24 octobre 2019

Retour sur la Hack.lu – Jour 2

Sensor & Logic Attack Surface Of Driverless Vehicles

Par ‘Zoz’ brooks

Le chercheur en sécurité ‘zoz’, un habitué des conférences de sécurité, nous fait une introduction autour des voitures et autres véhicules autonomes en nous montrant à quel point ceux-ci prennent de l’importance. Entre autres, des législations, autorisations, financements et business arrivent ou sont déjà dans ce secteur ce qui implique qu’une ‘révolution’ arrive.

Ces véhicules autonomes présentent un grand nombre de capteurs, ce qui induit une grande surface d’attaque. En prenant pour exemple les voitures, voici les capteurs qu’elles peuvent avoir :

  • GPS
  • LIDAR (télédétection par laser)
  • Caméras (Tesla)
  • Radar a ondes millimétriques
  • Transducteur à Ultrasons
  • Boussole digitale
  • Centrale a inertie
  • Radar a pénétration de sol

Ces capteurs sont susceptibles de subir des attaques de type Déni de Service, usurpation de données ou encore des attaques plus spécifiques aux capteurs. Par exemple, une attaque à l’encontre du GPS serait d’envoyer des ondes de brouillage afin d’éviter à la victime de recevoir ou d’envoyer des données légitime (Jamming).

Zoz montre ensuite une attaque plus précise avec un hélicoptère, ou un attaquant prend le contrôle de ce dernier en usurpant un signal GPS. Cette attaque présentée fait poser l’hélicoptère au sol et nous montre que cela peut être utilisé sur d’autres véhicules. On nous explique que lorsque le capteur GPS est le capteur principal et qu’un véhicule subit ce type d’attaque les conséquences peuvent être critiques. Cette attaque est également réalisable sur des yachts a plusieurs millions d’euros pour moins de 500 euros d’investissement.

Voici le matériel et software nécessaire :

Pour résumer, ces capteurs sont sujets à de nombreuses attaques et celles-ci peuvent avoir plusieurs motifs. Mais une chose est certaine, la route est longue avant que les véhicules autonomes assurent un fort niveau de sécurité.

Pour plus de détails, voici un lien vers la vidéo : https://www.youtube.com/watch?v=odvD03aJXbw  

What the log?! So many events, so little time…

Par Miriam Wiesner

La présentation de Miriam Wiesner, ingénieure chez Microsoft, avait pour objectif de présenter l’outil qu’elle a développé. Cet outil, écrit en PowerShell, a pour mission de faciliter l’analyse et la corrélation des journaux d’événements Windows. En effet, détecter des attaquants n’est pas facile.

Elle a tout d’abord rappelé qu’il est en général possible pour un attaquant de prendre le contrôle d’une entreprise (devenir administrateur de domaine) en 48 heures en moyenne à partir de la première machine compromise sur l’environnement. Alors que la détection par le service de sécurité d’une entreprise (si ce service existe) d’une attaque passée ou en cours nécessite en moyenne plus de 200 jours.

Les attaques menant à la compromission d’une entreprise tout entière peuvent être aussi sophistiquée que simple (erreur d’inattention – activation d’une macro, etc.).

Ce programme est né d’une demande initiale d’un client, lorsque Miriam était consultante.

L’outil, librement accessible sur GitHub (https://github.com/miriamxyra/EventList), se prénomme EventList. Actuellement, il permet de corréler les journaux d’événements Windows avec des modèles et des techniques d’attaques réels (suivant la base de connaissances du MITRE Att&ck). Pour développer cet outil, la documentation de Microsoft a dû être épluchée (documentation de plus de 750 pages) pour identifier les événements pertinents pour la détection d’attaques.

La corrélation des journaux d’événements se fait via la récolte d’identifiants de ces événements, ainsi, suivant la catégorie de l’identifiant, cela facilite la lecture des fichiers de journalisation et la détection d’attaques sur l’environnement surveillé.

À l’heure actuelle, EventList se base uniquement sur les événements Windows (Windows Event Logs) suivants :

Enfin, Miriam a réalisé une démonstration de son outil et a détaillé les fonctionnalités proposées:

  • Importer les bases de référence MSFT ou des GPO personnalisées
  • Identifier quels événements sont générés et quelles techniques du MITRE ATT&CK sont couvertes par la GPO ou la base de référence sélectionnée
  • Sélectionner les techniques MITRE ATT&CK et fournir des GPO pour générer les événements nécessaires à leur détection
  • Affiner les configurations pour ne couvrir que les événements nécessaires à la détection (éviter d’être « spammé » d’événements de journalisation)
  • Générer des requêtes pour détecter les techniques MITRE ATT&CK choisies, quelle que soit la solution SIEM utilisée

DeTT&CT: Mapping Your Blue Team To MITRE ATT&CK

Par Ruben Bouman et Marcus Bakkerpar

La chasse aux menaces (Threat hunting) est une tactique éprouvée, permettant de connaître le degré de risque de cyber attaques auquel est soumise une entreprise. La méthode consiste à dresser un portrait global de la surface d’attaque, tout en identifiant les attaquants potentiels, leurs motifs et leurs façons de faire.

Ruben Bouman et Marcus Bakkerpar ont initié la présentation avec l’explication des problèmes auxquels ils étaient confrontés et comment ils ont amélioré leur capacité de chasse aux menaces. Ils suivent cette séquence :

Sources de données   >>>   Visibilité   >>>   Détection   >>>   TTP (Tactics, Techniques and Procedures)

La deuxième partie de la présentation portait sur le projet qu’ils ont développé et intitulé « DeTT&CT » (DEtect Tactics, Techniques & Combat Threats).

Les auteurs ont présenté une introduction à ATT&CK,  Il s’agit d’une plateforme qui organise et catégorise divers types de tactiques, techniques et procédures (TTP) utilisées par les acteurs de la menace dans le monde numérique, visant à aider les organisations à identifier les lacunes dans leurs cyberdéfenses.

Toutes les informations collectées sur les attaques sont présentées dans différentes matrices, telles que les matrices d’entreprise, mobiles et avant-attaques. La matrice d’entreprise, par exemple, comprend les catégories et tactiques suivantes :

  • Accès initial
  • Exécution
  • Persistance
  • Escalade des privilèges
  • Évasion de la défense
  • Accès aux justificatifs
  • Découverte
  • Mouvement latéral
  • Collecte
  • Commande et contrôle
  • Exfiltration
  • Impact

En créant DETT&CT, les auteurs visent à aider les BlueTeam à utiliser ATT&CK pour noter et comparer la qualité des sources de données, la couverture de la visibilité, la couverture de détection et les comportements des auteurs de menaces afin d’aider à être plus résilient contre les attaques ciblant une organisation.

Le Framework DETT&CT se compose d’un outil Python, de fichiers d’administration YAML et de tables de notation pour des différents aspects. 

  • Administration et évaluation de la qualité de vos sources de données.
  • Informations sur la visibilité que vous avez, par exemple sur les « Endpoints »
  • Cartographie de votre couverture de détection.
  • Cartographie des comportements des auteurs de menaces.
  • Comparaison de la visibilité, des détections et les comportements des auteurs de menaces pour découvrir des améliorations possibles en matière de détection. Cela aide à prioriser les efforts d’équipes bleues.

Les visualisations en couleur sont créées à l’aide du navigateur ATT&CK de MITRE

Enfin la conférence a été conclue par une démonstration, dans laquelle Ruben et Marcus ont présenté un exemple d’utilisation des fonctionnalités de DETT&CT.

Lien vers la vidéo de la présentation https://www.youtube.com/watch?v=_kWpekkhomU

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *