SSTIC - 2014 - Jour 1
Bon, vu qu’il y à un streaming ICI, je vais peut-être lever le pied sur le liveblogging :]
Keynote d’ouverture – Travis Goodspeed
Une preuve de concept est une preuve valide par construction (au sens mathématique), c’est pourquoi, avec ce concept en tête, que Travis Goodspeed a créé le journal international des preuves de concept: PoC || GTFO.
Une keynote rafraichissante, avec des exemples de PoC issue de ce journal.
Une preuve de concept est la meilleur forme de preuve car on ne peut pas argumenter sur sa validité parce ça fonctionne ! Ça se sert à rien de demander des statistiques, ou de dire que ce n’est pas scientifique.
Audit & Active Directory
Session thématique LDAP/AD avec un rappel des bases pour permettre la compréhension des présentations. Le point délicat, c’est l’extraction des données du contrôleur d’AD par la copie et le parsing de NTDS.dit (cf ici, merci @krali_)
Chemins de contrôle en environnement AD.
par Emmanuel Gras et Lucas Bouillot
L’idée des chemins de contrôle dans les AD, c’est de grapher qui contrôle quoi dans un AD au travers des permissions, et de regarder si par transitivité, un utilisateur peut contrôler un groupe privilégié ou l’édition de GPO permettant d’élever ses privilèges sur un groupe qui lui même est particulièrement privilégié.
BTA – Outil d’audit d’AD
par Philippe Biondi et Joffrey Czarny
BTA est un outil permettant l’automatisation de contrôles sur un AD. un peu à la façon d’un outil de test unitaire et de non-régression. Vu qu’on peut pas mettre plus de 2048 colonnes dans postgres, les bases relationnelles ne sont pas taillés pour gérer les données d’un AD. Les contrôles sont effectués par des miners, des petits bouts de programmes qui parcourent la base AD clonée et qui viennent renseigner leurs trouvailles dans un document structuré pour la génération de rapports automatique. L’avantage du coté offline, c’est qu’une fois l’import fait, on peut travailler tranquille dans son coin.
Deux outils fort utile pour les équipes d’audit qui ont la fastidieuse tâche d’éplucher ces foutus AD.
Secrets d’authentification épisode II: Kerberos contre-attaque
par Aurélien Bordes
Que peut faire un attaquant lorsqu’il a compromis des secrets d’authentification avec un pwdump par exemple ? Kerberos sert à authentifier des utilisateurs en environnement AD. Lors de la compromission d’un AD, un attaquant peut prendre le contrôle de Ks et s’en servir pour créer des tickets de service et les utiliser pour s’authentifier auprès d’un serveur. Lors d’une telle opération, le contrôleur de domaine ou le Kdc ne voit rien passer puisqu’on ré-utilise un ticket forgé qui est normalement attribué par le contrôleur, donc pas besoin de le solliciter. Une manip similaire peut être faite avec le Kkdc.
La compromission d’un AD implique le renouvellement de tout les comptes machines en plus du renouvellement des comptes utilisateurs. Les recos, c’est d’utiliser les nouveaux mécanismes de sécurité apporté par Windows 8. La réponse c’est l’Active Directory Forest Recovery
Sécurité Mobile
Une petite session thématique sécurité mobile 🙂
Sécurité des modems dans les terminaux mobiles.
par Benoit Michau
Bon les communication 3G/LTE (LTE=4G dixit JP) se font avec des algos propriétaires dont le fonctionnement est plutôt fermé. Pour pouvoir tester ça, faut du matos et on fait ses tests en cage de faraday parce qu’on ne possède pas les licences d’émission. C’est important parce que les acteurs du monde mobile vous prennent pas au sérieux si vous ne respectez pas la réglementation.
Les protos sont définis en ASN.1 et l’implémentation du parsing des paquets peut donner lieu à des situations casse gueule de par leur ambiguité (oups mon tlv…). Une fois armé d’un coeur de réseau LTE en python et d’une antenne qui va bien on peut jouer avec les mobiles de ses collègues de travail.
On fuzz, on teste des cas à la con et on trouve des failles, parfois corrigées avant même que l’éditeur soit mis au courant. Parfois c’est pas corrigé, parce que le mobile n’est plus supporté à cause du cycle de vie mobile trop court. Autre problème on à pas de message indiquant si la liaison est chiffrée ou en clair (oups). Voir même des mobiles qui acceptent des trucs pas sûr permettant des MITM sur LTE (patché heureusement).
