Go to content

Compte-rendu de la conférence CoRIIN 2016

CoRIIN 2016

Après avoir été présent au FIC 2016 (Forum International sur la Cybersécurité) à Lille, CONIX a assisté le 27 janvier dernier à la deuxième édition de la Conférence sur la Réponse aux Incidents et l’Investigation numérique (CoRIIN 2016) organisée par le Centre Expert contre la Cybercriminalité Français (CECyF). L’objectif de cette conférence était de rassembler une communauté d’experts autour de conférences et de discussions traitant du sujet.

La conférence CoRIIN 2016 comportait plusieurs présentations techniques très intéressantes, nous allons cependant faire un focus sur la première et la dernière de la journée.

Lors de la première, intitulée « Analyse de codes malveillants complexes », Paul Rascagnères (@r00tbsd) nous présente « FastIR », un outil open-source développé en Python qui permet de collecter des artefacts sur plusieurs postes Windows et centraliser les informations. Grâce à cette collecte il est possible de détecter les symptômes de la compromission d’un parc Windows de façon globale.

FastIR peut collecter des informations disponibles sur le système de fichier (Services, sessions, partages réseaux, historique de Internet Explorer…), dans la base de registre (Autoruns, documents récents, l’historique USB…), mais aussi effectuer des dumps à distance (MFT, MBR, RAM…), de faire passer des règles Yara sur le système ou même de lancer des recherches par filtres avancés. Davantage d’informations sont disponibles directement sur le Github.

La seconde présentation que nous avons beaucoup appréciée est celle de Vladimir Kolla qui présente un retour d’expérience sur l’audit inforensique d’un système d’information de plusieurs milliers de postes et serveurs, sans même savoir quoi chercher. Cette conférence devait cependant rester confidentielle et nous ne pourrons donc pas plus en parler.

Cette journée fut très enrichissante et l’ambiance était au rendez-vous, il est cependant dommage que la conférence ne dure qu’une seule journée. Nous vous disons donc à l’année prochaine!