Le Comptoir Sécu

Parlons cybersécurité...autour d'un verre!

Threat Hunting SANS Summit 2020

Et on se retrouve ! Oui, c’est la même vignette, mais pas le même titre. Le précédent summit était la partie Incident Response, là, ce sont deux jours sur le Threat Hunting, en direct des États-Unis d’Amérique, donc un début à 15 heures pour nous.

Comme la fois d’avant, ce sont des notes brutes de sortie de conférence. Les vidéos seront publiées plus tard, et les supports devraient être disponibles au téléchargement avec un compte SANS (gratuit). La participation des gens sur Slack était inférieure à celle du maxi event public, mais il y avait cette atmosphère de partage et sans jugement. De bons trolls aussi.

Day 1

Keynote: Open NDR and the Great Pendulum

Greg Bell, Co-Founder & Chief Strategy Officer, Coreligh

Comme on ne pourra pas instrumenter tous les endpoints, le monitoring du réseau reste un élément fondamental pour l’avenir de la sécurité. Et par pitié, quel que soit l’endroit où l’on capture du trafic, que ce soit dans un format commun, standard, ouvert, exportable, filtrable par un autre outil.

À part cela, les institutions contribuent énormément aux outils libres qui permettent de faire de la sécurité, hourra ! à eux.

New Tools for Your Threat Hunting Toolbox

Mark Baggett, @MarkBaggett, Owner, Indepth Defense; Senior Instructor & Author, SANS Institute

  1. APIify: interrogation sur HTTP d’un moteur python qui lance des commandes systèmes en prenant ses arguments dans l’URL, applique des regex et renvoie le résultat. Avec une antémémoire pour éviter d’exécuter les commandes à nouveau. Ainsi, un whois sur un domaine, ou un traceroute ne sera exécuté qu’une fois, même si on appelle le service quelques milliers de fois pour enrichir des journaux. De nombreuses autres commandes disponibles dans la conf.

    Accessoirement, le traceroute permet d’identifier qu’un ensemble d’IPs utilisent la même infrastructure, car le chemin pour les joindre est identique.

  2. Domain Stats 2.0 (rien à voir avec la v1) : exploitation des dates du whois via l’Internet Storm Center, ce qui permet d’avoir la date de première recherche dans la communauté, la première fois que vous l’avez demandée, si c’est la première fois que dans votre organisation ce domaine est interrogé, et bien sûr la date de création du domaine. Intégré à Zeek. Docker dispo. Un gros travail sur les performances. Au premier démarrage, construction de la base avec quelques millions d’enregistrements (vu les 20 mn de build). C’est down pour le moment à cause du COVID, mais ISC devrait le sortir dès que possible.

    Permet d’enrichir les journaux du proxy, de classer par tag nouveau, et de vérifier l’activité y relative.

  3. SRUM-DUMP et ESE2CSV : permettre aux enquêteurs de ne pas se casser les pieds avec le parsing de cette base d’activité de Windows (que vous allez chercher quand vous avez épuisé les journaux, parce que ça contient quand même les 30 derniers jours des processus exécutés, le trafic réseau cumulé, la consommation de ressources, etc.). (Note de moi : SRUM a été intégré à Windows quand MS a commencé à développer Defender ATP. Snap toutes les heures.) Ça fait plein de croisements de données de base pour que ce soit lisible.

    A priori, il faut faire la copie de la db soi-même sur un live system. Une occasion d’utiliser le module de copie de Kape qui va contourner le verrou en écriture.

Applying Fraud Detection Techniques to Hunt Adversaries

Nicole Hoffman, @threathuntergrl, Threat Research Analyst, Shadowscape

Hum. J’ai décroché. Parmi les trucs, utiliser la connaissance de l’organisation pour traquer des fraudes internes, car l’insider saura quel type de pièce jointe sera ouverte, par exemple ; la documentation est vitale pour la coordination entre Hunters (pas convaincu par l’exemple). Quand une nouvelle idée vient en pleine chasse, la noter pour un prochain scénario. Bien identifier les hypothèses que vous posez quant à la connaissance qu’on les attaquants de l’environnement. Un usage de MISP pour la visualisation des trouvailles.

External Threat Hunters are Red Teamers

David Maynor, @Dave_Maynor, Black Lotus Labs Analysis Lead, Centurylink

Jorge Orchilles, @jorgeorchilles, CTO, SCYTHE

Le whoami des pentesteurs devient le T1033 - User Discovery dans les titres =) Ils mettent le souk dans les définitions :

“Red team: the practice of looking at a problem or a situation from the perspective of an adversary” — Red Team Journal.

