Quarkslab

Supply chain attack + vol de certificat =💥 Ou quand la Justice sert du malware à l’insu de son plein gré. fffmpeg, vous connaissez ? Celui que vous connaissez, c’est ffmpeg, avec 2 f, pas 3. fffmpeg est un dropper, un logiciel qui installe une backdoor. Il a été identifié le 10 mai dans un incident. Pourquoi ce dropper est intéressant ? 1️⃣ Il est téléchargé depuis le site de Justice AV Solutions (JAVS), dans l’installer JAVS.Viewer8.Setup_8.3.7.250-1.exe 2️⃣ Il est signé Authenticode, une technologie MS, tout comme l’installer. JAVS est un éditeur logiciel US fournissant les tribunaux pour enregistrer, lire et gérer l’audio et la vidéo des procédures judiciaires. Ils équipent 10000 clients, aux US, Canada et Afrique principalement. Rien de très original dans ce malware : vol de credentials, etc. L’intérêt réside ailleurs, dans l’opération elle-même. 🎁 L’inconnu : la distribution Avoir un malware, c’est bien le distribuer, c’est mieux ! C’est ce que se dit l’attaquant. Un certificat et un site web légitime qui propose le malware, c’est la fête. Et là, on ne sait rien pour le moment de comment JAVS.Viewer8.Setup_8.3.7.250-1.exe s’est retrouvé sur le site de l’éditeur. Mais opérationnellement, c’est bien joué : -il est signé -les cibles le récupère depuis un site est légitime (c’est quand même un partenaire de la Justice.) On l’installe en confiance. 🪧 Une signature kivabien fffmpeg est signé par une “Vanguard Tech Limited” avec les outils MS habituels. Les autres logiciels de JAVS sont signés par “Justice AV Solutions Inc.”. Bizarre ? Ben oui ! Ce fichier en récupère d’autres depuis le centre de commandement (C2) du malware, chargé par exemple de voler les credentials utilisés par des navigateurs. Vanguard est une société anglaise qui n’a rien à voir avec JAVS. Ils ont dû se faire voler leur certificat par l’attaquant. 🤑 The rise of Infrastructure as a Service On a donc un attaquant qui compromet une boîte pour voler son certificat et signer le malware, et le site d’une autre pour le distribuer. On trouve là une des dernières tendances des méchants : se fondre dans la masse. En ayant l’air légitimes, les attaques passent mieux. En début d’année déjà, et sans doute avant, un tel schéma avait été repéré (voir liens en commentaire). Les programmes sont écrits en Go et Rust, font appel à des endpoint communs sur les serveurs de commandes. Tout cela semble lié à l’acteur ShadowSyndicate. Plutôt que de faire du Ramsomware as a Service, il se spécialiserait dans la fourniture de l’infrastructure sous-jacente : site de distribution et certificat compromis, C2, etc. 🔔 Suivez-moi pour comprendre les enjeux du cyber et rentrer dans la tête des attaquants.

An estimated 4 billion individuals are expected to cast their votes in this historical election year. Does it sound like a cybersecurity challenge to you?   🗳️ While this number is impressive, one cannot overlook the immense technical security challenge it represents, particularly the e-voting systems. Safeguarding the integrity, privacy, and fairness of the electoral process in 2024 is essential to uphold democratic principles.   To address this key issue, Quarkslab worked with the ANSSI - Agence nationale de la sécurité des systèmes d'information and the Loria research unit/lab on analyzing the security of Belenios [1] an open-source, verifiable online voting platform. Throughout the audits, our experts reviewed all aspects of the solution, from the advanced cryptographic features to the evaluation of its web interface.   💪 The primary challenges encountered during these audits included:   1. Assessing the security of an e-voting system in the absence of a standardized, dedicated and publicly defined evaluation methodology publicly defined. 2. Understanding the complexity of e-voting solutions, which involve six distinct roles with specific tasks, adding depth to the analysis. 3. Evaluating the advanced cryptographic mechanisms, previously scrutinized by renowned experts from LORIA in the field.   ☝️ What were the outcomes?    1. Improving Belenios’ security thanks to our findings. 2. A joint publication with Loria scheduled for SSTIC 2024 showcasing our joint efforts and findings.   Our past and on-going collaborations with the LORIA on complex cryptographic protocols aims at building trust and transparency in the digital age.   Join us at the SSTIC to learn more about Belenios and the Certification Campaign: https://lnkd.in/ek_4GJkH 

