Enfin, il est à noter que tous les outils utilisés par les chercheurs sont disponibles sur leur dépôt Github : https://github.com/embedi/meitools.
A New Era of SSRF – Exploiting URL Parsers in Trending Programming Languages – Orange Tsai
Le chercheur a souhaité mettre un coup de projecteur sur une classe de vulnérabilité logicielle au sein des applications Web dont l’impact est souvent sous-estimé: la Server-Side Request Forgery.
Couplée à une injection de contenu utilisant un protocole différent (protocol smuggling), une faille SSRF devient directement plus intéressante en contournant un dispositif de filtrage type pare-feu qui serait déployé, en injectant par exemple des commandes SMTP dans une requête HTTPS dans le champ SNI de la couche TLS :
Le point de départ de ses recherches est qu’il n’existe pas, en 2017, de manière unique et commune de parser une URL. Que ce soit entre les implémentations des différents langages populaires, ou au sein d’un même langage, aucune bibliothèque ne fournit le même résultat. L’illustration suivante souligne dans le langage Python, pour les modules natifs (urllib, urllib2, httplib) ou tiers (requests), quel nom d’hôte est reconnu dans l’URL spécifiée :
Bien que des RFC existent pour tenter de cadrer le sujet, elles ne restent que des spécifications et l’auteur a fait une étude de terrain sur le sujet :
Pour appuyer son discours, l’auteur a détaillé plusieurs cas concrets d’exploitation, dont notamment l’exploitation d’une faille d’exécution de code arbitraire à distance sur le produit GitHub Entreprise en chainant deux SSRF, une injection CR-LF et une désérialisation non sécurisée…le tout dans une seule et même requête. Les 3 dernières vulnérabilités sont présentes sur des composants internes du produit, inaccessibles sans l’exploitation de la première.
Vendredi 25 août
Searching For A Needle In A Remote Haystack – Vitaly Kamluk et Wayne Lee
Ce court talk a eu pour objectif de présenter un outil open-source d’analyse forensics à distance. Partant du constat qu’un déplacement physique d’un analyste forensics sous quelques heures est rarement possible (ou souhaitable), les auteurs ont développé la solution « BitScout » permettant de générer une ISO bootable (sur Live-CD, clé USB etc.) pré-configurée avec :
- De multiples outils communs de forensics (pourquoi pas demain CERTitude :-) )
- Des outils personnalisés (assurément CERTitude pour le CERT-W :-) )
- Un tunnel SSH vers un serveur accessible à la fois par la machine à investiguer et l’analyste
- Une connexion VPN IPSec pour assurer la sécurité du lien réseau
La solution développée permet également à la personne ayant démarré l’ISO de visualiser les commandes saisies par l’analyste et offre uniquement un accès en read-only au support de stockage à analyser (concept de « container » propre à la solution) :
Par ailleurs l’analyste peut aisément démarrer localement une image virtuelle de la machine à analyser, par exemple via qemu, et effectuer des modifications : celles-ci seront stockées sur son poste d’analyse (dans un support au format qcow2 pour un stockage incrémental), qui n’engendrera ainsi aucune modification sur la machine originale :
Cet outil a en partie été développé par les chercheurs pour les besoins d’Interpol, est disponible actuellement sur le dépôt Github suivant https://github.com/vitaly-kamluk/bitscout, et sera bientôt déplacé sur le dépôt Github de Kaspersky.
It’s Friday Professor Moriarty – Nicolas Collery
Ce talk a consisté en une mise en pratique de l’outil BitScout présenté auparavant à travers l’analyse d’une machine infectée par un bookit du groupe d’attaquant APT28 :
Facebook: The Deep & Dark Web for Threat Actors in Asia – Fadli B. Sidek
Après avoir dressé un panorama des activités cybercriminelles qu’il est possible de trouver sur les « Groupes Facebook », dont entre autre le carding, la vente de C&C, botnet, RAT, exploit-kit, base de données dérobées etc. ; l’auteur a souhaité effectuer une comparaison, plutôt inattendue il faut dire, entre cette fonctionnalité de « Groupe Facebook » et les concepts de « Deep Web » et « Dark Web », notamment déclinés sur le réseau TOR.
Plusieurs avantages sont ainsi évoqués en faveur des Groupes Facebook comme support de vente de services cybercriminels :
- Les plateformes de services cybercriminels sont trouvables et accessibles par quiconque sur le réseau TOR, un groupe Facebook dont l’option « Secret » a été activé ne pourra pas être listé et rejoint par un tiers non autorisé (sauf invitation d’un membre existant)
- Un site sur TOR peut être « saisi » par les autorités, contrairement à un groupe Facebook
- Un groupe Facebook qui serait fermé peut facilement être recréé (notion « d’hydre »)
- Facebook Messenger offre un chiffrement de bout-en-bout avec qui plus est des messages avec une durée de vie définissable
- Last but not least, Facebook est accessible via le réseau TOR : par ailleurs une étude évoquée par l’auteur montre que le site le plus visité par le réseau TOR est…Facebook
En conclusion, l’auteur nous livre la recette pour maximiser la privacité de nos faits et gestes sur Internet : utiliser TOR et Facebook
Stealing PLC Intellectual Property: A Red Teaming Story – Matteo Beccaro
Ce talk a consisté en la présentation d’un retour d’expérience sur une mission de Red Team réalisée par l’auteur. L’unique objectif fixé par le client aux attaquants était : voler la « recette » présente sur un automate industriel spécifique dans une usine. Par « recette », il faut comprendre « code de l’automate mettant en œuvre un procédé industriel ». La seule information connue par les attaquants au démarrage a été le nom de la société cible.
Les étapes suivantes ont ainsi été suivies pour cette mission qui a duré 7 jours :
- Recherche d’informations en source ouverte, afin notamment de découvrir l’adresse de l’usine cible
- Introduction physique
- Récupération des informations depuis l’automate, entre autres par l’exploitation de vulnérabilité
Après avoir identifié le modèle de l’automate, les attaquants ont en acheté un identique et ont observé qu’un code PIN à 4 chiffres protège la fonction de téléchargement de la recette : après 5 tentatives infructueuses, l’accès à cette fonctionnalité est bloqué pendant 30 min. Cependant plusieurs vulnérabilités ont été identifiées :
- Il est possible de lire/écrire arbitrairement des adresses dans l’automate via le protocole Modbus
- L’analyse du trafic Modbus révèle qu’un paquet « magique » remet le compteur à zéro
- Le mot de passe est stocké en clair dans la mémoire
Les attaquants ont ainsi pu lire le mot de passe en mémoire puis télécharger la recette :
Mahdi BRAIK
Thomas DEBIZE