Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CoRI&IN : retour sur quelques cas d’investigation numérique

février 2017 par Emmanuelle Lamandé

Le CECyF organise depuis 3 ans CoRI&IN en amont du FIC, une conférence dédiée aux techniques de réponse aux incidents et d’investigation numérique. Cette journée, organisée dans les locaux d’Euratechnologies, permet à tous les experts, chercheurs et enquêteurs spécialisés de partager et d’échanger sur les techniques du moment. Voici un aperçu des conférences auxquelles nous avons pu assister.

Investigations sur la chaîne de blocs

De nombreuses applications reposent aujourd’hui sur l’utilisation de la chaîne de blocs, plus connue sous le nom de Blockchain. La sécurité et la confiance d’une chaîne de blocs reposent sur le caractère public de celle-ci. Toutefois, Stéphane Bortzmeyer, AFNIC, met en exergue plusieurs problèmes et limites inhérents à ce type de systèmes en matière d’investigation.

L’explorateur, par exemple, peut vous mentir. Celui-ci ne fait pas directement partie de la chaîne de blocs, mais regarde ce qui s’y passe, et peut également garder des traces de vos requêtes. Il recommande, de ce fait, aux investigateurs d’utiliser plutôt un nœud complet local.

De plus, rien n’est caché avec la Blockchain, elle ne garantit pas l’anonymat. Les adresses Bitcoin par exemple sont certes pseudonymes, mais pas anonymes. Tout le monde peut donc voir l’ensemble des transactions. D’ailleurs, la traçabilité est nécessaire pour que la chaîne fonctionne. Différentes solutions existent cependant pour brouiller les pistes, comme les mixers, blanchisseurs Bitcoin, adresses à usage unique… Un bon mixer va venir brouiller le montant des transactions ou ajouter des données aléatoires, mais plus on va rallonger la chaîne, plus le risque de tromper l’utilisateur est grand…

Quel que soit le système utilisé, il recommande de ne pas stocker de données confidentielles dans la chaîne de blocs, celle-ci étant publique.

Du côté des services d’investigation, plusieurs outils d’exploration et d’analyse de la chaîne de blocs existent, comme Blockchain Inspector, Scorechain, Chainanalysis… Mais comme les explorateurs, ils savent tout de vos investigations… Certains autres outils se développent, mais soulèvent d’autres problématiques, à commencer par la recevabilité des preuves devant un tribunal.

Afin de contourner ces investigations, les criminels auront également tendance à utiliser de nouvelles monnaies et chaînes de blocs, comme Zcash ou Dash. Toutefois, payer avec Zcash s’avère plus compliqué pour les cybercriminels aujourd’hui, bien que ce type de monnaie ait été conçu pour l’anonymat. Les places de marché aussi ont connu un certain nombre de bogues et de cas de piratage dans le passé, et peuvent également permettre de casser la traçabilité. Elles peuvent donc aujourd’hui aussi bien servir les délinquants que les investigateurs.

« La lutte entre les anonymiseurs et les investigateurs sera sans doute éternelle, mais il est important pour ces derniers de se tenir informés des dernières évolutions en la matière », conclut-il.

Impression 3D, contrefaçon et crime organisé

Il n’existe pas à ce jour de définition juridique à proprement parler concernant l’impression 3D, souligne Garance Mathias, Avocate. De plus, cette dernière fait appel à beaucoup de notions différentes : reproduction, représentation, propriété intellectuelle, brevet, droit d’auteur…

L’impression 3D fait également partie du champ de la contrefaçon, c’est-à-dire de la reproduction frauduleuse par copie ou imitation d’une œuvre littéraire, artistique… Toutefois, Garance Mathias soulève un problème majeur dans l’inconscient collectif actuel, qui considère généralement la contrefaçon comme un délit mineur, alors que c’est un moyen d’alimenter le crime et le terrorisme. La contrefaçon serait d’ailleurs la 2ème source de financement des criminels aujourd’hui. Elle a, en outre, des conséquences économiques et sociales importantes, pouvant parfois s’avérer graves, notamment dans le cas de contrefaçon d’aliments ou de médicaments…

Le 3D peut s’avérer une nouvelle forme de contrefaçon. La question est déjà de savoir si on a le droit de reproduire tel ou tel modèle ; de plus, si oui, est-ce pour un usage personnel ou public ? Mis à part le cadre restreint de la copie privée, il y a des chances d’être dans le domaine de la contrefaçon. Il peut s’agir aussi de l’atteinte à un droit d’auteur, un brevet, une marque… Quoi qu’il en soit, « Libre de droits » est un terme à bannir, souligne-t-elle, car cela n’existe pas en droit. L’impression 3D n’y échappe pas. Elle doit reposer sur certaines autorisations préalables.

