Dans cette suite d'articles, je vous propose de suivre les exercices du CTF du FIC 2021 proposés par l'école EPITA afin de découvrir certains outils et méthodes de forensic (investigation numérique). Ces éléments peuvent être utilisés dans un grand nombre de contextes pour effectuer des recherches sur des évènements du quotidien, mais aussi afin de sensibiliser sur les bonnes et mauvaises pratiques, tant en matière de sécurité que de réponse à incident.
Je profile de ce premier article pour remercier les personnes qui ont crées ces challenges qui permettent de travailler sur des contextes d'attaques réalistes, ce qui est un vrai plus lorsque l'on aborde ce domaine.
II. Contexte : Panic on board - PhishingBoat
Le contexte de l'incident sur lequel nous intervenons est le suivant : Un bateau de croisière de la compagnie maritime ArMor, a subi une panne et se retrouve bloqué en pleine mer.
Le 30 août 2020, lors d’une traversée reliant Marseille à Pointe-à-Pitre, le ‘Sea Castle’, navire pouvant embarquer jusqu’à 8030 passagers, a subi une avarie de propulsion et s’est retrouvé bloqué à plus de 150 kilomètres de sa destination. Après avoir effectué des vérifications mécaniques et matérielles, l’équipage pense que la panne provient de l’informatique. Dans le doute, des investigations préalables sont menées chez RH Pro, un contractant offrant une solution de gestion RH.
La première simulation du challenge est la suivante : PhishingBoat - Le poste de Christian Deloin, consultant junior fraîchement arrivé chez RH Pro, est peut-être compromis. Passez au peigne fin la boîte de réception de Monsieur Deloin afin de déterminer si elle constitue le point d’entrée d’une attaque.
Le challenge nous propose de mener une investigation afin de répondre aux questions suivantes :
date de réception du mail;
adresse source de l'email malveillant;
la CVE qui semble être utilisée.
Pour investiguer, deux fichiers nous sont fournis :
Un hash est une empreinte numérique unique d'un fichier. Les hashs sont systématiquement utilisés en forensic afin de s'assurer qu'un fichier n'a pas été altéré entre le moment de son acquisition et le moment de son analyse. Cette vérification permet de s'assurer de l'intégrité des objets contenant les preuves récoltées. Ce qui évite que les conclusions de l'investigation ne soient remises en cause.
On commence donc par vérifier l'intégrité des fichiers récupérés à l'aide de la commande b2sum qui utilise l'algorithme de hachage BLAKE2 :
Maintenant que nous sommes sûrs de travailler sur des fichiers non altérés, nous pouvons continuer notre investigation.
Une seconde phase importante est la récolte et la compréhension des éléments de contexte, qui sont utiles pour orienter nos recherches et notre méthodologie. Ici, on nous indique qu'un navire de croisière a subi une attaque informatique, visiblement par l'intermédiaire d'une solution de gestion RH et de la boite mail d'un certain Mr Deloin. Les fichiers PDF fournis dans l'archive documents.zip nous permettent d'ailleurs de comprendre l'organisation de l'entreprise ainsi que d'obtenir la liste des adresses mail des utilisateurs.
III. Analyse de la boite mail
Dans un premier temps, nous allons nous intéresser à la boite mail fournie. Le format du fichier (.mbox) n'est qu'un simple fichier texte.
La boite mail contenant plusieurs dizaines de mails avec chacun leurs en-têtes, contenus et pièces jointes, cela rend la recherche peu agréable. D'après cette source, il est possible d'utiliser Thunderbird pour interpréter ce fichier .mbox, puis de parcourir les mails de l'utilisateur de façon un peu plus visuelle.
