#18 ISBN : 978-2-9551333-5-4 Préface Ah, le printemps, symbole du retour à la vie, du renouveau, des beaux jours, une nouvelle saison qui amène bien sûr son lot de traditions : — la chasse aux œufs ; — le perçage des fûts de la bière de mars ; — la publication du challenge SSTIC ; — le stress de l’ouverture de la billetterie. Mais cette année, le programme des réjouissances a été quelque peu modifié : si la descente de fûts s’est bien passée, si le challenge avançait comme sur des rails grâce à des concepteurs acharnés, le stress lié à la billet- terie a été supplanté par une question inédite et bien plus préoccupante : avec le COVID-19, SSTIC pourra-t-il avoir lieu ? Malheureusement, après quelques semaines de suivi de la situation et de discussions, il est apparu que maintenir une édition physique serait probablement impossible et de toutes manières irresponsable. L’idée de devoir rester confinés à 800, même dans un lieu aussi approprié qu’un couvent, ne semblait déclencher qu’un enthousiasme très modéré. Néanmoins, l’objectif de SSTIC reste la diffusion des travaux des auteurs et il nous semblait donc impensable de ne pas proposer une édition entièrement en ligne. Et dans la continuité de la diffusion du streaming en direct depuis 2014, nous avons donc décidé de diffuser les conférences sur Internet. Évidemment, bien que les présentations constituent l’ossature du SSTIC, il ne se limite pas à celles-ci et rien ne pourra remplacer les échanges en personne autour d’une boisson lors du social event ou les applaudissements pendant les rumps, sans parler des nuits plus ou moins longues entre la rue de la soif et le Cactus. Par ailleurs, absence de billetterie signifie absence de revenus. Mais heureusement, grâce aux annulations de prestations, aux fournisseurs compréhensifs mais surtout grâce à la gestion avisée de nos chers anciens et anciennes, cette année n’aura pas d’impact financier majeur. Quoi qu’il en soit, la gratuité de l’accès au streaming était une évidence. Enfin, le comité d’organisation tient à remercier sincèrement les auteurs, les invités et le comité de programme, qui ont répondu présent malgré les circonstances exceptionnelles. Nous espérons que cette édition très particulière vous satisfera malgré tout et ne doutons pas que vous serez nombreux l’année prochaine à vous ruer sur la billetterie pour nous faire renouer avec la tradition du stress de l’ouverture de la vente. Bon symposium, Raphaël Rigo, pour le comité d’organisation. Comité d’organisation Aurélien Bordes ANSSI Camille Mougey ANSSI Colas Le Guernic SEKOIA Frédéric Tronel CentraleSupélec Isabelle Kraemer Orange Jean-Marie Borello Thales Nicolas Prigent Ministère des Armées Olivier Courtay Viaccess-Orca Pierre Capillon ANSSI Raphaël Rigo Airbus Sarah Zennou Airbus Comité de programme Adrien Guinet Quarkslab Alexandre Gazet Airbus Anaïs Gantet Airbus Aurélien Bordes ANSSI Benoit Michau P1 security Camille Mougey ANSSI Clémentine Maurice CNRS Colas Le Guernic SEKOIA Diane Dubois Google Frédéric Tronel CentraleSupélec Gabrielle Viala Quarkslab Guillaume Valadon Netatmo Isabelle Kraemer Orange Jean-Baptiste Bédrune Ledger Jean-François Lalande CentraleSupélec Jean-Marie Borello Thales Nicolas Prigent Ministère des Armées Ninon Eyrolles Olivier Courtay Viaccess-Orca Pascal Malterre CEA/DAM Pierre Capillon ANSSI Pierre-Michel Ricordel ANSSI Pierre-Sébastien Bost Raphaël Rigo Airbus Renaud Dubourguais Synacktiv Ryad Benadjila ANSSI Sarah Zennou Airbus Yoann Allain DGA Graphisme Benjamin Morin L’association STIC tient à remercier les employeurs des membres du comité d’organisation qui ont soutenu leur participation au CO. Airbus – ANSSI – CentraleSupélec – Ministère des Armées Orange – SEKOIA – Thales – Viaccess-Orca Table des matières Conférences Pivoter tel Bernard ......................................... 3 D. Lunghi Sécurité du réseau fixe d’un opérateur : focus sur les dénis de service 25 D. Roy, P. Nourry Black-Box Laser Fault Injection on a Secure Memory ............ 49 O. Hériveaux Chipsec et sécurité des plate-formes ........................... 73 A. Malard, Y.-A. Perez Inter-CESTI................................................ 105 ANSSI, French ITSEFs L’agent qui parlait trop ...................................... 201 Y. Genuer How to design a baseband debugger ........................... 215 D. Berard, V. Fargues Exploiting dummy codes in Elliptic Curve Cryptography implementations ............................................ 229 A. Russon Testing for weak key management in BLE ...................... 251 T. Claverie, J. Lopes-Esteves Fuzz and Profit with WHVP ................................. 289 D. Aumaitre Sécurité des infrastructures basées sur Kubernetes .............. 315 X. Mehrenberger Hacking Excel Online ........................................ 333 N. Joly Scoop the Windows 10 pool! .................................. 345 C. Bayet, P. Fariello WazaBee................................................... 381 R. Cayre, F. Galtier, G. Auriol, V. Nicomette, G. Marconato Please Remember Me ........................................ 419 G. Patat, M. Sabt Quand les bleus se prennent pour des chercheurs de vulnérabilités . 451 S. Peyrefitte Sécurité RDP .............................................. 463 T. Bourguenolle, G. Bertoli afl-taenia-mt ............................................... 473 J. Rembinski, B. Dufour, S. Lebreton, F. Garreau Finding vBulletin 0-days through poor man’s symbolic execution .. 495 C. Fol Process level network security monitoring ...................... 507 G. Fournier Index des auteurs ....................................... 525 Conférences Pivoter tel Bernard, ou comment monitorer des attaquants négligents Daniel Lunghi [email protected] Trend Micro Résumé. Dans ce papier, nous allons présenter une investigation com- plète et sur le long terme d’un groupe d’attaquants ayant effectué des attaques ciblées. L’idée est de montrer les différentes étapes qui ont amené à la publication d’un rapport complet sur une opération donnée. L’investigation commence par l’analyse de souches malveillantes, ce qui permet d’en tirer des informations et des indicateurs qui pourront être exploités, via différentes méthodes qui sont expliquées dans le papier, pour obtenir des informations supplémentaires. À l’arrivée, on obtient la liste des familles de malwares utilisées, une cartographie partielle de l’infrastructure de l’attaquant, une liste de victimes ainsi que de certains outils de post-exploitation. Cette investigation s’appuie sur un cas réel, dont les résultats ont été publiés sur le blog de Trend Micro [7, 8]. 1 DRBControl, un groupe qui aime les paris Cette étude porte sur un groupe qui cible des entreprises de paris et de jeux en ligne en Asie du Sud-Est que nous avons analysé avec trois collègues de Trend Micro. Les premières attaques identifiées datent de juillet 2019, et les plus récentes ont été constatées en mars 2020. Pour information, un papier [8] analysant une des campagnes de ce groupe a été publiée sur le blog [7] de Trend Micro. Cependant, l’article en question ne s’attarde pas sur la méthodologie utilisée pour obtenir les données présentées, et en ce sens, il ne fait pas doublon avec cet article. Le point de départ de cette investigation a été une proposition de collaboration de l’entreprise Talent-Jump Technologies [19] suite à une mission de réponse à incident qu’elle a effectuée au sein d’une entreprise philippine de pari en ligne. 2 Analyse des souches L’investigation a commencé en juillet 2019. Nous avons reçu entre 15 et 20 souches sur une période d’un mois, au fur et à mesure des trouvailles 4 Pivoter tel Bernard de l’équipe de réponse à incidents, puis encore deux souches début octobre 2019. La première étape a été d’analyser les souches à l’aide de notre outil de rétro-ingénierie préféré. Les objectifs d’une telle analyse, au-delà de déterminer les fonctionnalités du malware, sont principalement de récu- pérer l’adresse du ou des serveurs de contrôle, puis de déterminer s’il s’agit d’une famille de malware connue. Dans le cas idéal, on tombe sur une famille de malware qui n’est utilisée que par un groupe d’attaquants, ce qui simplifie l’attribution, et permet d’emblée de s’appuyer sur les investigations précédentes. Dans notre cas, nous avons pu diviser nos souches en 4 familles : — Type 1 : 11 souches — Type 2 : 3 souches — Type 3 : 5 souches — HyperBro : 1 souche, arrivée en octobre Les familles de type 1 à 3 nous étaient inconnues, et la seule famille que nous avons pu identifier, HyperBro, n’est arrivée que début octobre. Nous reviendrons dessus ultérieurement. Concernant le type 3, l’analyse montrera que sa seule fonction est de charger du code depuis Dropbox. Nous y reviendrons ultérieurement. Nous allons nous attarder un peu sur le type 1, mais la démarche a été similaire pour le type 2. Le malware utilise 3 fichiers pour son chargement : — un premier exécutable légitime et signé par Microsoft, vulnérable à une attaque de DLL Side-Loading [2] — une DLL malveillante, nommée mpsvc.dll, chargée par le binaire légitime ci-dessus — un fichier binaire contenant le code final du malware, mais obfusqué et compressé La DLL malveillante se charge de décompresser et décoder le fichier binaire puis de le charger en mémoire en lançant un binaire légitime en mode suspendu, puis en remplaçant en mémoire le code à exécuter par le code malveillant, avant de reprendre l’exécution du binaire (méthode appelée « process hollowing » [4]). Ces méthodes sont connues et ont pour but d’évader les solutions de sécurité. Pour obtenir