“External Threat Hunting: proactive identification of threats outside of your perimeter” – BlueVoyant. Ce serait plutôt dans le domaine de la Threat Intelligence, mais aussi du Purple.

Quand tu as douze personnes qui bossent sur le même test d’intrusion, tout doit être journalisé afin de pouvoir facilement dire à la défense si ce qu’ils ont vu vient de l’exercice ou non. Tu ne peux plus te dire que les deux pentesteurs vont se partager les informations entre eux. Donc tous tes outils, en plus d’implémenter les garde-fous qui garantissent qu’ils ne s’exécutent que dans l’environnement cible, incorporent de la télémétrie vers un RedELK. Il y a un beau schéma de l’infrastructure attaquante, qui fait vraiment penser à ce que pourraient avoir les groupes avancés, qui permet de voir quelles traces ils ont laissées et s’ils se font attraper sur les plateformes d’IOCs. Après tout, c’est un business (illicite).

Threat Hunting and the Platypus – Why Information Modeling is Essential, Yet Challenging

Jason Keirstead, Chief Architect, Threat Management, IBM Security

On ne peut pas enseigner quelque chose qu’on ne comprend pas. C’est pourquoi il est nécessaire de modéliser les données avant de développer de l’IA. Pour cela, il faut comprendre les données, puis les organiser de sorte qu’on peut les utiliser, les rechercher et les analyser. Retour sur la taxonomie de la biologie et son évolution à travers le temps. “Because we want to find things and not strings”. Aperçu de la diversité des modèles disponibles. Comment choisir celui qui convient ? Influence sur les données sources, toolchain, use cases, expertise disponible (interne et communautaire). Le Common Information Model, c’est ce qui nous sauvera la vie avec toutes les évolutions technologiques. À la fin, tout est processus ou flux, n’est-ce pas ?

A Tale of Two Hunters: Practical Approaches for Building a Threat Hunting Program

Peter Ortiz, Director of Global Solution Services, Strategic Advisor, Cybereason

Le cheminement sur 5 ans de deux équipes de Hunters qui ont pris des chemins différents, avec les limites de chaque cas. On voit bien la maturité progressive et combien plus on avance, plus la TI est vitale pour estimer correctement ce qui est en train de se produire.

Leveraging Beacon Detection Techniques to Identify Anomalous Logons

Fred Nolte, Senior Cybersecurity Analyst, Threat Hunting

Nikita Jain, Cybersecurity Analyst, Incident Response

Dante Razo, Intern, Incident Response

Jacob Alongi, Intern, Incident Response

Password spray : grapher les failures, détection par volume. Évidemment, les attaquants ont compris que c’était pas terrible. Ils le font pendant les heures ouvrées. La question qu’ils se sont posée : est-ce que les attaquants dissimulent leur password spraying de la même manière qu’ils dissimulent leurs communications vers les C2 ?

Top 100 4625, sur 15 jours, plot chaque user, recherche d’une forte pente, des trous sans activité, sur plusieurs users. À calculer avec la moyenne d’inactivité, l’écart-type (sur lequel les attaquants vont jouer pour se noyer dans la nasse :D ). Éliminer les ovnis. La variance ne tarde pas à pointer son nez, et je me souviens que je n’aimais pas ces cours sur les stats et les probas. Parce qu’ils vont prendre une proba de 5% d’échec. J’ai des nœuds au cerveau, j’espère qu’il y a les formules à la fin. Et galère ! il n’y a pas. Mais c’était super intéressant, ça peut s’appliquer à plein d’autres jeux de données. Et ça claque dans un rapport, pardi !

Started from the Bottom: Exploiting Data Sources to Uncover ATT&CK Behaviors

Jose Rodriguez, @Cyb3rPandaH, Consultant for MITRE, JVT Advisors

Jamie Williams, @jamieantisocial, Lead Cyber Adversarial Engineer, The MITRE Corporation

“Fortunately, as defenders we have home-field advantage.” Le MITRE va compléter les ATT&CK data sources avec un modèle qui permettra de bien écrire les détections, en sachant quoi sortir de quels journaux. Dans l’exemple, ils aboutissent à une détection sur quatre ou cinq étages ; au moins t’as pas trop de faux positifs XD A présent publié

The SOC Puzzle: Where Does Threat Hunting Fit?

