Conférence du FIRST Cyber Threat Intelligence 2019 à Londres

Date : 07 Avril 2019

Le Cert-IST a participé à la conférence du FIRST sur la Cyber Threat Intelligence (CTI) du 18 au 20 mars 2019 à Londres. Nous résumons ci-dessous quelques-unes des conférences que nous avons sélectionnées comme étant les plus intéressantes et que nous voulions partager avec nos adhérents.

A la fin du document nous avons listé les différentes conférences / workshops dont les présentations sont disponibles sur Internet pour la consultation.

 

Lundi 18 Mars. Cette journée était consacrée à des travaux pratiques (Workshops)

OPSEC for investigators and researchers
Krassimir Tzvetanov (Fastly, US)
[TLP:AMBER]

Le premier Workshop concerne l’Operation Security (OPSEC, ou sécurité opérationnelle en français), c’est-à-dire le fait de protéger les personnes qui réalisent une opération pour qu’elles ne puissent pas être identifiées. Dans le cas d’une investigation de cyber-sécurité, les chercheurs doivent agir sans se faire détecter par les attaquants. Le danger est en effet de laisser des traces que les attaquants utiliseront par la suite pour effectuer des actions de type Doxing (c’est-à-dire publier des informations personnelles) sur les investigateurs pour mettre fin à l’investigation.

Le présentateur de ce workshop a insisté sur le fait que des recherches « anodines » sur Google (recherche d’un hash par exemple), ou le simple fait d’effectuer des commandes telles que « nslookup » sur un domaine inconnu, laissent des traces et peut permettre à un attaquant de savoir qu’il a été découvert. Ce dernier par exemple peut insérer dans le code de son malware un nom de domaine qui ne sert à rien. S’il voit ensuite des requêtes DNS concernant ce domaine, il sait alors qu’une équipe de cybersécurité est en train d’analyser son malware

Pour ce qui est de l’OPSEC à proprement parler, l’orateur explique qu’il faut isoler le plus possible les différents composants logiciels utilisés lors d’une investigation pour éviter de laisser des traces qui pourraient être utilisées par les attaquants. Le présentateur a donc préparé un atelier dans lequel nous devions créer des containeurs de type linux (LXC) pour utiliser un navigateur internet (tel que « Chrome »), n’ayant aucune information concernant l’utilisateur et son poste (pas de cookie, de favoris, d’historique de navigations etc…) permettant ainsi d’effectuer des recherches sur le web sans laisser de traces intéressantes et utilisables.

 

Training: The ACT Threat Intelligence Platform
Dr. Martin Eian (mnemonic, NO)
Présentation : https://www.first.org/resources/papers/london2019/Training-The-ACT-Threat-Intelligenve-Platform-Eian.pdf
[TLP:WHITE]

Le second workshop était axé sur la structuration/l’organisation (sous forme de graphes) des données brutes de type marqueurs (IoCs) utilisés en CTI. Le but de ces graphes est de permettre une compréhension rapide des liens entre les différents marqueurs. L’outil présenté ici « The ACT Platform » est OpenSource et développé par l’entreprise Mnemonic. Il repose sur des briques OpenSource telles qu’ElasticSearch, Cassandra, Apache TinkerPop. Le but de la démonstration était de manipuler cet outil, pour ensuite récupérer des informations, du contexte, en partant d’un seul marqueur qui paraissait isolé. Cet outil permet ainsi de trouver facilement les acteurs pouvant être liés à un hash, pour ensuite remonter vers les techniques et outils (type MITRE ATT&CK) utilisés par ce groupe, récupérer le rapport citant ces IoCs etc…

 

Mardi 19 Mars (Conférences)

5 years of applied CTI discipline: where should organisations put focus on?
Andreas Sfakianakis (Royal Dutch Shell, NL)
Présentation : https://www.first.org/resources/papers/london2019/Andreas_Sfakianakis_FIRST_CTI_2019_v2.0.pdf
[TLP:WHITE]