La contrefaçon est punie par la loi, au civil (4 ans de prison et 400 000 euros d’amende) comme au pénal (de 3 à 5 ans de prison et jusqu’à 500 000 euros d’amende). Le législateur souhaite d’ailleurs augmenter ces peines afin de dissuader davantage les délinquants. Selon Garance Mathias, les sanctions devraient aussi être plus médiatisées, afin d’être plus dissuasives.

Donc restez vigilants et assurez-vous de bien avoir la titularité des droits avant de vous lancer dans un projet ou une innovation 3D.

Retour sur les techniques et méthodes du groupe FIN7

Les experts de FireEye ont étudié le groupe de cybercriminels FIN7 et son mode opératoire pendant près de deux ans, explique David Grout, FireEye. Le groupe FIN7 utilise majoritairement une approche par Spear Phishing et aurait touché à ce jour 9 groupes financiers majeurs (points de vente et guichets bancaires). Il utilise des leurres via emails (Word avec macros malveillantes, emails avec url renvoyant vers des zip…) pour entrer sur ces réseaux de type POS et ATM. Après la compromission, une fois installés dans le réseau, ces cybercriminels vont gagner en privilèges et se propager jusqu’à atteindre leur cible.

Le groupe FIN7 utilise des malwares et certificats signés, recourt principalement à des techniques comme Mimecast et Metasploit pour gagner en privilèges, ainsi qu’à des outils, tels que PILLOWMINT et OFFTRACK, pour voler les données.

Aujourd’hui, on se concentre souvent sur les malwares en tant que tels, explique David Grout. Pourtant, la plupart du temps, on retrouve des outils légitimes utilisés au cœur des malwares à mauvais escient. Chaque famille de malwares nécessite, selon lui, une méthode et une approche d’investigation différente. Par exemple, BEACON ne laisse pas d’éléments persistants sur la machine, contrairement à DRIFTPIN et BELLHOP. L’investigateur aura besoin, dans sa démarche, de déterminer les outils adéquats et le périmètre de sa recherche, sans oublier une bonne dose d’intuition. La scalabilité et l’automatisation d’un certain nombre de process permettront également de l’aider dans sa démarche, et de limiter les impacts d’une attaque. Le suivi et l’analyse des méthodes de persistance lui permettront aussi d’adopter une politique de droits restrictifs et de limitation des droits locaux adaptée.

Afin de contrer ce type d’attaques ou du moins d’en limiter les impacts, il recommande notamment de :
- Sensibiliser les utilisateurs à la gestion de leurs emails ;
- Connaître ce que l’on a à protéger, ainsi que les outils potentiellement utilisés et leurs usages ;
- Désactiver les macros quand cela est possible ;
- Activer et observer les logs Powershell ;
- Interdire les mouvements latéraux ;
- Adopter une politique de droits restrictifs ;
- Interdire les communications vers des sites Web sans l’utilisation d’un proxy ;
- Utiliser une authentification à deux facteurs ;
- Etc.

Le groupe FIN7 est actif depuis plusieurs années et l’est toujours aujourd’hui. Il effectue du social engineering en amont afin d’étudier ses cibles et les différents points de vente visés. Ces cybercriminels, bien qu’organisés, s’appuient majoritairement sur des artefacts et techniques d’attaques classiques bien connus, ainsi que sur des outils majoritairement répandus. Des mesures de défense élémentaires suffiraient donc, selon lui, à contrer ce type d’attaques, ou a minima à en limiter les dégâts.

RAM & DISK EFI Dumper

En conclusion de cette journée, Solal Jacob, ArxSys, est venu partager l’un de ses retours d’expérience concernant une analyse forensic effectuée sur un transformer book, sous Windows 10 (port USB, SSD soudé, UEFI 32 bits). Le disque était chiffré avec BitLocker (chiffrement AES) et les clés stockées sur la puce TPM. 

Plusieurs outils ont été utilisés pour tenter de déchiffrer la partition BitLocker, comme LIBBDE ou Dislocker, mais sans résultat. Autres techniques utilisées pour rechercher les clés en mémoire et copier la RAM : le module Volatility BitLocker, attaque de type « Cold boot »… Mais la RAM étant soudée, la copie complète du SSD était impossible.

C’est pourquoi il a développé une application UEFI spécifique sur une clé permettant la copie du contenu de la RAM. Pour ce faire, il a utilisé SDK Intel Edk2 Tianocore. Grâce à cette application dédiée, la copie complète du disque a été rendue possible, et l’extraction des données de la partition aussi.

Cet outil est simple d’utilisation, conclut-il, indépendant de l’OS, et ne nécessite pas d’identifiant/mot de passe pour faire un dump de la RAM… Il prévoit également à terme d’intégrer cette application dans certains logiciels, comme DFF (Digital Forensics Framework).




Voir les articles précédents

    

Voir les articles suivants