Ashley Pearson, @onfvp, Threat Hunter at US Air Force Computer Emergency Response Team

“It’s possible to commit no mistake and to lose. That is not weakness, that is life.” L’évolution du SOC d’une posture réactive à une posture proactive est un long processus. Le TH est vraiment au sommet de la pyramide de la douleur. Le TH nourrit les autres fonctions du SOC, avec des signatures, de nouvelles détections, des malware à analyser pour les reversers, et évidemment le déclenchement de réponse à incident. Tout cela est nourri en amont par la TI et nourrit la TI en retour. Elle a coupé en deux la pyramide entre comportement réactif et proactif, bien joué ! Le schéma pour montrer les activités est presque linéaire, ce qui donne le sentiment d’une avancée, d’une réussite, plutôt que les cercles qui nous font tourner en rond ; un bon point de com également. Superbe présentation !

Big Game Hunting: Major FIN Threat Joins the Targeted Ransomware-as-a-Service Scene via a Valak Partnership

John Dwyer, @TactiKoolSec, North American Threat Assessment Lead – IBM X-Force IRIS

Christoper Kiefer, Threat Hunt and Intelligence Analyst – IBM X-Force IRIS

Plongée sur une compromission jusqu’au rançongiciel, avec des IOCs et un beau graphe de l’attaque. Deuxième partie sur l’attribution, très réaliste sur la fiabilité des informations. D’autres infos sur la pression progressivement appliquée sur la victime, jusqu’aux enchères pour obtenir les données.

Surprise ? On retrouve Citrix, F5, Pulse et WebLogic dans le top des fixes à appliquer ;o)

Day 2

Keynote: Raising the Tide: Driving Improvement in Security by Being a Good Human

David J. Bianco, @DavidJBianco, Target; SANS Institute

Retour sur les comportements hideux de la communauté sur Twitter. Sexisme, rejet des débutants, harcèlement, menaces avec l’adresse de la personne ciblée, etc. Pour réagir à ces comportements (au-delà des mesures légales), veiller à élever le débat dans les discussions. Remercier ceux qui vous ont aidé, ou dont le travail vous a aidé. Prenez part à la communauté, en plus ça permet de trouver parfois un meilleur job ;) De sorte que le bon contenu l’emporte sur les déchets. Les initiatives peuvent venir de tout le monde, et c’est plus facile que vous ne le pensez, exemple avec TiaraCon. Il aime bien les bateaux aussi, de belles photos. Retour sur des travaux de sciences sociales qui expliquent qu’il faut entre 3,5% et 25% des participants qui expriment leur rejet des mauvaises conduites, et qui montrent qu’elles veillent à la positivité des débats, pour que le bien l’emporte.

Hunting Immaturity Model

Mangatas Tondang, @tas_kmanager, Security Specialist, Bell Canada

Très bonne présentation, un peu lente à démarrer, avec de très nombreuses erreurs commises dans la mise en pratique de la discipline. À chaque fois, ce que vous pouvez faire pour rejoindre le maturity level. Il faut relire les diapositives (ça fait longtemps que je n’avais pas utilisé ce mot, tiens !). Son conseil particulier : vraiment maîtriser les assets et son environnement, sans oublier la stack de collecte pour ne pas être aveugle.

WinSCP: Yeah You Know Me!

Mari DeGrazia, @MariDeGrazia, Another Forensics Blog

Le background Matrix animé pour la caméra <3 Les références à l’IT des vieux à chaque slide, ça pique aussi :o Sinon, ça parle d’exfiltration, déplacement latéral en environnement Windows via WinSCP depuis qu’il est super facile d’installer le serveur SSH de Windows. Ne croyez pas que les attaquants se déplacent qu’avec leur RDP. Liste des artefacts disponibles et comment retracer les volumes avec SRUM (encore). C’est vraiment à tracer.

Machine Learning Meets Regex Rule Engine: How to Build Your Own Domain Name Rule Engine and Enable the Deployment of Statistical Models

David Rodriguez, @dvidrdgz, Technical Lead, Cisco Systems

Il y avait des moteurs de règles, mais pour ce qu’ils voulaient faire sur les domaines, ça n’allait pas le faire. Umbrella analyse des millions de domaines. La présentation explique comment ils ont écrit leur moteur, découpé les problèmes, ajouté des opérateurs maison. Avec ça, ta regex peut dire s’il y a plus de 25% de chiffres dans le nom de domaine, si un pattern match plusieurs fois, si la proximité de deux mots les rend probablement dangereux. C’est là que le deep learning permet de s’exprimer pleinement pour prédire la dangerosité des noms.