Andreas explique que les attaques APT sont devenues « mainstream » à partir de 2009 et ont amené au développement de la CTI suite aux premiers rapports à propos d’APT1 en 2013. La CTI avait le vent en poupe à ses débuts en 2013, puis face à certaines désillusions, son adoption a été ralentie pour finalement redevenir un sujet d’intérêt ces dernières années et devenir stable. Selon l’orateur, ces 5 dernières années, l’erreur la plus commise par les équipes de CTI a été de ne pas identifier et communiquer avec les parties prenantes (entreprises souscrivant pour une offre de CTI), notamment en ne s’intéressant pas à leurs critères et leurs souhaits. Pour qu’un service de CTI soit intéressant, il faut selon lui que le client lui-même définisse ce qu’il désire obtenir comme informations/enrichissements et qu’il y ait des échanges constants (réunions) entre le client et les équipes de CTI pour effectuer des retours et ainsi améliorer la qualité des informations produites.

Il conclut sa présentation en définissant les étapes à respecter pour produire un rapport de CTI de qualité, selon lui il faut qu’il soit structuré (et qu’il garde la même structure pour chaque nouveau rapport), qu’il ne fasse pas plus de 2 pages et qu’il soit écrit en fonction de l’audience qui lira le document. L’information la plus importante à retenir de cette présentation reste le fait que pour avoir un service de CTI performant, il est impératif de définir clairement avec les clients leurs exigences et attentes, et d’inclure les parties prenantes dans des réunions pour obtenir des retours et ainsi permettre une amélioration continue du service.

 

Building, Running, and Maintaining a CTI Program
Michael J. Schwartz (Target, US); Ryan Miller (Target, US)
Présentation : https://www.first.org/resources/papers/london2019/10-Building-Running-Maintaining-Schwartz-Miller.PPTX
[TLP:WHITE]

Les deux ingénieurs en Cybersécurité de Target (chaine de magasins comparable à Walmart, USA) présentent les différents services qu’une équipe de CTI peut fournir, en fonction de la taille de l’équipe (nombres d’ingénieurs à temps pleins).

  • 1 ingénieur à temps plein peut fournir un service de monitoring et d’analyses des nouvelles vulnérabilités afin de prioriser les menaces les plus importantes et d’aider les équipes de type BlueTeam pour la mitigation.
  • 2 ingénieurs à temps plein peuvent en plus analyser les phishing en cours afin d’avoir un panorama de la menace et des campagnes actuelles.
  • 4 ingénieurs à temps plein permettent en plus analyser des données capturées pour avoir une vue sur les tendances et produire un rapport journalier sur les menaces en cours et les marqueurs associés (DailyDigest).
  • 5 ingénieurs à temps plein permettent de développer un système pour tracer les groupes d’attaquants, analyser leurs stratégies et effectuer du support dans les cas de fraude et évaluer les risques sur les clients

Pour résumer, selon eux, une équipe de CTI monte en compétence étape par étape, en améliorant les différents services qu’elle propose. Il faut que les équipes priorisent et maintiennent un focus sur les campagnes intéressantes au lieu de réagir à chaque campagne. Elles doivent, privilégier la qualité à la quantité. Et donc réaliser des investigations. Il faut aussi que les équipes se concentrent plus sur l’impact d’une menace (en extrapolant si l’attaque a été stoppée tôt) plutôt que le résultat de celle-ci (nombre de machines compromises, indicateurs de compromissions…). Pour finir, ils insistent sur l’importance du partage et de la communication avec d’autres équipes de CTI.

 

Adventures in Blunderland
Allison Wikoff (Secureworks, US); Matt Webster (Secureworks, GB)
[TLP:AMBER]

Présentation très intéressante expliquant les différents moyens qui ont permis aux chercheurs en Cybersécurité, d’identifier les acteurs derrière une attaque. Généralement, les indices récupérés sont dus à des fautes d’inattention de la part de certains membres d’un groupe. Des exemples concrets ont ainsi été présentés dans lesquels une identification de l’attaquant était possible grâce à une portion de code présente dans un malware et retrouvé sur un site tel que « stackoverflow » pour obtenir des informations concernant un bug dans le code. Lors d’une autre campagne, un oubli de monter le VPN avant de se connecter sur la machine infectée a permis une identification des acteurs. Des erreurs de typo retrouvées dans les écrits des attaquants sont aussi un indice pour identifier les acteurs derrière une menace. Par exemple un smiley avec 3 parenthèses – comme « ))) » – est typiquement Russe. Toutes les erreurs identifiées dans cette présentation ont permis de remonter jusqu’au groupe de hackers qui étaient à l’origine de l’attaque, d’où le fait que cette présentation était classée TLP:AMBER.