Il faut pour cela créer un nouveau profil dans Thunderbird, puis déposer dans le répertoire /home/<user>/.thunderbird/<profileID>.default-release/Mail/Local Folders notre fichier .mbox, et enfin redémarrer Thunderbird. Suivre cette procédure pour plus détails. Au redémarrage, un fichier local contiendra nos mails :
Affichage des mails du fichier .mbox dans Thunderbird
La difficulté principale ici est de différencier les mails légitimes, des mails suspects. Nous pouvons, dans un premier temps, regarder les adresses émettrices des mails. À première vue, rien ne saute aux yeux, pas de cliquez-ici@attaquant.fr ;). Pour trouver des idées d'attaques et d'éléments sur lesquels investiguer, nous pouvons nous pencher sur la matrice ATT&CK du MITRE, qui contient une section sur les attaques par phishing (technique T1566.01) :
Extrait de la technique T1566.01 du MITRE ATT&CK
La matrice ATT&CK du MITRE est une base de connaissance reconnue et utilisée pour référencer les techniques d'attaques, décrire ces techniques ainsi que les moyens de détection et de protections associées. Il s'agit d'une source d'information très intéressante pour un grand nombre de métiers (informatique/cybersécurité), que l'on soit du côté "attaquant" ou du côté "défense". La matrice est maintenue à jour en fonction des attaques et scénarios réels observés et contient notamment des références, pour chaque technique présentée, de cas réels d'utilisation, par exemple :
Exemples de cas réels d'attaque par des APT utilisant des techniques de phishing
Nous pouvons dans un premier temps effectuer une recherche sur les e-mails contenant une pièce jointe, principal vecteur d'intrusion :
Visualisation des mails contenant une pièce jointe
L'une des recommandations présentées dans le MITRE ATT&CK concerne le fait de former les utilisateurs à reconnaitre des mails de phishing :
Section "Mitigations" contre les techniques d'attaque par Phishing proposées par le MITRE
Je m'oriente donc sur une lecture plus fine des adresses émettrices. On peut notamment partir à la recherche des noms de domaine de type homoglyphe (description dans cet article: Protéger son domaine contre le Phishing : techniques basées sur l’OSINT) c'est-à-dire les noms de domaine qui remplacent une lettre par une autre afin de tromper la vigilance de l'utilisateur (www.it-comnect.fr au lieu de www.it-connect.fr).
Pour cela, je décide de récupérer tous les noms de domaine des adresses émettrices et de comparer leurs hashs, ce qui sera bien plus fiable qu'une lecture à l'œil nu par un cerveau pouvant être berné :), j'utilise pour cela ce petit script fait pour l'occasion :
Nous détectons ici un nom de domaine qui diffère des autres, bien que visuellement similaire, je ne l'avais en effet pas vu lors de la vérification sous Thunderbird : arnor.com. Il semble donc que l'émetteur ait ici souhaité tromper sa cible avec un nom de domaine homoglyphe, ce qui semble suspect dans notre contexte. Nous avons mis la main sur un vecteur d'intrusion probable.
Nous pouvons répondre aux deux premières questions :
Date de réception du mail : 30/07/2020
Adresse source de l'email malveillant : support@arnor.com
IV. Analyse d'une pièce jointe malveillante
Nous avons identifié un vecteur d'intrusion, il nous faut maintenant déterminer sa charge utile. Nous allons à présent nous intéresser à la pièce jointe de ce mail, il s'agit d'un fichier PDF semblant être une documentation relative à un VPN :
Pièce jointe du mail suspect identifié
Les fichiers PDF ont un format structuré simple (venant du PostScript) mais peuvent intégrer de nombreux autres types de fichiers, langages et fonctionnalités (JavaScript, fichiers exécutables, actions à l'ouverture du fichier, chiffrement, etc.), le tout pouvant rendre leur analyse complexe.
Nous allons utiliser différents outils et commandes afin de tenter d'évaluer la dangerosité de ce fichier PDF, voire d'y trouver du contenu malveillant. À commencer par l'outil pdfid.py, qui va nous donner un aperçu des objets contenus dans ce fichier PDF.
Analyse des objets contenus dans un fichier PDF par pdfid.py
Nous voyons ici plusieurs éléments qui peuvent nous alerter. Le fichier PDF semble contenir du JavaScript (/JavaScript, /JS) ainsi que des instructions permettant le lancement d'actions à l'ouverture du fichier (/OpenAction, /Launch et /AA). L'outil pdf-parser.py nous permettra de lire et décomposer le contenu du fichier PDF.