Ils ne sont pas nombreux à pondre ce moteur, mais ils roxxent du poney comme on dit :o Pour compenser, ils font beaucoup de lambda sur AWS. La facture doit être salée.

Hunting Powershell Obfuscation with Linear Regression

Joe Petroske, Cyber Threat Hunter, Target

L’obfuscation est très utilisée. Le but est de réduire le volume de logs à traiter en détectant l’obfuscation. Restreindre la recherche au contexte utilisateur et exclure les scripts (.ps1). Dédupliquer les events 7087. Ajouter 6 obfuscations connues pour la vérifiabilité des résultats. Plus la commande est longue, plus on s’attend à avoir certains caractères. Un peu de maths pour les régressions, on envoie ça dans un scatterplot. En gros, on ne veut pas les lettres. Roh la la, encore des maths… R carré, y-intercept of regression, ça donne envie. En gros, les scripts avec que des lettres vont être sur la ligne, donc les points qui sont trop éloignés ont d’autres caractères et sont probablement obfusqués. Il y a quand même une difficulté dans la définition du seuil d’éloignement. Dans son cas, il tombe à 8,5% des logs, soit 600 entrées. Il y retrouve ses ajouts, et aucun faux positif (au sens de l’algo, ou pas, je ne suis pas sûr). En tout cas, Olaf Hartong, dans l’audience, avait l’air motivé pour voir s’il pouvait intégrer ça dans son app Splunk de Threat Hunting.

SaaS Hunting

Ben Johnson, @ChicagoBen, CTO & Co-Founder, Obsidian Security

C’est bien sympa, vos détections sur les endpoints, mais avec tout ce qui part en SaaS, qui sont des systèmes toujours disponibles, alors que vous avez la responsabilité des accès à ces plateformes, il est temps d’en tenir compte. Pas facile, parce que c’est nouveau, que les RSSI n’y pannent rien. Il y a, certes, de nombreuses similarités avec la supervision de votre SI chez vous, car les principes sont les mêmes. Le hic, c’est que vous n’avez pas votre mot à dire sur la stack. Donc il faut t’adapter, pépère ! Bon, les apps natives, c’est grave la misère, alors comme tu seras frustré (genre, la surveillance des logins sans localisation géographique, sérieux ? Perso, je l’avais dans O365, j’ignore de quand date son screenshot), tu voudras sortir les données dans ton outil à toi où tu peux bien travailler. Surtout quand tu voudras croiser les données des différents fournisseurs. Qui ont la grande idée d’avoir un format unique.

La première chose à analyser, ce sont les connexions des admins. Ce sont généralement des cas simples. Sauf pour Slack. L’app mobile se connecte partout. Vous pouvez tracer les déplacements à la ville près. (GDPR, finalité… Ah non, c’est un Américain). Ensuite, regarder les attributions de privilèges. Et ne laissez pas la notification être expédiée au propriétaire de l’application. Ensuite ? Les délégations d’accès. Et alors, là, carrément, tout de suite : surveille tes infogérants et intégrateurs comme s’ils avaient le COVID-19. Si tu peux avoir une alerte quand le MFA requirement est désactivé, c’est mieux. Et si un admin, avec son compte admin, consulte les mails, c’est un hérétique ! (Et à Kaamelott, les hérétiques, au bûcher !). Du côté des partages de fichiers (Dropbox, Google Drive) : l’activation en partage externe.

L’autre plaie, ce sont toutes les intégrations d’app au sein des grandes apps. Dans Slack, Salesforce, Zoom, Teams…

Building a Hunting Program at a Global Scale

Pete Bryan, Senior Software Engineer, Microsoft

Ça doit être le cinquième à parler des Jupyter Notebooks. Ils vont donc utiliser les capacités d’exécution pour adapter les requêtes et appeler les API (enfin, il ne le dit pas, mais si ce n’est pas ça, je ne vois pas l’intérêt, vu le temps que ça prend d’écrire ces notebooks). Il revient sur les problèmes de passage à l’échelle : comment partager ces notebooks? Comment éviter d’avoir trop de code dedans? Comment les rendre plus accessibles aux non-développeurs? Comment gérer les versions.