How to play a hooker
par Dimitri Kirchner et Georges Bossert
En gros, analyze de market android à la recherche d’applications malveillantes. Une appli android demande beaucoup de droits. On peut donc se demander si elle va les utiliser de façon légitime ou pas ? est-ce que l’appli en a vraiment besoin de ces permissions ? et est-ce qu’il ne va pas y avoir d’abus ? Analyse statique (Androguard), dynamique (droidbox) bref c’est pas les solutions qui manquent pour analyser une app android. Par contre à l’échelle d’un market, ya rien, et c’est le but d’Hooker.
Les applis sont ensuite analysés en fonction de leur intrusivité (ça se dit ?) sur le mobile (lecture vs écriture de sms, accès aux contacts ou pas, beaucoup ou pas beaucoup d’info accédée, etc…). Le tout est fait à coup d’ElasticSearch et de Kibana en aspirant le Google Store et d’autre market alternatifs. Du coup on à droit à plein de stats rigolotes sur les app étudiées.
Investigation numérique & terminaux Apple iOS
par Mathieu Renard
Pour iOS on à rien sous la main pour analyzer un iphone dernière génération. Dans le SoC, il y a un cryptoprocesseur entre la nand et la ram. Bon la solution sur les vieux terminaux, c’est d’exploiter des vuln dans la chaine de boot, mais là, bah c’est pas possible. On peut passer par les services iTunes sur un téléphone déverrouillé.Du coup l’auteur utilise les vulns exploités dans les jailbreak pour obtenir un accès au FS.
Catch me if you can
Par Marion Marschalek (@pinkflawd), cyphort
Analyste de malwares (ça se dit ?). Il faut distinguer les malwares de masse visant la majorité des internautes, et les malwares ciblant un groupe en particulier (style APT1) . Parfois leurs auteurs ne sont pas très malins et placent des chaînes de caractères fort utiles pour les signatures utilisés dans les AV.
Plusieurs stratégies sont utilisées dans l’analyse de malware, de la simulation au reverse engineering en passant par la virtualisation, le debugging voir carrément le data-mining afin de découvrir des patterns anormaux dans le traffic réseau (vendu sous le nom de threat intelligence). L’oratrice nous montre donc les problèmes sous-jacent de ces techniques d’analyse, et comment ces tricks peuvent être contournés. Pour l’anti-debug Phant0m Olly et IDAStealth embarque tout plein d’anti-debugging tricks. Mais ça ne suffit pas toujours. On à droit à une présentation de plein de tricks d’anti-analyse avec des extraits IDA de partout :] (VB6 -> Kernel33.dll ?!).
Présentation courtes
Analyse de box ADSL
par Eric Alata Jean-Christophe Courrege Mohammed Kaaniche Vincent Nicomette Yann Bachy Yves Deswarte
Maltraitance d’une box par la boucle local (beige box return !!!). En gros un Mitm à l’aide d’un dslam portable et d’un modem ADSL, avec un bon vieux hub au milieu. Et quand on regarde en détail, les mises à jour et la conf se font souvent par HTTP (oups ?). Du coup on peut pousser ses mises à jour sur la box (re-oups ?) et y poser sa backdoor.
Sécurité des ordivision (trad: télévisions connectés)
par Frédéric Basse
Toi aussi brick ta télé :] petite analyse de la sécurité d’une SmartTV phillips. Du fait des licenses, les lib open-source utilisées sont indiquées sur le site du constructeur. De même on peut découvrir un port console kernel à l’arrière dudit poste (cool). Et du coup quand on regarde ça de près, on y trouve une libupnp vulnérable (cf actes). Après pwnage, on obtient un shell root, et on observe l’absence de protections sur le système: pas de ségrégation des privilèges, tout le monde en root, pas d’aslr, pas de protection sur la stack, enjoy ! Après on peut ratisser le système à la recherche de nouvelles vulns, notamment du coté de DFB.
La persistance est aussi possible à partir de ce shell root. En gros un secure boot, mais un système troué qui laisse l’utilisateur vulnérable (bouh !).
La radio qui venait du froid
par Alain Schneider
Oh un clavier sans-fil sur le bureau du collègue ! qui fonctionne sur des puce NRF24L01 (NRF= Nordic Radio Frequence) utilisé dans beaucoup de claviers sans-fil en 2.4Ghz. Du coup c’est cool à étudier :] Du coup comment écouter ? RTLSDR, USRP, HackRF… bon RTLSDR ça monte pas au dessus des 2 Ghz (dommage 🙁 ). L’auteur montre comment on peut faire de l’écoute avec un « keykeriki« , et comment on peut faire la même chose en moins cher à l’aide d’un arduino et d’un analyseur logique pour traiter le flux réseau sur le PC. Du coup avec un arduino, une puce nordic et les tricks de T. Goodspeed on peut capter les paquets du clavier (et le code est en ligne). Du coup ça ouvre plein de possibilités :]
Voila pour aujourd’hui, j’espère que le format light vous convient. A demain 🙂