$ pdf-parser.py doc_vpn.pdf
En parcourant le contenu du fichier PDF, on remarque l'objet portant l'identifiant 279 :
Celui-ci tente de lancer un cmd.exe. Dans le cadre du challenge, plusieurs CVE sont proposés et nous devons indiquer laquelle est exploitée par ce fichier PDF. Dans le cas présent, seule la CVE-2010-1240 concerne les fichiers PDF. La question est donc vite répondue
Cette vulnérabilité concerne Acrobat 9.x avant la version 9.3.3, et 8.x avant la version 8.2.3, elle est due à un manque de restriction concernant un champ texte de la boite de dialogue d'avertissement : CVE-2010-1240
J'espère que ce premier article vous aura mis l'eau à la bouche, je compte bien continuer cette série afin d'explorer avec vous d'autres attaques, méthodologies et outils permettant d'investiguer des cas d'attaques que tout le monde peut croiser. Le prochain article portera sur l'analyse d'une trace réseau afin de déterminer l'activité d'un attaquant.
Je vous invite en attendant à vous rendre sur le site du MITRE afin de découvrir la matrice ATT&CK : https://attack.mitre.org/
Le premier cas public de la vulnérabilité Log4Shell de Log4j utilisée pour télécharger et installer un ransomware a été découvert par les chercheurs en sécurité de Bitdefender. Il fallait s'y attendre.
Log4Shell, la faille critique qui se trouve dans la bibliothèque Log4j touche énormément de produits et services, et comme elle peut être exploitée à distance sans authentification, c'est une aubaine pour les pirates informatiques. Certains comptent bien l'utiliser comme point d'entrée pour déployer un ransomware sur le serveur de la victime. Si vous utilisez des produits qui s'appuient sur Log4j, vous devez réaliser la mise à jour dès que possible d'autant plus si le service est exposé sur Internet.
Les chercheurs en sécurité de Bitdefender ont découvert un premier cas avec un nouveau ransomware nommé "Khonsari". En exploitant la faille Log4Shell, une classe Java est téléchargée à partir de "hxxp://3.145.115[.]94/Main.class" et exécutée par l'application Log4j. Ensuite, un binaire .NET est téléchargé sur le serveur afin d'installer le ransomware Khonsari. Pour les extensions de fichiers chiffrés, c'est le même nom qui est utilisé et un fichier "How to get your files back.txt" est déposé sur le serveur avec quelques informations. Ce qui est surprenant, c'est qu'il n'y a pas d'information sur l'attaquant ni la quelconque information quant au montant de la rançon à payer. Le ransomware Khonsari se veut avant tout destructeur.
La méthode de chiffrement employée par Khonsari serait valide et par conséquent il n'est pas possible de déchiffrer les données gratuitement (à moins qu'un outil de déchiffrement gratuit sous publié par la suite...). S'il n'est pas possible de payer la rançon, les choses s'annoncent compliquées.
Les réseaux sociaux font désormais partie intégrante de notre vie quotidienne, si bien que certains en font même leur métier. Sans aller jusque-là, vous avez peut-être l'ambition de percer sur un de ces réseaux, voire plusieurs. Nous n'allons pas vous mentir, ce n'est pas une chose facile à réaliser, mais il existe quelques règles à suivre afin d'y parvenir. Par exemple, savez-vous que, si vous souhaitez booster un compte Instagram, vous pouvez obtenir des likes en les achetant ? Bien entendu, si nous vous parlons de cela, c'est qu'il y a des avantages certains, et, qu'en choisissant un revendeur sérieux comme Premlike, vous pourrez avancer en toute sérénité. Bref, on vous parle des réseaux sociaux en 2022.
