SANS DFIR Summit 2019

Filtrer par catégorie :

28 Octobre 2019 by Nha-Khanh Nguyen
SANSDFIR-digitalsecurity
Cette année, digital.security a eu la chance d'être présent à la conférence annuelle sur le forensic et la réponse à incident, organisée par SANS Institute à Austin, Texas : le SANS DFIR Summit. C'est dans le centre de conférence de l'hôtel Hilton que se sont réunis le 25 et 26 Juillet, des professionnels de l'investigation numérique venus des quatre coins du monde pour parler de leur passe-temps favori.

Le SANS DFIR Summit, c'est deux jours de conférences intensives sur tout ce qui touche de près où de loin au forensic avec des intervenants de qualité et c'est aussi l'occasion de rencontrer les formateurs du SANS, notamment Rob Lee ou encore Philip Hagen, auteurs respectifs des formations FOR500/508 (Windows Forensic Analysis / Advanced Incident Response, Threat Hunting, and Digital Forensics) et FOR572 (Advanced Network Forensics and Analysis) que l'on ne cite plus. Ce sont d'ailleurs eux qui ouvriront la conférence, accompagnés d'Eric Zimmerman et de Troy Larson avec une keynote proposant une ligne directrice concernant l'écriture d'outils d'automatisation. Face à la nuée d'outils existant mais pas toujours compatibles entre eux, ils proposeront l'outil KAPE, destiné à automatiser les étapes clés de la réponse à incident (recherche, collecte, traitement). L'avantage, c'est que l'outil est modulable en fonction de la taille du parc.
 
 

Outillages, analyses et retours d'expérience


Durant deux jours complets de conférences, l'occasion est donnée de faire le plein de nouveaux outils ou méthodologies d'investigation. De nombreux intervenants, dont beaucoup sont également instructeurs SANS, présenteront leurs travaux et recherches concernant des cas d'analyse forensic, des outils et des artefacts ou autres éléments liés aux divers systèmes d'exploitation plus ou moins méconnus des analystes.
En voici les résumés.
 

©Crédits photo : @ForensicFocus
 
 
 
 

AmCache Investigation - Blanche Lagny (ANSSI)


L'AmCache est un artefact Windows qui recèle des informations pouvant s'avérer fort utiles lors d'une investigation forensic (logiciels installés, lancés, leur localisation...). Cependant, il reste un artefact difficile à analyser. En effet, son fonctionnement diffère selon la version du système et par conséquent de la version des bibliothèques installées. Heureusement, Blanche nous a préparé un petit tableau comparatif et récapitulatif de ce que nous offre l'AmCache en fonction de chaque versions de Windows.

 


They See Us Rollin’; They Hatin’: Forensics of iOS CarPlay and Android Auto - Sarah Edwards (Parsons), Heather Mahalik (Cellebrite)


Savez-vous ce qui se passe réellement sur votre smartphone pendant que vous conduisez ? La plupart des voitures sont aujourd'hui compatibles avec CarPlay (iOS) et Android Auto (Android) afin de vous permettre d'utiliser votre smartphone de manière sécurisée... Du moins, c'est ce que ces applications prétendent. Sarah, spécialiste iOS et Heather férue d'Android, vont nous démontrer que ce n'est pas forcément le cas. Tout en décortiquant les fichiers de logs de chacun des systèmes, les deux chercheuses vont lister les diverses activités que le système enregistre durant la conduite comme typiquement si l'appareil a été connecté en Bluetooth ou en USB ou si les données mobiles sont en cours d'utilisation. Ainsi, si le véhicule est en déplacement, le smartphone peut bloquer l'utilisation des applications de messageries par exemple... si bien sur votre véhicule, votre smartphone et votre application de messagerie sont compatibles...

