November 4th & 5th, 2022 @ Brest

UNLOCK YOUR BRAIN, HARDEN YOUR SYSTEM #UYBHYS22

This event is jointly organized by the Cantine numérique Brest and DIATEAM with the support of our sponsors.

Buy ticket
UYBHYS22 Sticker Image

Workshops: 4th november

Mobile Reverse Engineering with r2frida

Alex SOLER ALVAREZ (NowSecure)

Eduardo NOVELLA

Combining dynamic with static analysis is the key to quickly solving many challenges when performing binary analysis. Have you ever thought about combining Radare2 with Frida? This combination has given birth to "r2frida", an IO plugin that allows you to put the power of Frida into r2land.

During this workshop, we will walk you through how to use "r2frida", primarily on mobile apps. Attendees will learn about offensive mobile security, e.g how to unpack malware or bypass security protections. The workshop is suitable for pentesters, reversers, malware analysts and mobile developers who want to learn more about mobile security.

Buy ticket

Analyzing Cobalt Strike Beacons, Servers and Traffic

Didier STEVENS (NVISO)

In this 2 hour workshop, we will use new tools developed by Didier Stevens to deal with malicious Cobalt Strike beacons.

There used to be a time, that a blue teamer could say: "this sample I just analyzed is a Cobalt Strike beacon: I'm sure this is a pen test".

That is no longer the case: Cobalt Strike has become very popular with common criminals, and even some APT crews. Nowadays, if you encounter a Cobalt Strike sample, your organization is more likely to be under real attack than under simulated attack...

Buy ticket Read More

Analyzing Cobalt Strike Beacons, Servers and Traffic

Didier Stevens

In this 2 hour workshop, we will use new tools developed by Didier Stevens to deal with malicious Cobalt Strike beacons.

There used to be a time, that a blue teamer could say: "this sample I just analyzed is a Cobalt Strike beacon: I'm sure this is a pen test".
That is no longer the case: Cobalt Strike has become very popular with common criminals, and even some APT crews.
Nowadays, if you encounter a Cobalt Strike sample, your organization is more likely to be under real attack than under simulated attack.

Didier has developed tools to extract the configuration of Cobalt Strike beacons, to detect Cobalt Strike beacons and to analyze/decrypt Cobalt Strike network traffic.

These tools allow you to deal with Cobalt Strike beacons, without having to reverse engineer malicious code.

As usual, this workshop is 100% hands-on. Just a few slides, many exercises.

BIO: Didier Stevens (SANS ISC Handler, Microsoft MVP) is a Senior Analyst working at NVISO (https://www.nviso.be). Didier is a pioneer in malicious document research and analysis, and has developed several tools to help with the analysis of Cobalt Strike artifacts. You can find his open source security tools on his IT security related blog. http://blog.DidierStevens.com

COMMSEC LAB: Template Injection On Hardened Targets

Lucas PHILIPPE (YesWeHack)

During his Black Hat 2015 presentation, James Kettle explained how template injections could lead to code execution. At the end of the talk, he recommended running applications in containers with limited privileges and read-only file system.
Six years later, containers are now the standard of web-app deployment and getting code execution inside a well isolated container can be seen as low impact. In this workshop we will explore new template injection techniques specially crafted for hardened environment.

We will focus on two environments:

  • Python with Flask / Jinja2
  • JavaScript with Express / Vue
We will build our own tooling in Python to solve a series of challenges with increasing difficulty.

Buy ticket

Talks: 5th november

Le droit de la violence numérique : légitime défense et action offensive

Marc-Antoine LEDIEU (Ledieu-Avocats)

Les professionnel(le)s de la sécurité des systèmes d'information - dans leur immense majorité - ignorent qu'il existe des règles légales qui s'appliquent à leur métier.

Ils/elles bottent facilement en touche en se définissant comme "hacker éthique" (traduire par "pirate moral" , ce qui est objectivement un oxymore).

Et si on faisait un peu de droit ?

Regardons quelles sont les règles légales applicables à un accès et à un maintien dans un système d'information, ce qu'est la légitime défense numérique, et si les actions numériques offensives sont autorisées (ou non).

Et si on regardait aussi ces règles à partir de cas pratiques ?

Buy ticket

L’outil de reconnaissance Hunt3r

William LE BERRE (BZHunt)

Joshua MARTINELLE (Tenable)

Hunt3r aims to simplify domain recognition by trying to combine three things :

  • Speed of scans
  • Accuracy of results
  • Ease of use of the data

Hunt3r does not want to be the most complete tool possible but the one that best fits our methodology.

