#NSD15 - Threat intelligence et Deep/Dark web

537 vues

Publié le

Toutes les informations sur http://www.netsecure-day.fr/nsd15

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
537
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

#NSD15 - Threat intelligence et Deep/Dark web

  1. 1. Approche stratégique et tactique de la Threat Intelligence sur le Dark Web Adrien Petit – CEIS
  2. 2. • Concept de la Threat Intelligence • Visite guidée du Dark Web • Interaction entre Threat Intelligence et Dark Web • Étude de cas Roadmap
  3. 3. Concept de la Threat Intel
  4. 4. • Threat = Menace o Menace = Intention + Capacité + Opportunité o 3 grandes menaces  Hacktivistes  Idéologie  Cybercriminels  Profit  Groupes « state-sponsored »  Dans une moindre mesure : concurrents – « insiders » Threat Intelligence – Notions
  5. 5. • Le renseignement est un produit  Il n'est pas le fruit d'une ingestion pure et simple d'information mais le produit d'une analyse particulière dans un contexte donné Thomas Chopitea – CERT SG Threat Intelligence – Notions
  6. 6. • Intelligence = Renseignement o Donnée  Information  Renseignement o Cycle du renseignement Threat Intelligence – Notions Question Collecte TraitementAnalyse Diffusion
  7. 7. • Technique o IOC : IPs, URLS, listes de hashs, artefacts système/réseau, etc. o Destinée aux machines o Durée de vie limitée • Opérationnelle o Permet d’anticiper une attaque o HUMINT 4 types de Threat Intel
  8. 8. • Tactique o Information sur les outils et méthodologies de la menace (TTPs) o Destinée aux équipes techniques • Stratégique o Peu technique o Rapport de tendances sur les menaces : intentions, affiliations, intérêts, objectifs, capacités, plans, campagnes, etc. o Destinée au board 4 types de Threat Intel
  9. 9. Visite guidée du Dark Web
  10. 10. • Clear Web o Ensemble des contenus indexés par les moteurs de recherche classiques o Contient des blogs, réseaux sociaux, sites de diffusion, etc. Notions
  11. 11. • Deep Web o Ensemble des contenus non-indexés par les moteurs de recherche classiques o Contient des bases et banques de données, bibliothèques en ligne gratuites ou payantes, DNS, adresses IP, etc. Notions
  12. 12. • Dark Web o Outils spécifiques pour y accéder : Tor, I2P, Freenet o Très grande majorité des sites à caractère criminel, mais pas que.. Notions
  13. 13. • Dark Web o Analogie aux catacombes o Moteurs de recherche de très faible qualité o Utilisation des wikis pour s’orienter Notions
  14. 14. Dark Web sous-ensemble du Deep Clear Web Deep Web Dark Web
  15. 15. Interaction TI & Dark Web
  16. 16. Opération •Reconnaissance •Scenario d’attaque •Scan •Obtention de l’accès •Maintien de l’accès •Exécution •Effacement des traces Publicité •Recel •Revendication Actes préparatoires •Acquisition de capacités •Organisation humaine et recrutement Contexte •Emergence du mobile •Définition des objectifs •Choix du mode opératoire Cyber Kill Chain revisitée
  17. 17. • Approche technologique o Outils sur étagère o Développement d’outils spécifiques • Approche humaine o Equipe multilingue o Profils variés Cellule TI stratégique/technique
  18. 18. • Où trouver les éléments permettant d’identifier une menace potentielle ? o Black markets généralistes o Black markets spécialisés o Forums restrictifs Threat Intel & Dark Web
  19. 19. • Le précurseur Silk Road o 02/2011 - Commerce de tous les types de biens illégaux issus du banditisme classique (stupéfiants, armes ou encore faux papiers) o Ne proposait pas directement la vente des biens o Mise en relation acheteurs et vendeurs --> Système Escrow Black markets généralistes Source : FBI, entre 02/2011 et 09/2013
  20. 20. • Système Escrow ou dépôt fiduciaire Black markets généralistes
  21. 21. • Depuis la fermeture de Silkroad (11/2014) : o Environ 80 blackmarkets o Une vingtaine perdurent o Evolution: Exit Scam en mars 2015 (#Evoscam) Black markets généralistes
  22. 22. • Que trouve-t-on sur ces black markets ? o Étude à partir des 3 plus gros black markets o 65 000 annonces publiées Black markets généralistes
  23. 23. Black markets généralistes Source : Etude CEIS – Juin 2015
  24. 24. • Que trouve-t-on sur ces black markets ? o La plupart du temps : drogues, faux papiers, carding, etc.  Beaucoup de fraudes Black markets spécialisés
  25. 25. Black markets spécialisés
  26. 26. Black markets spécialisés
  27. 27. • TRD fait figure d’exception o Orienté exploits : 0day – FUD – 1day private Black markets spécialisés
  28. 28. Black markets spécialisés
  29. 29. Black markets spécialisés
  30. 30. • Échanges avec le gérant de TRD o Concepteur de 0day(IRL) vendent en direct aux mêmes clients o TRD = Rôle d’intermédiaire o Profite des surenchères anonymes o IRL  Dark Web : juste une question de temps o Quelques 0day vendus très rapidement (Office et Flash = 100 k USD Black markets spécialisés
  31. 31. • Forums restrictifs o Cooptation souvent obligatoire o Paiement d’un droit d’entrée o Structure : catégories hacking, logiciels, fuite de données, services, etc. Forums restrictifs
  32. 32. • Base de données Adult Friend Finder Forums restrictifs
  33. 33. Étude de cas – MaaS
  34. 34. • Hacker Ping MaaS – Ping
  35. 35. • Contexte o Février 2015 : diffusion d’une BDD par un profil inconnu o Analyse des 15 fichiers par du social engineering o Mai 2015 : AFF admet publiquement la fuite MaaS – Forum Hell
  36. 36. • Diffusion du code source de kits d’exploit sur le forum Hell par Ping MaaS – Forum Hell
  37. 37. • Diffusion du code source de malware MaaS – Serveur de Ping
  38. 38. MaaS – Revente sur les BM
  39. 39. MaaS – Revente sur les BM
  40. 40. MaaS – Builder + Panel
  41. 41. MaaS – Builder + Panel
  42. 42. • Approche technique et stratégique de la Threat Intel sur le Dark Web o Limitée pour les APT o Hacktivisme surtout sur le Clear/Deep Web o Essentiellement cybercrime  Tendances générales et sectorielles  Mais peu ciblée (entreprises) Conclusion
  43. 43. Merci pour votre attention ! Contact : apetit@ceis.eu

×