Sommaire

Introduction

La SO-CON est une conférence de sécurité informatique organisée par SpecterOps depuis plusieurs années. La conférence a pour but de regrouper des experts du domaine pour partager des connaissances et échanger autour de sujets à enjeux forts comme la sécurité des environnements Active Directory. C’est aussi l’occasion de découvrir de nouvelles approches, techniques et outils. Grâce à Hackcyom, j’ai eu le privilège de participer à cet événement. Cet article vise à partager les moments forts, les choses que j’ai pu apprendre ainsi que mon expérience sur cet événement.

Aperçu de la SO-CON 2024

Cette année la SO-CON se déroulait à Arlington (juste à côté de Washington D.C) pendant 5 jours. Le premier jour était dédié aux conférences avec le programme suivant :

Les conférences étaient divisées en 3 tracks :

  • Discover
  • Explore
  • Evolve

Les 4 autres jours étaient dédiés aux formations proposées par SpecterOps parmis les suivantes :

  • Red Team Operations
  • Tradecraft Analysis
  • Detection
  • Azure Security Fundamentals

Je n’ai personnellement pas participé aux formations donc je parlerai uniquement des conférences dans l’article. En parrallèle des conférences et des formations, tous les participants avaient la possibilités de participer à un CTF. L’objectif du CTF était de dérouler un chemin de compromision dans un environnement d’entreprise simulé.

Il y avait à disposition 3 scénarios :

  • The Last Ones
  • Glass Turnip
  • The Takedown of G-Corp

J’ai eu l’occasion de tester les 3 scénarios mais celui sur lequel j’ai passé le plus de temps est “Glass Turnip” où j’ai réussi à terminer en première position et remporter un Flipper Zero !

Maintenant que vous voyez un peu plus comment l’événement se déroule nous allons pouvoir creuser les différentes présentations qui m’ont marquées.

Intervenants et présentations marquantes

Précedemment je vous expliqué que la conférence était divisée en plusieurs tracks ce qui veut donc dire que je n’ai pas pu assister à la totalité des présentations. Dans l’article je ne parlerai donc que des conférences auxquelles j’ai pu assister. Cependant vous pouvez trouver l’intégralité des supports de présentations sur le Github de SpecterOps. Je vais vous parler des conférences qui m’ont le plus marqué et que j’ai le plus apprécié.

Project Apeman: Mapping AWS Identity Attack Paths by Daniel Heinsen

Cette présentation introduit “Apeman”, un outil conçu pour analyser les environnements AWS et trouver des chemins d’attaque et identifier les actifs de “Tier 0”. Daniel présente la difficulté d’analyser les politiques AWS, ainsi que les défis qu’il faut affronter pour trouver des chemins de compromission. La présentation explique le concept de Resultant Set Of Policy (RSOP), explore les permissions AWS, l’anatomie des politiques et la façon dont Apeman navigue dans ces complexités pour cartographier les chemins d’attaque potentiels dans les environnements AWS. Il a aussi expliqué comment Apeman était capable de définir et trouver des actifs de Tier 0. On a aussi l’opportunité d’avoir plusieurs démonstrations de l’outil qui n’est pas encore sorti en opensource.

Domain Persistence: Detection, Triage, and Recovery by Josh Prager & Nico Shyne

La présentation de Josh Prager et Nico Shyne se concentrait sur la persistance dans les environnements Active Directory, un élément crucial pour la sécurité de la plupart des systèmes d’information. Ils ont exploré des techniques de persistences telles que les golden tickets, diamond tickets, golden certificate. En plus d’expliquer le fonctionnement précis des différentes techniques de persistences, ils expliquent aussi de manière très précise comment détecter et remédier à ces techniques. Leur travail a mis en évidence l’importance de détecter ces comportements malveillants et a proposé des stratégies pour la post-compromission, soulignant la nécessité de plans de récupération bien préparés pour une réponse rapide et efficace à de tels incidents.

Identity Providers for Red Teamers by Adam Chester

Dans ce talk Adam présente différentes techniques d’attaques sur les Identity Providers (IdP) basés dans le cloud, en décrivant les topologies de déploiement courantes et les différentes façons de les exploités pour un Red Teamer. La présentation couvre diverses méthodes d’attaque, y compris l’exploitation des appels de la fonction de la Win32 API LogonUserW trouvés dans de nombreux agents IdP et les techniques d’usurpation d’agent sur différentes plateformes (Okta, Entra ID, OneLogin, Ping). Il aborde également l’authentification Kerberos, les attaques SAML et certains scénarios de phishing. Il termine sa présentation en expliquant les différents problèmes qu’il a pu rencontrer quand il faisait ses recherches et il donne aussi des conseils et ressources pour les Blue teamers.

NTLM: The Legacy Protocol That Won’t Die by Elad Shamir

Durant sa présentation Elad Shamir explore NTLM, l’héritage du protocole, ses vulnérabilités et le défi que représentent les attaques par relais NTLM. La présentation décrit le mécanisme challenge-response de NTLM, l’évolution de NTLMv1 à NTLMv2, et les spécificités des attaques de relais NTLM, y compris les stratégies de défense telles que la signature, le channel binding, et le groupe “Protected Users”. Il présente aussi différents scénarios qu’on peut utiliser dans des cas réels, comme le relais HTTP vers LDAP(S) et l’enrôlement de certificats, ainsi que la feuille de route de Microsoft pour l’abandon de NTLM et la possibilité de désactiver NTLM par défaut à l’avenir.

Mon expérience à la SO-CON

J’ai vraiment apprécié cette première expérience à la SO-CON. C’est vraiment le premier événement où je regrette de ne pas pouvoir me dédoubler pour pouvoir assister à plusieurs tracks en même temps (j’ai pourtant participé à de nombreux événements de cybersécurité), tous les sujets étaient intéressants et présentés par les plus grands experts du domaine. C’était aussi l’opportunité de rencontrer et d’échanger avec des experts du domaine. L’organisation était au top du début jusqu’à la fin. En bref une expérience 100% réussie pour moi.

Et bien sur comme à chaque événement c’était aussi l’occasion de récupérer des goodies :

Conclusion

Pour conclure, si vous êtes quelqu’un de passionné par tous les sujets liés à la sécurité Active Directory, Windows et Cloud. Je vous invite fortement à tenter l’expérience et venir à la SO-CON 2025. Je tiens à remercier Hackcyom de m’avoir donné l’opportunité de participer à cet événement incroyable.