 


MacOS DS_Stores: Like Shellbags but for Macs - Nicole Ibrahim (KPMG)


Les shellbags sont des artefacts Windows bien connus des analystes. En revanche, peu connaissent son équivalent sous MacOS. Son nom : DS_Store. On peut le trouver dans tous les dossiers accessibles en écriture. Il est créé à plusieurs occasions : modification de la configuration du répertoire (vue, tri...) ou encore modification du répertoire (ouverture d'un fichier, nouveau fichier...). Ces informations peuvent s'avérer très utiles lors d'une investigation afin de suivre les traces d'un binaire ou d'un attaquant. Pour cela, des outils tels que DS_Store Parser permettant de voir jusqu'à l'endroit exact sur la barre de défilement où l'utilisateur à visualisé les fichiers du répertoire et le nom d'un fichier avant qu'il soit mis à la corbeille. Mais DS_Store à ses limites. Malheureusement, il n'existe pas d'historique pour cet artefact, chaque nouvelle version écrasant l'ancienne de manière définitive. L'avantage de cet artefact est qu'il établit la preuve qu'un répertoire a bien été accédé par un utilisateur donné.


 

Finding Evil in Windows 10 Compressed Memory - Omar Sardar (FireEye), Blaine Stancill (FireEye)


La difficulté dans le métier d'investigateur forensic, c'est qu'il faut rester constamment informé des évolutions de Windows... Et nous ne sommes pas au bout de nos peines. En effet, depuis Windows 8.1, il ne suffit plus d'analyser simplement la mémoire avec des outils comme Volatility ou Rekall. Accéder à la mémoire virtuelle est plus lent que d'accéder à la mémoire en RAM. C'est pourquoi Windows a décidé d'introduire la notion de mémoire compressée afin de pouvoir stocker plus d'information dans la RAM. Le problème est que l'endroit où se trouve ce nouveau type de mémoire n'est pas documentée. Comment en tirer les preuves nécessaires lors d'une investigation ? L'équipe de FireEye s'est penchée sur cet artefact et le résultat de leurs recherches leur a permis de mettre à jour les plugins Volatility afin de les rendre compatibles avec Windows 8.1 et ultérieurs.

 


The DFIR Practitioner’s Guide to the Research and Development Process - Dr. Joe T. Sylve (BlackBag Technologies)


Comme tout domaine technique, la communauté est un des facteurs les plus importants pour progresser et évoluer. Le DFIR ne déroge pas à cette règle. Malheureusement, la recherche peut rebuter un certain nombre de personnes n'ayant pas les bons outils pour contribuer à cette communauté. Le Dr. Joe T. Sylve va exposer pas à pas les différentes étapes dans la recherche et le développement afin de tenter de donner une ligne directrice aux chercheurs en herbe. Afin d'illustrer ses propos, il prendra l'exemple du cas de l'APFS (Apple Snapshot). Cependant, chercher à répondre à un problème soulève en réalité plus de questions qu'il n'existe de réponse. C'est un processus infini...


 

Live Response with Ansible - Brian Olson (Verizon Media)


Durant une investigation numérique, avoir les bons outils peut permettre un gain de temps considérable. En effet, on note souvent des problèmes de flexibilité ou de reproductibilité selon l'environnement. Ansible semble répondre à tous ces problèmes. Écrit entièrement en Python, fini les problèmes de compatibilité et en plus, pas besoin d'agent ! Tout est faisable via SSH. Une autre fonctionnalité assez pratique que propose l'outil est la sauvegarde de l'arborescence des dossiers collectés, leurs labels et timestamp. Au niveau des résultats, certains sont représentés comme dans un terminal, comme si l'on avait tapé les commandes tcpview ou tcpdump pour visualiser les résultats des processus réseaux en cours par exemple. Ansible est un outil puissant, rapide et clé en main. Modulable à souhait de part sa base Python, tout est fait pour rendre la vie de l'investigateur bien plus facile.

 


Distributed Evidence Collection and Analysis with Velociraptor: Fast, Surgical, at Scale...and Free! - Mike Cohen (Velocidex Innovations), Nick Klein (Klein & Co.)


Basé sur le framework Grr, Velociraptor est un outil de collecte et d'analyse d'artefact multiplatforme, serveur comme client, qui a l'avantage d'être clé en main. En effet, l'installation du produit est extrêmement simple : aucune dépendance n'est nécessaire et sa configuration se fait simplement via une suite de questions posées à l'utilisateur. Le reste se passe ensuite sur son interface web. Il doit sa puissance et sa flexibilité au langage de requête VQL (Velociraptor Query Language), beaucoup plus rapide que la plupart des langages de requêtes existants. L'investigation distante sur n'importe quel artefact devient alors triviale et surtout sur tout un parc entier. Velociraptor permet également de faire de la surveillance sur le parc et d'envoyer des notifications si du code Powershell chiffré est detecté ou qu'un équipement USB est branché ou débranché. Même s'il paraît déjà bien complet en terme de caractéristiques, l'outil développé par Velocidex est toujours en cours d'amélioration avec une roadmap bien fournie.