 

The Hitchhiker's Guide to Threat Research
Bryan Lee (Palo Alto Networks, US)
présentation : https://www.first.org/resources/papers/london2019/1530-Hitchhikers-Guide-Lee.pptx
[TLP:WHITE]

Cette présentation était très intéressante. L’orateur (Bryan Lee) fait parti des équipes Unit 42 de Palo Alto, et il a résumé comment à partir de 3 IoCs identifiés dans leurs logs internes comme intéressants, ils réalisent une analyse CTI et mettent en lumière une nouvelle campagne en cours.

Le scénario fictif mis en place lors de cette présentation est le suivant : suite à un phishing reçu par mail contenant en pièce jointe un document de type « .doc » malveillant, les équipes récupèrent dans un premier temps 3 IoCs : un nom de domaine, une IP et un hash. Ensuite, ils divisent leur travail en 3 grandes étapes :

  • Recherche d’informations sur les IoCs relatifs à l’infrastructure des attaquants
    Récupérations des noms de domaines, IP utilisées.
  • Recherche d’informations concernant les binaires
    Récupérations des chaines de caractères qui sont généralement réutilisées dans différents malwares, recherche de points communs avec d’autres fichiers malveillants similaires…

Le présentateur insiste bien sur le fait qu’il est nécessaire d’effectuer plusieurs pivots successifs sur chaque marqueur pour essayer d’obtenir le plus d’informations possible. Par contre, si sur un pivot (par exemple de type passivedns) le résultat retourné contient plus d’une centaine d’éléments, il faut s’arrêter là, car ce sont surement des faux-positifs. Généralement le nombre de pivots à effectuer par marqueur est de 3 ou 4 maximum.

  • Identification des tactiques utilisées
    Pour finir, il faut identifier les différentes tactiques utilisées par l’attaquant.

Une fois ces 3 étapes terminées, il ne reste donc plus qu’à écrire le rapport de CTI. Les conseils du présentateur est de produire un rapport suivant le type d’audience à laquelle il sera destiné, il faut écrire celui-ci comme si on racontait une histoire (sans forcément trop rentrer dans les détails techniques), il faut privilégier l’utilisation d’images et de captures d’écrans dans les rapports et enfin être pointilleux : toutes les éléments et suppositions mises en avant dans le rapport doivent pouvoir être prouvées par des faits.

 

A Lightweight Markup Language for Graph-Structured Threat Sharing
Mayo Yamasaki (NTT-CERT, JP)
Présentation : https://www.first.org/resources/papers/london2019/1730-A-Lightweight-Markup-Yamasaki-2-.pptx
[TLP:WHITE]

Présentation très prometteuse de la part du CERT Japonais concernant le développement d’un langage et d’un outil OpenSource permettant, à partir d’un rapport sur une menace, d’extraire les informations importantes et de pouvoir les présenter sous la forme d’un graphique avec les différentes relations entre les indicateurs. Le langage présenté ici semble moins contraignant à utiliser que STIX et plus facilement compréhensible. Après avoir été utilisé sur un rapport de CTI, il est alors possible de récupérer à la fois en « output » un JSON utilisant le standard STIX et un graphique présentant les différentes relations entre les indicateurs. Lors de sa présentation, l’outil n’était pas encore terminé et donc pas encore disponible en OpenSource.

