SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu de la conférence Hack-In-The-Box (HITB) Amsterdam 2018 - 12 et 13 avril 2018



Wavestone était présente à l’édition 2018 de la conférence de sécurité Hack-in-the-box (HITB) à Amsterdam, où Thomas DEBIZE, de la practice Cybersecurity & Digital Trust, a eu la possibilité de présenter des travaux autour de techniques modernes pour la réalisation de tests d’intrusion (https://conference.hitb.org/hitbsecconf2018ams/materials/D1%20COMMSEC%20-%20Thomas%20Debize%20-%20Modern%20Pentest%20Tricks%20for%20Faster,%20Wider,%20Greater%20Engagements.pdf)

Nous vous proposons ci-dessous le compte-rendu d’une sélection de talks, les supports de présentations étant d’ores et déjà disponibles à l’adresse suivante https://conference.hitb.org/hitbsecconf2018ams/materials/ tandis que les vidéos seront bientôt publiées sur la chaine YouTube de la conférence.

Nous tenons à remercier les organisateurs pour leur accueil chaleureux, la logistique et des activités post-conférence très appréciables ! 

Pour information, après Amsterdam, Singapour et Pékin, HITB sera également présente à Dubai en 2018.

BRIDA: When Burp Suite Meets Frida - Federico Dotta & Piergiovanni Cipolloni

BRIDA est un plugin de l’outil de test d’intrusion Web « Burp Suite » dont le principe est d’effectuer une passerelle avec l’outil d’instrumentation dynamique « Frida ». L’objectif est de faciliter le travail des auditeurs qui, notamment lors de tests d’intrusion pour des applications mobiles, sont souvent amenés à réimplémenter une fonction spécifique de l’application (chiffrement applicatif, signature de message côté client etc.) pour pouvoir effectuer leurs tests.


A travers le composant d’intermédiation « Pyro4 » effectuant la passerelle entre « Burp Suite » et  « Frida », BRIDA permet ainsi de tirer parti des fonctionnalités avancées de ces deux outils. 

Invoke-DOSfuscation: Techniques For %F IN (-style) DO (S-level CMD Obfuscation) - Daniel Bohannon

Daniel Bohannon, chercheur chez FireEye, est spécialisé dans l’analyse des techniques d’obfuscation. Les travaux présentés lors de ce talk sont issus des techniques d’obfuscation de commandes DOS observées dans la nature, entre autres par le groupe « FIN7 », plus connu sous le nom de « Carbanak » :


Suite à ces observations de cas réels, le chercheur a creusé la syntaxe des commandes DOS afin de déterminer comment un attaquant pourrait obfusquer ses commandes dans l’objectif d’évader les équipements d’analyse. 

Très concrètement, les recherches effectuées permettent de rendre équivalentes les deux commandes suivantes :


Toutes les techniques découvertes ont été consolidées dans l’outil « Invoke-DOSfuscation » (https://github.com/danielbohannon/Invoke-DOSfuscation).

Keynterceptor: Press Any Key To Continue - Niels van Dijkhuizen

Le chercheur a tout d’abord rappelé l’historique des outils permettant de réaliser des attaques « USB HID » qui, à l’image du fameux « Rubber Ducky », permettent de transformer une clé USB en périphérique clavier saisissant des commandes automatiquement sur le poste ciblé. 

Après avoir énoncé les composants de protection physique contre ces attaques (USG, USB Protection Guard etc.), l’auteur a montré une vidéo de démonstration d’une solution comprenant :
  • Une station de base à connecter sur le réseau de l’entreprise ciblée, disposant d’un module de communication UART 433 MHz ainsi que d’un module de communication 4G afin de rendre l’accès à distance possible à l’attaquant
  • Un boitier USB, sur lequel le clavier de la victime est branché, communiquant en UART 433 MHz avec la station de base



Digging Deep: How To Find And Exploit Bugs In IoT Devices – Kelvin WONG

Le chercheur a évoqué ici les différentes techniques d’attaque de systèmes embarqués, équipements principalement retrouvés dans l’écosystème IoT. Les méthodes de dump de firmware via JTAG, UART, ISP et Chip-Off  (extraction du microcontrôleur et analyse « hors-ligne ») ont été illustrées avec des exemples concrets, et le chercheur a notamment révélé avoir réussi à extraire le firmware des équipements Amazon Alexa et Google Home Mini.