Pour écrire ces notebooks, ne pas se concentrer sur ce qu’on veut trouver, mais sur la manière dont les Hunters vont travailler.

Je suppose que quand on a déjà utilisé ce dont il parle, on comprend mieux la présentation.

From One Sec Guy to the Team that Saved the CISO’s Day

Diego Mariano, CISO, Albert Einstein Hospital

Impressionnant comment ces Américains mangent les deux mots Albert Einstein en Albrshein. La présentation revient sur le déploiement d’une approche de TH en partant d’un mi-temps vers une équipe. Avec les étapes, ce qui n’a pas fonctionné, et des axes de progression vraiment bien pensés en communication managériale aussi bien qu’en pilotage de l’équipe: process, data sources, knowledge, interaction with other temas, strategic influence, confidence.

Cela rappelle bien que c’est un programme qui prend du temps, mais que petit à petit, on devient une composante essentielle de la sécurité.

Hunting Human-Operated Ransomware Operators

Ryan Chapman, @rj_chap, Principal Incident Response Analyst, Blackberry; Instructor, SANS Institute

N’oubliez pas de filtrer les ^ et backticks des logs si vous voulez que vos recherches fonctionnent. Faites l’état des lieux des logs que ne vous collectez pas (et si c’est pour une raison de licence, mettez le coût des rançons en face), des RDP sur vos plages IP externes, du niveau de patch de vos appliances réseau. Quelques requêtes Splunk pour l’activité RDP. Des regex pour Emotet, y compris le mutex. Idem pour Trickbot. Et plein d’autres.

Bien utiliser le champ OriginalFileName de Sysmon Event

Il va falloir les logs d’écriture des fichiers, ou un EDR qui puisse scanner le parc, pour certains IOCs.

Il fait de gros câlins à Sigma. À Cryptolaemus aussi.

Excellent !

Ah, et pour les gens qui ont Sentinel, vous pouvez avoir la ligne de commande déofusquée avec | extend CleanProcessCommandLine=parse_command_line(ProcessCommandLine, "windows") (dit Olaf dans le slack)

Panel: Ask Us (Almost) Anything About Threat Hunting & Incident Response

Discussion sur la relation entre la TI et le TH, comment les deux se nourrissent mutuellement.

Qu’est-ce qui est bien dans les rapports de TH ? Quelles données dispo, quels cas d’utilisation, quelle collecte, quels outils pour l’analyser, ce qu’on a trouvé, ce qui manquait, ce qu’on a appris. Surtout, sachez cibler les attentes de votre audience. N’oubliez pas que la plupart des gens ne faisaient pas leur job actuel il y a un an de cela.

Il y a un problème, avec tout le mouvement qu’il y a dans les équipes, c’est de détecter le même attaquant plus vite s’il revient. Or, on voit que ça stagne, que les choses ne s’améliorent pas, parce qu’au lieu d’améliorer les choses, les gens vont prendre un autre poste, voir autre chose, et laissent la situation au suivant, qui va en suer tout autant qu’eux au début. Ce n’est pas comme cela qu’on fera grandir notre société (cf. talk sur être un bonhomme).

Discussion sur les indicateurs. Trouver un attaquant n’est pas un indicateur. La question, c’est : qu’est-ce que vous avez appris du SI ? Savez-vous expliquer comment il fonctionne ? Cette compréhension permet-elle de mieux le défendre en sachant quel sera le vecteur probable d’intrusion ? Possibilités aussi sur les non-conformités trouvées, les mauvaises pratiques mises en évidence.

Ce serait une bonne idée que dans le cas d’une sous-traitance de la TH, le client explicite leurs priorités, ce qui les inquiète, pour que la chasse soit donnée dans la bonne direction.

Les qualités attendues d’un Hunter : de l’intelligence, de la curiosité, de l’envie de trouver de nouvelles choses (un tempérament de hacker, en somme), la passion. Poser plein de questions, creuser jusqu’à trouver la raison. Savoir ce que tu sais et les limites de ta connaissance. La capacité à devenir expert de quelque chose, quoi que ce soit. L’humilité d’être dans une équipe composé d’experts sur d’autres sujets. Vouloir collaborer. Ce PDF, page 5

Ce qu’on ne veut pas voir : ce que j’ai déjà dans l’équipe. Un profil différent, qui va apporter quelque chose d’autre.