 


Finding Badness: Using Moloch for DFIR - Elyse Rinne (Verizon Media)


Avec Moloch, nous entrons dans le domaine du forensic réseau. Développé par Verizon, cet outil de capture de paquets open source permet de stocker et d'indexer le trafic réseau, participant activement à la sécurité d'un parc. En illustrant leurs propos par des exemples de scénarios DFIR, Elyse et Andy nous font la démonstration de leur outil en partant d'une alerte Crowndstrike. Ils dérouleront tout au long de leur présentation les étapes de l'investigation sous Moloch afin d'en exposer toutes ses fonctionnalités. Moloch peut également être utilisé de manière proactive grâce à la possibilité d'injecter des signatures Suricata, de détecter des IoC via VirusTotal, voir même de détecter des webshells. Un outil qui lui non plus n'a pas fini d'être amélioré puisque la compatibilité avec d'avantage de protocoles est prévue ainsi que l'amélioration du support Cloud dans la version 2.0 à venir.

 


Pipeline Incident Response - Terry Freestone (Gibson Energy)


On entend relativement peu parler de la réponse sur incident dans le monde industriel. Et pourtant elle existe bel et bien. Seulement, même si les méthodes d'investigations peuvent sembler similaires, les problématiques sont quant à elles tout autres. Les priorités sont à la sûreté et à la disponibilité. Pas question ici de s'engouffrer dans la salle serveur et débrancher le poste infecté. Le parc a été conçu avant l'apparition des problématiques "cyber" et c'est là toute la subtilité. Les protocoles ne sont pas les mêmes non plus, mais un code restant un code, il s'agit d'une intervention à une échelle simplement différente. Les logs ne sont pas toujours suffisants afin de retracer et comprendre les événements. Il est important d'interroger les différents opérateurs afin de savoir s'ils ont constaté des anomalies mécaniques qui ne lèveraient pas forcément d'alertes logicielles (lenteurs ou surchauffes inhabituelles par exemple). Ces témoignages sont autant d'informations que peuvent apporter les journaux d'événements habituels sans oublier que les logs de ces équipements, s'ils existent, peuvent se trouver sur l'équipement en question, situé dans une zone restreinte pour des raisons de sécurité. En bref, il est important de bien différencier le monde du SI classique et de l'industriel. Si malgré tout les incidents peuvent être les mêmes, la façon de les traiter peut avoir des conséquences beaucoup plus importantes.
 



Forensic Investigation of Emails Altered on the Server - Arman Gungor (Metaspike)


Lors de la reconstitution des événements, les emails peuvent fournir des indications de temps relativement utiles, à condition que ceux-ci n'aient pas été sciemment altérés. Comment déceler cela ? Comment préserver les données et metadonnées des emails dans afin d'éviter cela ? Lors de l'altération d'un email, le nouveau message est rajouté sur le serveur à la suite de l'ancien puis ce dernier est supprimé. Heureusemenent, sur un serveur Exchange O365, il est possible de récupérer les messages supprimés ! Les metadatas sur un serveur IMAP, qui pourtant délivrent des informations intéressantes sur la date (Internal Date Message Attribute), ne sont malheureusement que rarement consultées. Sur Gmail, la signature DKIM peut également attirer l'attention puisqu'elle donne une indication sur la taille initiale du message tout comme les index de conversation, contenus dans le header, grâce auxquels il est possible de retracer toute une discussion. Vous n'aurez désormais plus d'excuse pour reconstruire le fil d'une conversation par mail, car même l'attaquant le plus méticuleux laisse des traces derrière lui !