 

Mercredi 20 Mars (Conférences)

Quality Over Quantity: Determining Your CTI Detection Efficacy
David J. Bianco (Target, US)
Présentation : https://www.first.org/resources/papers/london2019/11-Quality-over-Quantity-Bianco.pptx
[TLP:WHITE]

C’est l’une des présentations que nous avons le plus apprécié lors de cette conférence sur la CTI. David Bianco (créateur de la fameuse « pyramid of pain » y explique qu’il a reçu la demande suivante de la part de son supérieur hiérarchique :

« Est-ce que notre threat intel actuelle nous permettra de faire face aux attaques cyber qui pourraient nous viser lors des prochaines soldes ? »

Pour répondre à cette interrogation, David a donc identifié les principaux acteurs qui pourraient représenter une menace pour son entreprise, regroupé toutes les informations connues à ce jour concernant ces acteurs, évalué la CTI actuelle, et enfin identifié les vides (manquements) dans ces informations.

Pour ce qui est de l’évaluation de la CTI actuelle de l’entreprise, le présentateur a décidé de se poser les questions suivantes :

  • Est-ce que l’entreprise connait les comportements répétitifs types des acteurs représentant une menace pour l’entreprise ?
  • Est-ce que les IoCs (marqueurs) de l’entreprise sont éphémères ? Dans quelles phases d’une attaque les adversaires pourraient-ils passer inaperçus ?
  • Est-ce que la threat intel actuelle est assez récente pour être utilisée ? Y-a-t-il aussi assez d’historique pour permettre d’avoir du contexte concernant les attaquants ?
  • Où doivent se concentrer les efforts pour améliorer la CTI actuelle ?

En résumé, une analyse de la CTI interne à l’entreprise a été effectuée par le présentateur :

  1. en identifiant les acteurs principaux qui représenteraient une menace pour l’entreprise,
  2. en extrayant et nettoyant (merge des données et suppression des doublons) les bases de marqueurs (IoCs) de l’entreprise

Par la suite ces différents marqueurs ont été mis en correspondance avec Mitre ATT&CK et la pyramid of pain. Une analyse des résultats s’en est alors suivie pour identifier les différents manquements de la base pouvant amener à une perte de visibilité. Enfin, le présentateur conseille d’automatiser ces différents processus pour les lancer régulièrement sur les bases de données CTI et ainsi permettre de rester focalisés sur des informations CTI de qualités.

 

Your Requirements are not my Requirements
Pasquale Stirparo (Google, CH)
Présentation : https://www.first.org/resources/papers/london2019/1430-1500-Your-Requirements-are-Not-My-Requirements-Speaker-Pasquale-Stirparo.pdf
[TLP:WHITE]

Le but de cette présentation était d’insister sur le fait que sans cahier des charges (“requirements”) effectué avec le client, il ne peut pas y avoir de Threat Intelligence. Il faut fournir des informations de threat intelligence qui soient priorisées et privilégier la qualité à la quantité pour ainsi permettre que les informations les plus critiques ne soient pas noyées dans d’autres informations considérées comme du « bruit ». Le cahier des charges se compose ainsi de deux exigences : celle sur la collecte des données (définie par l’équipe de CTI) et celle sur les exigences de productions (définies par le client et les managers). Le but de ce cahier des charges est d’identifier clairement avec les clients, les menaces qui seront intéressantes et à prioriser par l’entreprise, quelles sont les attaques qui sont le plus redoutées, qui sont les acteurs qui seraient potentiellement intéressés par le business de l’entreprise, mais aussi d’identifier avec le client les éléments techniques qui pourront lui permettre d’avoir une visibilité sur son réseaux (quels équipements enverront les logs et quelles informations seront utiles pour traiter les informations de la threat intel).

 

 

Annexe : slides des différentes présentations

Beginner Tracking Adversary Infrastructure
Michael Schwartz (Target, US), Tim Helming (DomainTools, US)
Présentation : https://www.first.org/resources/papers/london2019/9-Beginner-Tracking-Adversary-Schwartz-Helming.pptx
[TLP:WHITE]

TIBER: connecting threat intelligence and red teaming
Marc Smeets, Stan Hegt (Outflank, NL)
[TLP:WHITE]

5 years in adversary emulation
James Chappell (Digital Shadows, GB)
Présentation : https://www.first.org/resources/papers/london2019/james-cha.pdf
[TLP:WHITE]

All Your Heatmap Are Belong To Us - Building an Adversary Behavior Sighting Ecosystem
Richard Struse (MITRE, US)
[TLP:WHITE]