Quelques astuces pour booster vos réseaux sociaux en 2022
La première chose à penser, si vous vous lancez dans les réseaux sociaux en 2022 (ou même après d'ailleurs, c'est une règle intemporelle), c'est de créer un contenu intéressant. Dit comme cela, nous pouvons penser que c'est une chose évidente… Cependant, de nombreux néo-influenceurs se lancent dans l'aventure en tentant d'imiter ce qui existe déjà. C'est une erreur. Pour trouver votre contenu intéressant, il vous suffit de mettre en avant les qualités que vous avez. Vous aimez l’informatique et vous avez des compétences particulières sur un thème spécifique ? Vous êtes fan de foot, notamment un club particulier ? Vous avez une passion pour la cuisine, les jeux vidéo ou autre ? Parlez-en sur les réseaux sociaux !
La seconde astuce que l'on pourrait vous donner, c'est d'être régulier. Avant de vous lancer, pensez bien à une chose : pour percer sur les réseaux sociaux en qualité d'influenceur, cela demande du travail. Ne vous lancez pas dans ce projet sur un coup de tête, dites-vous bien que cela risque de vous prendre un peu de temps chaque jour, et même de plus en plus au fil des mois, voire des années. D'ailleurs, vous découvrirez que votre implication dans les réseaux sociaux ne s'arrête pas à poster des choses, non, c'est aussi être proche de votre communauté et être présent pour eux. C'est de cette façon que vous parviendrez à nouer des liens avec vos abonnés !
Enfin, et c'est une chose ô combien importante : veillez à bien choisir le réseau social qui vous convient. Par exemple, si vous êtes plutôt généraliste, Facebook est parfait. A contrario, si votre cible est plutôt un public jeune, se tourner vers Snapchat ou Tiktok (avec de courtes vidéos pour ce dernier) est plus judicieux. Enfin, si vous êtes plutôt professionnel, se tourner vers Twitter, YouTube ou (encore lui) Facebook est plutôt adapté. C'est pourquoi, avant de vous lancer, vous allez devoir trouver la cible de votre stratégie sur les réseaux sociaux.
Acheter des likes, abonnés ou partages avec Premlike, le bon plan ?
Une fois ces trois conseils en tête, vous allez pouvoir commencer petit à petit à vous faire un nom sur le réseau social que vous avez choisi. Cependant, il arrivera forcément un moment ou un autre où vous n'arriverez pas à décoller… C'est pourquoi, il peut être intéressant de donner un petit coup de boost à votre stratégie. Pour cela, il va vous falloir investir, mais dans quoi ? Vous avez d'ores et déjà lu le titre de cette partie : nous parlons d'achat de likes, d'abonnés ou même de partage. Avec un partenaire comme Premlike, vous pouvez faire tout cela, et, la bonne nouvelle, c'est qu'il s'agit ici d'un service de qualité qui propose même une garantie de 6 mois sur ses prestations !
Ainsi, vous pouvez, entre autres, acheter des likes auprès de comptes réels (et non des bots comme l'on peut avoir un peu partout sur le net), et profiter d'une visibilité au-dessus de la moyenne. D'ailleurs, vous pourriez très bien vous demander à quoi cela sert d'acheter ce genre de choses ? La raison est simple : plus vous êtes populaire sur un réseau social, plus vous êtes mis en avant auprès d'autres utilisateurs. C'est de cette façon que vous pourrez engranger d'autres abonnés, likes ou partages que ceux de Premlike. Nous vous conseillons de tester, les formules sont nombreuses et accessibles, vous pourrez vous faire une idée par vous-même.
Je profite de cet article pour préciser que je n’ai jamais eu recours à l’achat de followers ou d’abonnés, même si cette possibilité existe et qu’elle est courante.
Bref, les réseaux sociaux vont prendre de plus en plus de place dans notre vie (voyez plutôt l'arrivée de Meta qui va d'ailleurs abandonner la reconnaissance faciale), il serait dommage de passer à côté, alors que, de nos jours, tout est encore possible.