 


Tracking Traces of Deleted Applications - Alexis Brignoni (Magnet Forensics), Christopher Vance (Magnet Forensics)

 
Sur un smartphone, l'absence d'une application n'est pas une preuve qu'elle n'a jamais été installée. Une application laisse toujours des traces derrière elle, il faut juste savoir où les trouver. Typiquement, le fichier AppicationState.db contient la localisation des applications installées. Cependant, ce n'est pas le cas des applications non purgées (offloaded)... S'il est bien une donnée qu'il faut connaître, c'est le BundleID, à savoir le nom réel d'une application (ex : com.reddit.Reddit) qu'il est possible de rechercher directement dans le système, ce qui peut économiser quelques minutes de recherches dans les fichiers. Il est possible de retrouver de précieux timestamps dans les journaux d’événements d'installation/désinstallation voir dans certains fichiers de bases de données (Store, DAAP, ScreenTime... ) de l'appareil permettant de suivre le temps d'utilisation de l'application ou bien sa date d'achat grâce à l'AppleID. Sur Android, les statistiques d'utilisation de chaque application sont conservées dans Usagestats, un fichier contenant notamment la date de chaque événement, ce qui est bien plus pratique pour l'investigateur. Bref, il est relativement difficile de supprimer complètement toutes les données d'une application après sa désinstallation. Pensez à trouver le BundleID de l'application malveillante recherchée !

 



Shedding Light on the macOS Spotlight Desktop Search Service - Dr. Vico Marziale (BlackBag Technologies)


Spotlight Desktop Search est le service de recherche de fichiers sur MacOS. C'est un immense index de meta-données qui recèlent des informations qui peuvent se révéler utiles. Mais contrairement à ce que l'on pourrait imaginer, Spotlight Desktop Search n'utilise pas les inodes des fichiers mais une valeur numérique bien à lui. Parmi ces informations, on peut retrouver par exemple la date et le temps d'utilisation du fichier. En explorant la structure du fichier .store.db, on se rend compte que ce dernier contient des dates, des noms de fichiers et même l'historique et marques-page Safari ou Evernote au niveau utilisateur. Il existe des outils en ligne de commande permettant d'obtenir ces informations sans plonger au coeur de .store.db comme mdutil, mdimport... ou d'autres plus polyvalents comme Illuminate, en ligne de commande également.
Pendant de la conférence, une mindmap était dessinée en direct, véritable synthèse en image du contenu de chaque présentation... Une prouesse technique hors du commun et absolument remarquable.

Mindmap-DFIRSUMMIT1_digitalsecurity

Mindmap2_DFIR_digitalsecurity

Minmap3DFIR_digitalsecurity
©Crédits photo : @N1aKan

 
 
La première journée de conférences s'est clôturée par une session d'exercices de DFIR - un cas de réponse sur incident réaliste - en partant d'une application Web un peu bavarde à l'audit d'intégrité de plusieurs VM hébergées dans le cloud Google. Les participants se regroupent en équipes polyvalentes d'une dizaine de personnes, selon les métiers réels de chacun, comme dans le cas d'une entreprise où l'on ferait équipe avec les équipes réseau, les analystes forensic, les équipes de réponse sur incidents et les SOC/CERT. Ensemble, chaque équipe disposera d'une petite heure afin de comprendre le contexte, d'identifier les brèches et retracer ce qu'il s'est réellement passé sur les serveurs.


©Crédits photo : @DFIRSummit

 
 
Le DFIR Summit, finira sur un débat opposant deux équipes composées des différents intervenants digne d'un reality show américain. Arbitrairement, chacune des équipes doit se concerter afin de trouver des arguments contre ou pour le sujet proposé et c'est là qu'est tout l'intérêt de l'exercice... Nous aurons le plaisir de voir Rob Lee prôner la collecte de preuves dans le forensic réseau contre Philip Hagen préférant l'analyse sur disque (ndlr : Rob Lee étant formateur dans le domaine de l'analyse de disque/mémoire et Philip Hagen dans le forensic réseau). On n'échappera évidemment pas au débat Windows contre Mac, mais orienté analyse DFIR ici.

La remise des prix Forensic 4:Cast des différents concours DFIR 2019 (meilleur blog, article, investigateur, outil... ) clôturera l'événement sur la bonne humeur et sous les applaudissements de tous.
 

