Intrinsec était présent à la conférence de sécurité Sthack de Bordeaux qui s’est déroulée le 8 avril 2016.
Laurent Oudot nous a présenté une évolution des techniques d’espionnage numérique au cours des années. Les premières intrusions connues visaient des institutions gouvernementales afin d’obtenir une reconnaissance tandis que les attaques actuelles ont pour finalité l’argent, que ce soit via des vols de données ou par une prise en otage de la victime.
Damien Picard nous a présenté des cas pratiques de contournement des restrictions mises en place par Powershell.
Powershell est présent par défaut depuis Windows 7. Basé sur la plateforme .NET, Il est orienté objet et tend à remplacer la console Windows classique.
Plusieurs contournements ont été présentés, comme l’exécution d’un script, les différents niveaux de restriction LanguageMode ou encore AppLocker.
Slides : http://www.synacktiv.fr/ressources/presentation_Powershell-for-pentesters_synacktiv.pdf
Jonathan Salwan et Romain Thomas nous ont présenté les nouveautés de leur outil d’analyse hybride Triton. Il supporte les architectures 32 comme 64 bits et propose une API utilisable en C++ et Python afin d’automatiser certaines tâches. Cerise sur le gâteau : une bibliothèque peut être chargée dans IDAPro afin de désobfusquer des fragments de code directement dans le débuggeur.
Slides : http://triton.quarkslab.com/files/sthack2016-rthomas-jsalwan.pdf
Kelly Lum nous a montré ses travaux sur le framework .NET. Un état de l’art des outils utilisés pour analyser du code CIL a été présenté. A titre d’information, le code CIL généré suite à la compilation des langages .NET (C#, VB…), s’apparente au bytecode de Java. L’intervenante nous a ensuite montré des techniques pour cacher du code obfusqué dans un binaire via le caving. En effet les sections d’un binaire doivent être alignées afin d’optimiser leur chargement en mémoire, or cet alignement se fait avec des octets de padding. Il est alors possible de mettre du code dans cette zone (appelée « cave ») sans modifier les différents segments utiles du binaire.
Cette présentation a porté sur les différentes attaques actuelles impactant le GSM. Après un rappel à un rythme effréné du fonctionnement de ce dernier, l’accent a été porté sur les outils et logiciels utilisés afin d’intercepter les communications. Les IMSI Catchers implémentent notamment ces méthodes d’interception. A noter que d’après eux le matériel nécessaire pour mettre en place cet outil est accessible à tous et à un prix abordable (moins de 1 000 €). Mais que son utilisation doit être uniquement faite dans un laboratoire isolé (type cage de Faraday).
Selene Giupponi nous a présenté des méthodes de récupération de données sensibles sur terminaux mobiles lors d’analyses forensics. À titre d’exemple, elle a pu constater que lorsqu’iTunes fait une sauvegarde chiffrée d’un terminal, la sauvegarde envoyée sur iCloud est automatiquement déchiffrée par les serveurs d’Apple. La société américaine ayant justifié ce déchiffrement afin de simplifier l’utilisation des sauvegardes.
Lors de cette conférence, Antoine Cervoise et Julien Reitzel nous ont présenté diverses techniques pour effectuer une attaque de type brute force physique sur plusieurs matériels, comme un BIOS, un écran de verrouillage de smartphone ou toute autre interface d’authentification. La validation peut être effectuée par une webcam. Si la page d’authentification disparait, le mot de passe entré est alors considéré comme valide et le script sauvegarde le dernier code saisi. Le but était de nous présenter un outil générique pouvant s’adapter sur un grand nombre de supports et à un faible coup.
Les sources du projet sont disponibles : https://github.com/cervoise/Hardware-Bruteforce-Framework-2
Pour finir, nous avons participé au CTF qui s’est déroulé toute la nuit. Un Write-Up d’une des épreuves d’analyse forensic a déjà été publié sur notre blog.