Double down on cryptographic reverse-engineering at Ringzer0 Training DOUBLEDOWN24! Cryptography is often seen as a field restricted to highly qualified people with strong math backgrounds. This is exactly what this training wants to demystify! Our goal is for attendees to leave with a proper knowledge and toolkit to better tackle the reverse-engineering of cryptography within binaries. Join us for an intensive 4-day training session, "Reversing Cryptography in Black Box Binaries," from August 3-6 in Las Vegas! This new training covers: 👉 Localisation: we’ll do an introduction course to learn how to locate cryptography at a binary-level.   👉 Identification: then, we’ll focus on how to identify and characterize the located primitives. 👉 Testing: then, we’ll do some hands-on practice with various tools we developed to assess the conformity of a standard cryptographic primitive.   👉 Advanced Testing: finally, we’ll dig into more advanced testing techniques. Don’t miss this opportunity to elevate both your cryptographic and reverse-engineering skills! Register today : https://lnkd.in/eQTNTutv  

Ever wondered: How to reverse a PCB? How to spy on embedded devices? How do car chips work? How to solder under microscope? Then the CTF we are presenting at hardwear.io - Hardware Security Conference and Training is for you! We've got plenty of challenges related to various themes such as RFID, Bluetooth, automotive, micro-soldering, radio, and much more. We will provide the hardware hacking tools you might need as well as guidance on how to use them.  Come try to solve our hardware challenges, have fun and learn new skills! https://lnkd.in/gpQs2d97 

🦾 Entrepreneuriat et diversité, ou pourquoi je voterai encore contre le RN, LFI et autres extrêmes. On ne fait pas de politique sur LinkedIn ? Pourtant, gérer une boîte ou être manager, c’est faire de la politique. Il est de la responsabilité sociale des entreprises de mettre tout en oeuvre pour favoriser la diversité. 💥 Pourquoi n’en serait-il pas de même pour la société civile ? Je suis un homme. Je suis blanc. J’ai été élevé dans l’Ouest parisien. Je suis donc plus égal que les autres. J’ai pris ma 1ère claque lors des 3 jours, cette journée rassemblant des Français de partout, géographiquement et socialement. J’ai réalisé que tout le monde n’avait pas la chance que j’avais eue. J’ai pris ma 2ème claque à Ouagadougou, 1er séjour africain. J’enseignais le cyber à des locaux. J’écris au tableau. J’entends quelqu’un claquer des mains. Pour qui se prend-il ? Ca recommence. Je me retourne, en colère. Dans le mouvement, je me dis “oulala Fred, respire, tu es en Afrique, il peut y avoir des différences”. Alors que chez nous, claquer des doigts ou des mains pour attirer l’attention est assez insultant, là, c’était la norme. On est différent. On naît différent. On pense différemment. On voit le monde différemment. Et c’est tant mieux. Depuis ces claques et d’autres, j’ai toujours pris soin de cultiver la différence. Car elle nous enrichit. Une grosse part de ce que nous faisons consiste à générer des idées, résoudre des problèmes, et être créatif. Avec des personnes d'horizons différents, des expériences de vie différentes, des cultures différentes, on génère plus de meilleures idées. Ça crée des situations cocasses. J’ai mis un bail à comprendre que les plans de rues sont orientés avec ce qui est devant nous, et non le nord, au Japon. Mais quand je monte une équipe sur un projet, je m’assure que les participants sont bien différents car c’est comme ça qu’on obtient les meilleurs résultats. On cherche des vulnérabilités dans une application. Si tout le monde regarde la même chose de la même manière, on a moins de chance d’en trouver. 👉 On est plus intelligents à plusieurs. À condition d’être différents. Les extrêmes sont clivants, ils rejettent un ennemi vague et indéfinissable : les étrangers, les élites, les riches... Ils segmentent. Eux versus nous. C’est l’opposé de la diversité qui consiste à apprendre de l’autre plutôt que de se replier sur soi. Je préfère l’action, à mon niveau avec mes moyens, aux politiques. Alors je n’ai voté que 3 fois dans ma vie. Systématiquement contre le FN / RN. La diversité me rend meilleur, rend la société meilleure, alors j’irai voter une 4ème fois pour m’opposer à ceux qui ne veulent pas de diversité. 🔔 Suivez-moi pour un cocktail de leadership, entrepreneuriat et cyber.

Naviguez facilement dans les binaires de votre système ! Rejoignez-nous à l'ESIEA Secure Edition - ESE pour une présentation sur les défis liés aux firmwares structurés modernes. Eloïse Brocas présentera Pyrrha, un outil conçu pour aider les analystes en rétro-ingénierie à mieux visualiser les différents binaires et bibliothèques du firmware, ainsi que leurs interactions, sous forme de graphes de dépendance. À la recherche d’une solution facilitant la navigation dans les binaires de votre système ? Rendez-vous demain ! 📅 25 Mai 2024   📍 ESIEA Paris  🌐 https://ese.esiea.fr/

