XMCO a eu l’occasion d’assister à la 7ème édition de la THCon (Toulouse Hacking Convention) le 20 et 21 avril 2023, situé au sein de l’Université Paul Sabatier à Toulouse.
De la démonstration d’outils automatiques et projets réalisés par des doctorants, aux retours d’expérience de professionnels jusqu’à la présentation de preuve de concepts innovantes, la THCon s’est voulue être éclectique dans les thèmes abordés à travers les 15 conférences proposées par l’édition 2023. En complément des conférences s’est tenue une « Rumping Session » permettant aux volontaires de présenter un sujet lors d’une courte présentation de 5 minutes, un Social Event le jeudi soir ainsi qu’un CTF (Capture The Flag) où plus de 150 passionnés se sont affrontés dans la nuit de samedi à dimanche.
À travers cet article, nous vous proposons un rapide résumé des quelques conférences qui ont le plus marqué nos consultants.
MASK ROMS AND MASKS OF ABSTRACTION
La première conférence a été présentée par Travis Goodspeed, un ingénieur en reverse originaire de l’est du Tennessee. Celle-ci portait sur la mémoire ROM des puces électroniques et la manière dont il a réussi à en lire le contenu au microscope. En utilisant la bonne procédure et les bons composants chimiques, Travis a pu faire disparaître la couche qui recouvre les bits de la mémoire. Lorsqu’il place la puce sous son microscope, il peut alors observer les différents bits la composant. Il doit trouver dans quel sens les lire, car une machine n’a pas besoin de lire de gauche à droite. Il peut alors enfin prendre une capture de l’état de la mémoire avec les bits visibles. Enfin, il importe cette capture dans un logiciel qu’il a créé ( https://github.com/travisgoodspeed/maskromtool ) et qui lui permet de compter automatiquement les différents bits présents afin de pouvoir les importer ensuite dans un décompilateur.
Cette technique lui a permis de lire des ROM présentes sur des cartes à puces plutôt anciennes, mais il a aussi expliqué que la pratique de ce genre de technique de reverse lui permet de comprendre les nouvelles technologies, à un niveau très bas d’abstraction.
HASH CRACKING : AUTOMATION DRIVEN BY LAZINESS, 10 YEARS AFTER
La seconde conférence a été présentée par David Soria, un pentester de la société Astar basée à Toulouse. Ce dernier a expliqué les changements et automatisations qu’il a pu réaliser tout au long de sa carrière lors de ses missions dans les environnements Active Directory entre autres, concernant la sécurité des condensats de mots de passe qu’il a pu trouver.
Au fil des années, il a développé Lestat (https://github.com/astar-security/Lestat), un outils qui automatise la découverte des hashs dans un AD, la génération des wordlists avec des mots clés/thèmes, le cracking de mots de passe et la récupération des résultats ainsi que la partie reporting.
En particulier, un problème soulevé par cet intervenant durant la conférence était le fait que les listes de mots de passe générés par d’autres outils (ex. John The Ripper) via une liste de mot prédéfinie n’était pas toujours pertinent. Fort de son expérience, il a remarqué que les utilisateurs qui forgent un mot de passe à partir d’informations confidentielles (nom de famille, lieu ou date de naissance, etc.) n’en utilisent jamais plus de 2 ou 3. Ainsi, Lestat se veut être un outils efficace et rapide dans un contexte ou les tests d’intrusion ne durent jamais plus que quelques semaines, au plus.
Concernant la partie reporting, David explique qu’elle lui prenait un temps non négligeable et que l’avoir automatisé lui permettait de faire un premier retour à ses clients de manière très rapide et visuelle sur l’état de la sécurité de leur Active Directory.
Fighting against DLL Search Order Hijacking, one SLAHP at a time.
La dernière présentation de la THCon présentée par Antonin Verdier, doctorant à l’IRIT (Institut de Recherche en Informatique de Toulouse) portait comme sujet le DLL Hijacking.
Lorsqu’un développeur nécessite une fonctionnalité spécifique déjà définie au sein d’une DLL (librairie dynamique Windows), il peut l’inclure dans son programme et utiliser les fonctions qu’elle contient. Pour des raisons de facilité, de flexibilité et de portabilité, les développeurs indiquent le chemin d’accès relatifs des DLL (typiquement leurs noms), et non le chemin absolu de leur emplacement sur le système de fichier. Comme l’explique Antonin, les attaquants peuvent tirer profit de la recherche de DLL sur le système par le programme (DLL search order) en injectant une DLL malveillante avec le même nom de la DLL légitime dans l’un des emplacements prédéfinis de recherche, ou dans le répertoire du programme. Celle-ci sera alors appelée puis exécutée à la place de la DLL légitime, menant par exemple à l’exécution de code arbitraire sur le système sous-jacent.
Ici, la solution présente contre le DLL (search order) hijacking est nommée SLAHP (Shared Library Anti Hacking Protector). SLAHP fonctionne en utilisant une politique de sécurité qui détaille quelles DLL peuvent être chargées (sur la base de hash et/ou de signatures numériques), et en interceptant chaque tentative d’un programme protégé de charger une DLL, en l’autorisant ou en la refusant sur la base de la conformité à cette politique de sécurité.
Repository Github du projet : https://github.com/lacaulac/SLAHP