Logistical Budget
Éireann Leverett (Conconnity Risks, GB)
Présentation : https://www.first.org/resources/papers/london2019/1430-Logistical-Budget-Leverett.pptx
[TLP:WHITE]

Cloudy with low confidence of Threat Intelligence: How to use and create Threat Intelligence in an Office365 Environment
Dave Herrald, Ryan Kovar (Splunk, US)
Présentation : https://www.first.org/resources/papers/london2019/1600-1630-Cloudy-with-Low-Confidence-Herrald-Kovar.pptx
[TLP:WHITE]

Drawing the line: cyber mercenary or cyber threat intelligence provider?
Stewart Bertram (Digital Shadows, GB)
[TLP:WHITE]

Going from Guilt to Guild: Confessions of a TI Provider
Diederik Perk (Fox-IT, NL)
[TLP:WHITE]

Turning intelligence into action with MITRE ATT&CK™
Adam Pennington, Katie Nickels (MITRE, US)
[TLP:WHITE]

ATT&CK™ Is The Best Form Of…Reconnaissance: Using MITRE PRE-ATT&CK™ To Enrich Your Threat Model
Richard Gold (Digital Shadows, GB)
Présentation : https://www.first.org/resources/papers/london2019/rich-gold.pdf
[TLP:WHITE]

Metrics and ATT&CK. Or how I failed to measure everything.
Francesco Bigarella (ING Bank, NL)
Présentation : https://www.first.org/resources/papers/london2019/Metrics-and-attack-website.pdf
[TLP:WHITE]

How to get promoted: Developing metrics to show how threat intel works
Marika Chauvin, Toni Gidwani (ThreatConnect, US)
Présentation : https://www.first.org/resources/papers/london2019/1130-How-to-Get-Promoted-Gidwani.pdf
[TLP:WHITE]

EVALUATE OR DIE TRYING - A Methodology for Qualitative Evaluation of Cyber Threat Intelligence Feeds
Sergey Polzunov, Jörg Abraham (EclecticIQ, NL)
Présentation : https://www.first.org/resources/papers/london2019/EVALUATE-OR-DIE-TRYING-Abraham-Polzunov.pdf
[TLP:WHITE]

Insights and Challenges to Automated Collaborative Courses of Action
Allan Thomson (LookingGlass CERT – LookingGlass, US); Bret Jordan (Symantec, US)
Présentation : https://www.first.org/resources/papers/london2019/1330-1400-Insights-and-Challenges-Thomson-Jordan.pptx
[TLP:WHITE]

A Place for Analysis of Competing Hypothesis (ACH) in CTI: Applications and Evolution of ACH in CTI
Caitlin Huey (EclecticIQ, NL)
Présentation : https://www.first.org/resources/papers/london2019/A-Place-for-Analysis-of-Competing-Hypothesis-ACH-in-CTI-Huey.pptx
[TLP:WHITE]

Semi-intelligence: trying to understand threats on a country level
Paweł Pawliński (CERT.PL, PL)
[TLP:WHITE]

Statistical Techniques to detect Covert Channels Employing DNS
Dhia Mahjoub, Thomas Mathew (Cisco Umbrella (OpenDNS), US)
[TLP:WHITE]

Code Reuse Analysis: Transforming a Disadvantage into a Game-Changing Advantage
Shaul Holtzman (Intezer, US)
Présentation : https://www.first.org/resources/papers/london2019/1630-Code-Reuse-Analysis-Holtzman-.pdf
[TLP:WHITE]

File-Centric Analysis through the Use of Recursive Scanning Frameworks
David Zawdie (US)
Présentation : https://www.first.org/resources/papers/london2019/1700-1730-File-Centric-Analysis-Through-Zawdie.pptx
[TLP:WHITE]

Building STINGAR to enable large scale data sharing in near real-time
Jesse Bowling (Duke University, US)
Présentation : https://www.first.org/resources/papers/london2019/1730-1800-Building-STINGAR-Bowling.pptx
[TLP:WHITE]

Précedent Précedent Suivant Suivant Imprimer Imprimer