4. • Threat = Menace
o Menace = Intention + Capacité + Opportunité
o 3 grandes menaces
Hacktivistes Idéologie
Cybercriminels Profit
Groupes « state-sponsored »
Dans une moindre mesure : concurrents –
« insiders »
Threat Intelligence – Notions
5. • Le renseignement est un produit
Il n'est pas le fruit d'une ingestion
pure et simple d'information mais le
produit d'une analyse particulière dans un
contexte donné
Thomas Chopitea – CERT SG
Threat Intelligence – Notions
6. • Intelligence = Renseignement
o Donnée Information Renseignement
o Cycle du renseignement
Threat Intelligence – Notions
Question
Collecte
TraitementAnalyse
Diffusion
7. • Technique
o IOC : IPs, URLS, listes de hashs, artefacts
système/réseau, etc.
o Destinée aux machines
o Durée de vie limitée
• Opérationnelle
o Permet d’anticiper une attaque
o HUMINT
4 types de Threat Intel
8. • Tactique
o Information sur les outils et méthodologies de
la menace (TTPs)
o Destinée aux équipes techniques
• Stratégique
o Peu technique
o Rapport de tendances sur les menaces :
intentions, affiliations, intérêts, objectifs,
capacités, plans, campagnes, etc.
o Destinée au board
4 types de Threat Intel
10. • Clear Web
o Ensemble des contenus indexés par les
moteurs de recherche classiques
o Contient des blogs, réseaux sociaux, sites de
diffusion, etc.
Notions
11. • Deep Web
o Ensemble des contenus non-indexés par les
moteurs de recherche classiques
o Contient des bases et banques de données,
bibliothèques en ligne gratuites ou payantes,
DNS, adresses IP, etc.
Notions
12. • Dark Web
o Outils spécifiques pour y accéder : Tor, I2P,
Freenet
o Très grande majorité des sites à caractère
criminel, mais pas que..
Notions
13. • Dark Web
o Analogie aux catacombes
o Moteurs de recherche de très faible qualité
o Utilisation des wikis pour s’orienter
Notions
16. Opération
•Reconnaissance
•Scenario d’attaque
•Scan
•Obtention de l’accès
•Maintien de l’accès
•Exécution
•Effacement des traces
Publicité
•Recel
•Revendication
Actes
préparatoires
•Acquisition de capacités
•Organisation humaine
et recrutement
Contexte
•Emergence du mobile
•Définition des objectifs
•Choix du mode
opératoire
Cyber Kill Chain revisitée
17. • Approche technologique
o Outils sur étagère
o Développement d’outils spécifiques
• Approche humaine
o Equipe multilingue
o Profils variés
Cellule TI stratégique/technique
18. • Où trouver les éléments permettant
d’identifier une menace potentielle ?
o Black markets généralistes
o Black markets spécialisés
o Forums restrictifs
Threat Intel & Dark Web
19. • Le précurseur Silk Road
o 02/2011 - Commerce de tous les types de biens
illégaux issus du banditisme classique (stupéfiants,
armes ou encore faux papiers)
o Ne proposait pas directement la vente des biens
o Mise en relation acheteurs et vendeurs --> Système
Escrow
Black markets généralistes
Source : FBI, entre 02/2011 et 09/2013
21. • Depuis la fermeture de Silkroad (11/2014) :
o Environ 80 blackmarkets
o Une vingtaine perdurent
o Evolution: Exit Scam en mars 2015 (#Evoscam)
Black markets généralistes
22. • Que trouve-t-on sur ces black markets ?
o Étude à partir des 3 plus gros black markets
o 65 000 annonces publiées
Black markets généralistes
24. • Que trouve-t-on sur ces black markets ?
o La plupart du temps : drogues, faux papiers,
carding, etc. Beaucoup de fraudes
Black markets spécialisés
30. • Échanges avec le gérant de TRD
o Concepteur de 0day(IRL) vendent en direct aux
mêmes clients
o TRD = Rôle d’intermédiaire
o Profite des surenchères anonymes
o IRL Dark Web : juste une question de temps
o Quelques 0day vendus très rapidement (Office
et Flash = 100 k USD
Black markets spécialisés
31. • Forums restrictifs
o Cooptation souvent obligatoire
o Paiement d’un droit d’entrée
o Structure : catégories hacking, logiciels, fuite
de données, services, etc.
Forums restrictifs
32. • Base de données Adult Friend Finder
Forums restrictifs
35. • Contexte
o Février 2015 : diffusion d’une BDD par un profil
inconnu
o Analyse des 15 fichiers par du social
engineering
o Mai 2015 : AFF admet publiquement la fuite
MaaS – Forum Hell
36. • Diffusion du code source de kits d’exploit sur le
forum Hell par Ping
MaaS – Forum Hell
37. • Diffusion du code source de malware
MaaS – Serveur de Ping
42. • Approche technique et stratégique de la
Threat Intel sur le Dark Web
o Limitée pour les APT
o Hacktivisme surtout sur le Clear/Deep Web
o Essentiellement cybercrime
Tendances générales et sectorielles
Mais peu ciblée (entreprises)
Conclusion