Finding low-hanging fruits vulnerabilities in complex software without too much headaches.     Join Madimodi Diawara at StHack 0x7e8 where he’ll talk about AV Security and explore how to identify exploitable vulnerabilities in complex software with minimal effort.    StHack 0x7e8 has become a significant event on the cybersecurity calendar, known for its engaging and highly informative sessions. And as one of the sponsors, we are especially looking  forward to attend it.     For more information about the event, please visit: https://www.sthack.fr/    📅 24 May 2024  📍Bordeaux 

Last day at IOT Solutions World Congress 2024 in Barcelona and there is still time to visit us on STMicro’s stand #121. Quarkslab and STMicroelectronics are collaborating to enhance the security of connected devices using ST components. Leveraging our extensive experience in reverse engineering and cryptography, we aim to make attacks on these devices significantly more challenging. We’re proud to be part of the STPartner Program, helping customers safeguard data and intellectual property on their connected devices. Xavier Xemard, Nicole Lua and Sylvain Quack are available for personalized demo. Book your slot: https://lnkd.in/eMBadCuE    #STPartnerProgram #IoTSWC2024 Gilles Alcocer, Dubois Laetitia, Marlene Jay

Stay ahead of IoT regulatory requirements! Join us at the IOT Solutions World Congress to discover solutions to safeguard your sensitive data, devices, and applications! Upcoming regulations emphasize safety, privacy, and security in IoT deployments. 👉 The IoT market is shaped by the RED's safety, privacy, and fraud protection rules, advising encryption and obfuscation. 👉 The CRA further demands key cryptography and runtime integrity, promoting early software countermeasures.  👉 OWASP standardizes mobile app security, including runtime and anti-tampering. 👉 The IEC 62443 series of standards focuses on the security of industrial automation and control systems.  👉 ETSI EN 303 645 provides a security baseline for connected consumer products. Nicole Lua, Sylvain Quack, and Xavier Xemard are on site to meet you and deliver personalized demos. 📍 stand #121 #STPartnerProgram #IoTSWC2024 #STAuthorizedPartner Gilles Alcocer, Dubois Laetitia, Marlene Jay

🦠 Tu veux développer des malware sans qu’ils soient détectés ? Utilise un certificat kivabien! Les OS et les navigateurs embarquent des tonnes de certificats pour gérer leur confiance en des programmes tiers : 159 chez Apple, 404 chez MS. Il existe 2 niveaux de certificats : code signing (CS) et extended validation (EV). Avec un certif EV, Microsoft Defender SmartScreen n’affiche pas le pop-up sur l’origine inconnue du fichier quand il est exécuté. Intéressant quand on développe un malware non ? 3 manières d’obtenir des certificats ⚒️ Péter la crypto Flame (2012) s’appuyait sur un certificat Terminal Server autorisant la signature de code et reposant sur MD5. Les auteurs ont construit une nouvelle variante de collisions pour signer leur malware en tant que Microsoft. En 2017, la lib crypto d’Infineon, fabriquant de TPM et et Secure Element, est victime de ROCA : Return of Coppersmith's Attack. Le coût pour péter une clé RSA 2048 passe alors à 20000$, et pour RSA 1024 à 14$. Conséquences ? Bitlocker, DPAPI, ou des services Active Directory sont impactés sur les machines avec des puces Infineon. 🥷 Voler un certificat Stuxnet (2010), DuQu (2011) ont montré la voie avec des certificats volés. En 2011, DigiNotar (depuis en faillite) et Comodo sont piratés, et TurkTrust en 2013. Que des autorités de certification. En 2019, l’opération ShadowHammer a compromis ASUS Live Update en signant des versions malveillantes du logiciel avec un certificat légitime d’ASUS. Une mise à jour, légitime puisque signée, et hop, une infection \o/ 💰Faire signer son certificat par un certificat valide Comment ? Usurpation d’identité ! La vérification par les issuers pour les certificats CS est sommaire : 1 Validation de l’organisation : il suffit d’être dans le registre national des boîtes. Coût: enregistrer une boite (10-10000$ selon le pays) 2 Validation du domaine: l’issuer envoie un mail avec un lien au contact du domaine dans le whois : il suffit de cliquer sur le lien. Coût: installation d’un serveur de mails 3 Callback: l’issuer (un automate) appelle pour vérifier le numéro donné dans le whois. Coût : 0 Le travail est plus complexe pour un certif EV. Il existe un business pour signer son malware. Des acteurs fournissent l’infrastructure, trouvent les cibles dont ils vont usurper l’identité, enregistrent les sociétés fictives... L’acteur SolarMarker signe avec un nouveau certificat toutes les semaines depuis plusieurs années, voire plusieurs fois par semaine depuis Sept. 23. Bon business non ? 🔔 Suivez-moi pour comprendre les enjeux du cyber et rentrer dans la tête des attaquants.