Le document traite de l'intelligence sur les menaces (threat intelligence) dans le contexte du dark web, en abordant les types de menaces, les méthodes de collecte et d'analyse d'informations. Il distingue également le clear web, le deep web et le dark web, et décrit les interactions entre la threat intelligence et les activités criminelles sur ces plateformes. Enfin, le document utilise des études de cas pour illustrer les dynamiques des marchés noirs et des forums restreints liés au cybercrime.

1. Approche stratégique et tactique de la
Threat Intelligence sur le Dark Web
Adrien Petit – CEIS

2. • Concept de la Threat Intelligence
• Visite guidée du Dark Web
• Interaction entre Threat Intelligence et Dark Web
• Étude de cas
Roadmap

3. Concept de la Threat Intel

4. • Threat = Menace
o Menace = Intention + Capacité + Opportunité
o 3 grandes menaces
 Hacktivistes  Idéologie
 Cybercriminels  Profit
 Groupes « state-sponsored »
 Dans une moindre mesure : concurrents –
« insiders »
Threat Intelligence – Notions

5. • Le renseignement est un produit
 Il n'est pas le fruit d'une ingestion
pure et simple d'information mais le
produit d'une analyse particulière dans un
contexte donné
Thomas Chopitea – CERT SG
Threat Intelligence – Notions

6. • Intelligence = Renseignement
o Donnée  Information  Renseignement
o Cycle du renseignement
Threat Intelligence – Notions
Question
Collecte
TraitementAnalyse
Diffusion

7. • Technique
o IOC : IPs, URLS, listes de hashs, artefacts
système/réseau, etc.
o Destinée aux machines
o Durée de vie limitée
• Opérationnelle
o Permet d’anticiper une attaque
o HUMINT
4 types de Threat Intel

8. • Tactique
o Information sur les outils et méthodologies de
la menace (TTPs)
o Destinée aux équipes techniques
• Stratégique
o Peu technique
o Rapport de tendances sur les menaces :
intentions, affiliations, intérêts, objectifs,
capacités, plans, campagnes, etc.
o Destinée au board
4 types de Threat Intel

9. Visite guidée du Dark Web

10. • Clear Web
o Ensemble des contenus indexés par les
moteurs de recherche classiques
o Contient des blogs, réseaux sociaux, sites de
diffusion, etc.
Notions

11. • Deep Web
o Ensemble des contenus non-indexés par les
moteurs de recherche classiques
o Contient des bases et banques de données,
bibliothèques en ligne gratuites ou payantes,
DNS, adresses IP, etc.
Notions

12. • Dark Web
o Outils spécifiques pour y accéder : Tor, I2P,
Freenet
o Très grande majorité des sites à caractère
criminel, mais pas que..
Notions

13. • Dark Web
o Analogie aux catacombes
o Moteurs de recherche de très faible qualité
o Utilisation des wikis pour s’orienter
Notions

14. Dark Web sous-ensemble du Deep
Clear Web
Deep Web
Dark Web

15. Interaction TI & Dark Web

16. Opération
•Reconnaissance
•Scenario d’attaque
•Scan
•Obtention de l’accès
•Maintien de l’accès
•Exécution
•Effacement des traces
Publicité
•Recel
•Revendication
Actes
préparatoires
•Acquisition de capacités
•Organisation humaine
et recrutement
Contexte
•Emergence du mobile
•Définition des objectifs
•Choix du mode
opératoire
Cyber Kill Chain revisitée

17. • Approche technologique
o Outils sur étagère
o Développement d’outils spécifiques
• Approche humaine
o Equipe multilingue
o Profils variés
Cellule TI stratégique/technique

18. • Où trouver les éléments permettant
d’identifier une menace potentielle ?
o Black markets généralistes
o Black markets spécialisés
o Forums restrictifs
Threat Intel & Dark Web

19. • Le précurseur Silk Road
o 02/2011 - Commerce de tous les types de biens
illégaux issus du banditisme classique (stupéfiants,
armes ou encore faux papiers)
o Ne proposait pas directement la vente des biens
o Mise en relation acheteurs et vendeurs --> Système
Escrow
Black markets généralistes
Source : FBI, entre 02/2011 et 09/2013

20. • Système Escrow ou dépôt fiduciaire
Black markets généralistes

21. • Depuis la fermeture de Silkroad (11/2014) :
o Environ 80 blackmarkets
o Une vingtaine perdurent
o Evolution: Exit Scam en mars 2015 (#Evoscam)
Black markets généralistes

22. • Que trouve-t-on sur ces black markets ?
o Étude à partir des 3 plus gros black markets
o 65 000 annonces publiées
Black markets généralistes

23. Black markets généralistes
Source : Etude CEIS – Juin 2015

24. • Que trouve-t-on sur ces black markets ?
o La plupart du temps : drogues, faux papiers,
carding, etc.  Beaucoup de fraudes
Black markets spécialisés

25. Black markets spécialisés

26. Black markets spécialisés

27. • TRD fait figure d’exception
o Orienté exploits : 0day – FUD – 1day private
Black markets spécialisés

28. Black markets spécialisés

29. Black markets spécialisés

30. • Échanges avec le gérant de TRD
o Concepteur de 0day(IRL) vendent en direct aux
mêmes clients
o TRD = Rôle d’intermédiaire
o Profite des surenchères anonymes
o IRL  Dark Web : juste une question de temps
o Quelques 0day vendus très rapidement (Office
et Flash = 100 k USD
Black markets spécialisés

31. • Forums restrictifs
o Cooptation souvent obligatoire
o Paiement d’un droit d’entrée
o Structure : catégories hacking, logiciels, fuite
de données, services, etc.
Forums restrictifs

32. • Base de données Adult Friend Finder
Forums restrictifs

33. Étude de cas – MaaS

34. • Hacker Ping
MaaS – Ping

35. • Contexte
o Février 2015 : diffusion d’une BDD par un profil
inconnu
o Analyse des 15 fichiers par du social
engineering
o Mai 2015 : AFF admet publiquement la fuite
MaaS – Forum Hell

36. • Diffusion du code source de kits d’exploit sur le
forum Hell par Ping
MaaS – Forum Hell

37. • Diffusion du code source de malware
MaaS – Serveur de Ping

38. MaaS – Revente sur les BM

39. MaaS – Revente sur les BM

40. MaaS – Builder + Panel

41. MaaS – Builder + Panel

42. • Approche technique et stratégique de la
Threat Intel sur le Dark Web
o Limitée pour les APT
o Hacktivisme surtout sur le Clear/Deep Web
o Essentiellement cybercrime
 Tendances générales et sectorielles
 Mais peu ciblée (entreprises)
Conclusion

43. Merci pour votre attention !
Contact : apetit@ceis.eu