©Crédits photo : @danmiami


 

Exposants et ravitaillement

 
En parallèle des conférences, de nombreux exposants sont également présents tel que Endgame, AccessData, IBM ou Magnet Forensics. L'espace est évidemment plus orienté commercial mais cela n'empêche pas de discuter du métier et des conférences avec les animateurs des stands, car en effet là plupart aussi sont la pour assister à la conférence. C'est donc l'endroit idéal pour échanger les cartes de visites, réseauter et bien sur faire le plein de goodies :)
A chaque pause, nous sommes également plutôt gâtés sur le plan culinaire. La SANS pense à ses participants et offre des plateaux de pâtisseries, des chocolats SANS (collector !) entre les conférences avec soda à volonté toute la journée et pour le midi et le soir, un buffet chaud est servi avec des petits four. On ne manque de rien.
 
standDFIR_digitalsecurity
©Crédits photo : @N1aKan



C'est sans compter le social event organisé le soir de la première journée, se déroulant au SPiN, un bar plutôt original où bière et ping pong font bon ménage. Et oui, pendant que certains sirotent leurs verres et picorent dans les planches, d'autres s'affrontent au tournoi de ping pong très sérieusement au milieu de tout ce beau monde.
 
spinDFIR_digitalsecurity

©Crédits photo : @N1aKan , @DFIRSummit




En bref, le DFIR Summit est une excellente conférence technique organisée et millimétrée au poil de bison près pleine de conférences de qualité au même titre que ses intervenants, dont la plupart sont formateurs, voir auteurs, SANS. C'est aussi l'occasion d'avoir des discussions extrêmement enrichissantes avec de nombreux experts en forensic sur divers cas d'investigation que l'on ne croise pas forcément au quotidien, dû à la diversité du métier et des clients, mais aussi d'échanger sur les méthodes et outils de chacun (en plus de visiter Austin, une ville fort sympathique !).



 

Escapade à Austin (bonus)


Dès que l'on parle du Texas, les mots qui nous viennent en tête sont "armes", "cowboy", "Santiag". Rien de tout ça à Austin. Bien sur, on retrouve le paysage américain des rues et bâtiments gigantesques où tout est fait pour la voiture et des pick-up à tous les coins de rues. Mais la particularité d'Austin c'est que la ville est étonnamment verte. De nombreux parcs, foulés par des joggers protéinés à toute heure, entourent la ville. C'est une ville assez jeune et assez animée en soirée.


Austin_digitalsecurity1

Austin2_digitalsecurity

Austin3_digitalsecurity

Austin44_digitalsecurity

Austin5_digitalsecurity1

Austin6_digitalsecurity
©Crédits photo : @N1aKan
 


 

Le must, par les 40°C à l'ombre, c'est tout de même la source d'eau naturelle dans laquelle il fait bon se prélasser ou faire du canoë, avant la sortie des écoles... Cependant, la source même est privatisée par la ville, l'ayant transformée en piscine municipale. Si l'on ne veut pas infuser avec toute la population Texane, il est conseillé de poser sa serviette quelques mètres plus loin au calme sur les berges naturelles de la rivière où l'eau reste incroyablement transparente et à 23°. Quoi de mieux pour se rafraîchir et profiter d'un petit coin de nature en pleine ville loin de la foule.
 
AustinRiver1_digitalsecurity

AustinRiver2_digitalsecurity
©Crédits photo : @N1aKan

 
 
Austin est également connue pour être la capitale de la musique blues, jazz et country. Mais son attraction phare est sans doute sa batcave. Lors de la construction du pont de Congress Avenue, des milliers de chauve-souris mexicaines ont élu domicile dans la structure, offrant tous les soirs à la tombée de la nuit, un spectacle impressionnant. Ne vous attendez pas non plus à une sortie à la Batman. D'abord, on ne verra que quelques spécimens téméraires virevolter autour du pont, auxquel s’agrégeront petit à petit le reste des mammifères nocturnes formant ainsi une longue traînée tout autour d'Austin.
 
BatCave_digitalsecurity
©Crédits photo : @N1aKan


 
Au final, ce n'est qu'une petite journée de visite, les jours restants étant dédiés à la conférence et au vol. Car Paris-Austin c'est tout de même 13h de vol sans compter les escales de plusieurs heures à l'aller comme au retour (Détroit et Atlanta). Autant dire qu'il faut s'armer d'un peu de patience et de beaucoup de jerky beef !

Pour clôter ce billet, j'aimerais remercier toutes les personnes m'ayant donné leur vote au concours SANS DFIR Summit, concours de design de la marque de sneaker VANS sur le thème du Forensic, sans qui ce voyage n'aurait pas été possible - et qui a permit à certains participants de parader avec durant la conférence :)

Vans_digitalsecurity