Pour devenir influenceur, il faut également avoir un minimum de talent, car il n’existe pas de diplôme « Comment devenir influenceur ? ». Que vous soyez étudiant, salarié, diplômé ou non, tout le monde peut avoir sa chance, mais il faut être capable de la saisir au bon moment.
La société Teclib' a mis en ligne la première version bêta de GLPI 10, la prochaine version majeure du très célèbre outil de gestion de parc informatique. C'est un moment important dans la vie de ce logiciel qui est très répandu dans les entreprises : il mérite cet article.
Tout d'abord, GLPI 10 va bénéficier d'une toute nouvelle interface avec des fonctions pour améliorer l'expérience utilisateur ! Le menu horizontal va disparaître au profit d'un menu sur la gauche, dans le même esprit que sur WordPress, par exemple. À partir des paramètres, il sera possible de rétablir le menu horizontal, à la position habituelle sur GLPI. L'autre grand changement au niveau de l'interface, c'est qu'elle sera responsive c'est-à-dire qu'elle s'adaptera à la taille de l'écran sur mobile et tablette !
Pour inventorier son parc informatique sous GLPI, jusqu'ici il fallait passer par l'utilisation d'un agent tiers à déployer sur les machines : soit Fusion Inventory, soit OCS Inventory. Désormais, GLPI 10 va gérer nativement l'inventaire des machines avec son propre agent à déployer sur les machines. Cet agent est un fork de l'agent Perl de Fusion Inventory.
De nouvelles fonctionnalités vont être intégrées à cet agent :
Une nouvelle interface autonome (nommée Toolbox) permettant la configuration des découvertes et inventaires réseaux.
Un mode proxy amélioré pour permettre la remontée d’inventaires depuis des réseaux distants.
Le support d’inventaire distant (agentless), pour le moment avec le support des protocoles WinRM (windows) et SSH (Linux/Unix).
L’inventaire des serveurs de bases de données.
Un nouveau protocole d’échange avec le serveur GLPI au format JSON supportant l’inventaire partiel.
Bientôt, la gestion des tâches d’inventaire distant, y compris pour les interrogations ESX.
Un support amélioré de Windows avec notamment des paquets MSI.
Le support natif de MacOS X Big Sur et de la nouvelle puce Apple Silicon M1.
L'agent GLPI pourra être déployé sur les machines en remplacement de l'agent Fusion Inventory puisqu'il est compatible avec la partie serveur de Fusion Inventory (c'est-à-dire le plugin côté GLPI), même si GLPI 10 intègre nativement la partie serveur désormais. Par ailleurs, l'agent GLPI pour Android est disponible sur le Play Store depuis plusieurs semaines.
Personnellement, je me dis que c'est une mauvaise nouvelle quant au projet Fusion Inventory en lui-même.
Dans ce tutoriel, nous allons voir comment installer et configurer Squid Guard sur un pare-feu PfSense pour permettre à notre proxy Squid d'effectuer du filtrage de sites Web basé sur des catégories, via une blacklist.
Au sein de Squid, sans Squid Guard donc, on peut mettre en place des ACLs et notamment bloquer des noms de domaine. Le problème, c'est que l'on ne peut pas créer de catégories pour regrouper plusieurs domaines, et on ne peut pas non plus créer des restrictions selon des plages horaires. Embêtant.
Grâce à Squid Guard, on va pouvoir utiliser une Blacklist existante, c'est-à-dire une liste noire de domaines organisés par catégories, afin d'affiner le filtrage au sein de notre proxy Squid. En complément, on pourra mettre en place des règles en fonction de plages horaires, de groupes utilisateurs, etc. De cette façon, vous allez pouvoir configurer votre proxy de manière à bloquer tous les sites liés à la pornographie.
La mise en place de Squid Guard nécessite au préalable d'avoir mis en place un proxy avec Squid puisque ce paquet vient en complément. Je vous invite à suivre mon tutoriel sur le sujet : Tutoriel - Proxy transparent avec Squid sur PfSense
II. Installation de Squid Guard sur PfSense
L'installation de ce paquet sur PfSense passe par le menu habituel sous "System", puis "Package manager". Dans la section "Available Packages", recherchez "squid" et vous devriez voir le paquet Squid Guard apparaître. Il ne reste plus qu'à cliquer sur le bouton "Install".