Mallet: Towards A Generic Intercepting Proxy – Rogan Dawes

Les chercheurs en sécurité ont toujours été confrontés à la difficulté d’analyser la sécurité de protocoles pour lesquels il n’existe pas, au moment des tests, d’outil d’interception/rejeu/modification fiable. Dans cette situation, le chercheur doit alors développer son propre outil, entrainant ainsi une perte de temps, en plus du sentiment de réinventer la roue.

Avec l’avènement de l’IoT et des protocoles machine-to-machine légers n’utilisant pas HTTP comme transport, les chercheurs sont de plus en plus confrontés à cette situation avec les protocoles MQTT, CoAP etc.

Après avoir rappelé l’historique des outils permettant de proxifier des protocoles hors-HTTP, Rogan a proposé et détaillé un nouvel outil « Mallet » basé sur la bibliothèque « Netty », utilisée dans l’analyse de trafic chez les géants du Web et disposant d’une multitude de décodeurs protocolaires :






Mind The Gap: Uncovering The Android Patch Gap Through Binary-Only Patch Level Analysis - Karsten Nohl & Jakob Lell

L’objectif des travaux présentés durant ce talk a été de mesurer de manière statistique l’écart effectif entre le niveau de patch de sécurité disponible à un instant T pour le système Android, versus le niveau de patch proposé par les principaux constructeurs de téléphone de cet OS.

Pour effectuer cette évaluation, les chercheurs ont compilé toutes les variantes de sources Android (constructeurs, plateformes, révisions etc.), requérant un travail d’ingénierie important :







Après avoir présenté les résultats de l’étude, les chercheurs ont rappelé et insisté sur le fait que les différences en matière de patch de sécurité sur Android n’impliquent pas directement de faille critique sur le système, car il est nécessaire de disposer d’une chaine d’au moins 4 vulnérabilités différentes pour compromettre globalement un terminal :


Enfin, les chercheurs ont présenté l’outil « SnoopSnitch » disponible sur le Play Store et permettant d’évaluer l’écart de patch, et ainsi d’exposer la surface d’attaque à laquelle un téléphone est soumis.

In Through The Out Door: Backdooring & Remotely Controlling Cars With The Bicho - Sheila Ayelen Berta & Claudio Caracciolo

Les chercheurs ont présenté un périphérique nommé « el bicho » consistant en une porte dérobée physique à connecter sur un port ODB2 disposant d’un module 4G afin d’envoyer des commandes sur le bus CAN à distance par SMS, notamment des commandes pour désactiver un ECU par flooding.


Les chercheurs ont indiqué que le design et le firmware de ce périphérique ne seraient pas rendus open-source.

Par ailleurs ces chercheurs sont également à l’initiative de la plateforme Web « opencandb » où chacun peut partager les frames CAN et leur fonction observées sur son véhicule :





Call Me Maybe: Establishing Covert Channels By Abusing GSM AT Commands - Alfonso Munoz & Jorge Cuadrado Saez

Les deux chercheurs ont présenté différentes techniques de transfert d’information par canaux cachés entre deux téléphones mobiles au moyen de commandes AT, ces commandes constituant la norme GSM. 

Les auteurs ont par ailleurs eu pour objectif de prouver qu’il est possible d’effectuer ces transferts de manière totalement anonyme en :

  • Construisant son propre téléphone, et en rendant son design open-source (https://github.com/jorcuad/FreePhone/wiki ) :



  • Achetant des cartes SIM prépayées incognito, alors que la loi dans de nombreux pays impose aux opérateurs de disposer de l’identité de tous les abonnés à son réseau


  • Utilisant uniquement des méthodes de communication n’impliquant pas de frais
La principale technique utilisée a été la réalisation d’un l’appel manqué (pas de décrochage, pas de frais) couplé à l’envoi d’information via la présentation du numéro appelant. Cette technique, bien qu’efficace, n’offre pas un débit très important (12 bits par minute) :


Afin d’augmenter le débit, différents numéros privés virtuels ont été utilisés, chaque numéro virtuel appelé (n) permettant de positionner le bit correspondant.



Enfin, dans un contexte où le transmetteur dispose d’une connectivité 4G, une technique utilisant un raccourcisseur d’URL ainsi que l’utilisation d’un service Web de présentation d’un numéro arbitraire a été démontrée.

Thomas DEBIZE

Aucun commentaire:

Enregistrer un commentaire