Une fois que c'est fait, nous pouvons passer à la configuration via le menu "Services" où se trouve une entrée "SquidGuard Proxy Filter".
III. Configuration de Squid Guard sur PfSense
Pour le moment, on va s'intéresser à l'onglet "General Settings". N'allait pas trop vite : ne cochez pas l'option "Check this option to enable SquidGuard" pour le moment, car il faut le préconfigurer avant de l'activer.
Cochez les deux options suivantes pour activer les logs : "Enable GUI Log" et "Enable log".
Au sein de la section "Blacklist", cochez l'option "Check this option to enable blacklist" afin d'activer l'utilisation d'une blacklist, c'est-à-dire une liste noire. Nous allons utiliser la liste noire de L'Université Toulouse Capitole, car elle est française, fiable et elle existe depuis depuis plusieurs années. Elle contient de nombreuses catégories afin de répartir les sites et permettre un blocage ciblé selon certaines catégories.
Ensuite, renseignez l'option "Blacklist URL" avec l'URL suivante :
Maintenant, basculez sur l'onglet "Blacklist" de SquidGuard. Cliquez sur le bouton "Download" pour télécharger la dernière version de la liste noire que nous avons renseignée dans les paramètres de SquidGuard.
Afin d'exploiter la liste noire, nous devons créer des règles sous la forme d'ACL. Cliquez sur "Common ACL" afin de créer une règle de base et commune au sein de Squid, tandis que la section "Groups ACL" permet de créer des ACL ciblées avec plusieurs critères (par exemple : "bloquer une catégorie selon une plage horaire spécifique" ou "bloquer une catégorie à tous les membres d'un groupe Active Directory").
Au sein du champ "Target Rules List", vous avez la liste de toutes les catégories récupérées à partir de la blacklist toulousaine.
Je vous propose de bloquer la catégorie "VPN" correspondante à "[blk_blacklists_vpn]", il faut donc modifier la valeur du champ "access" pour préciser "deny". En complément, pensez à configurer la valeur du champ "Default access [all]" sur "allow" pour autoriser toutes les autres catégories (par défaut).
Afin d'éviter qu'un petit malin contourne la restriction en précisant l'adresse IP du serveur distant à la place du nom de domaine, cochez l'option "Do not allow IP-Addresses in URL". En complément, si vous souhaitez utiliser la fonction SafeSearch des moteurs de recherche, cochez la case "Use SafeSearch Engine", tout en sachant que cela permet d'utiliser Google, Bing, DuckDuckGo, Qwant, etc.
Enfin, activez les logs pour cette règle en cochant l'option "Log" tout en bas, puis cliquez sur "Save".
La configuration étant prête, retournez dans "General Settings", cochez l'option "Check this option to enable SquidGuard" et cliquez sur "Apply".
Le statut du service SquidGuard doit changer et passer sur "STARTED". Si ce n'est pas le cas, vérifiez que Squid est bien démarré de son côté.
Remarque importante : à chaque fois que vous modifiez la configuration de Squid Guard (exemple : bloquer une catégorie supplémentaire), il faut impérativement venir dans l'onglet "General Settings" pour cliquer sur le bouton "Apply" sinon les modifications ne sont pas prises en compte !
À partir d'un poste client, tentez d'accéder à un site en rapport avec la thématique "VPN", comme le site de NordVPN et vous verrez que la connexion est en erreur. En réalité, c'est SquidGuard qui est intervenu pour bloquer la connexion à ce site, conformément à la politique de filtrage mise en place.
Pour aller plus loin, je vous invite à regarder deux onglets en particulier : "Times" pour créer des plages horaires" et "Groups ACL" pour créer des règles basées sur plusieurs critères. Sachez également que la section "Target categories" vous permet de créer des listes personnalisées.