In an era where everyone relies heavily on automation, this thread from Jhaddix explains perfectly why you should build a tool that fits your needs.

So before using Hunt3r ask yourself if the tool fits you. In our case the tool is mainly developed to scan a lot of targets in parallel with speed by optimizing the results and the time spent.

Buy ticket

Ratatouille, Hidden Remote Administration Tool

Ayrwan GUILLERMO (DGA-MI)

Le sujet de cette intervention, basée sur la démonstration, est de vous partager ce que j'ai développé comme outil chez DIATEAM lors de mon stage de fin d'études d'ingénieur de l'ENSTA Bretagne.

Cet outil permet de contrôler un ordinateur (Windows) à distance (visualisation de l'écran, contrôle souris/clavier) sans que l'utilisateur n'ait le visuel de ce que l'attaquant fait.

L'idée sous-jacente est de créer un autre "Desktop" que celui utilisé par l'utilisateur puis d'interagir avec ce "Desktop" pour récupérer les images des fenêtres et envoyer les contrôles.

Une seconde version qui sera présentée permet de faire passer le flux de communications par "twitch.tv", l'image de l'écran étant streamée et les contrôles souris/clavier passant dans le chat.

Buy ticket

Étude d’un port en guerre : approche par l’analyse du flux de containers

François Guiziou - Docteur en géographie et chercheur au CNRS (laboratoire IDÉES - UMR 6266)

La présentation s’attachera à traiter les flux de containers comme un proxy pour évaluer sur plusieurs années les évolutions d’un conflit civil dans un État du Moyen-Orient. Des statistiques en la matière existent, fournies - chèrement - par des contractors aux institutions internationales, mais leur qualité est très variable selon les régions, particulièrement en zone de conflit. Dans ce cas précis, elles sont a minima sujettes à caution.

Pour dépasser ces limites, une méthode OSINT aussi simple qu’efficace a été développée. Il s’agit d’analyser des images satellites accessibles aisément (i.e. Google Earth/Maxar), d’identifier les différentes zones traitant les containers (connaissance métier) puis de définir leur niveau d’occupation (SIG/Qgis). Cette méthode est surtout un changement de paradigme dans le traitement des données concernant les containers : il ne s’agit plus de les dénombrer mais d’évaluer leur occupation spatiale par zone. L’avantage de cette méthode est sa grande simplicité permettant de former rapidement des opérateurs à son fonctionnement et pour des résultats robustes...

Buy ticket Read More

Étude d’un port en guerre : approche par l’analyse du flux de containers

François Guiziou

La présentation s’attachera à traiter les flux de containers comme un proxy pour évaluer sur plusieurs années les évolutions d’un conflit civil dans un État du Moyen-Orient. Des statistiques en la matière existent, fournies - chèrement - par des contractors aux institutions internationales, mais leur qualité est très variable selon les régions, particulièrement en zone de conflit. Dans ce cas précis, elles sont a minima sujettes à caution.

Pour dépasser ces limites, une méthode OSINT aussi simple qu’efficace a été développée. Il s’agit d’analyser des images satellites accessibles aisément (i.e. Google Earth/Maxar), d’identifier les différentes zones traitant les containers (connaissance métier) puis de définir leur niveau d’occupation (SIG/Qgis). Cette méthode est surtout un changement de paradigme dans le traitement des données concernant les containers : il ne s’agit plus de les dénombrer mais d’évaluer leur occupation spatiale par zone. L’avantage de cette méthode est sa grande simplicité permettant de former rapidement des opérateurs à son fonctionnement et pour des résultats robustes.

Il est ainsi possible de mieux décrire les événements, à court et long termes, d’une guerre par l’étude d’un port et de son terminal dédié aux containers. Les flux marchands doivent absolument rentrer en compte dans l’évaluation d’une situation conflictuelle, mais sont bien souvent relégués au rang d’informations accessoires, loin derrière le militaire.

Francois H. Guiziou est docteur en géographie et chercheur au CNRS (laboratoire IDÉES - UMR 6266). Il est spécialisé sur l’étude des ports et du transport maritime dans le sud de la mer Rouge et sur la façade de l’Afrique de l’Est.

Et si on cassait RSA ?

Kwame YAMGNANE

RSA est un protocole de sécurité, l’un des piliers d’internet. Sans lui pas de HTTPS avec tout ce que cela sous-entend.

Et pourtant, les technologies quantiques pourraient le casser, rendant Internet moins sûr ?

Ce talk a pour but de vous présenter les ordinateurs quantiques, leurs concepts et leurs portées.

Buy ticket

Bonjour, votre pentest est idiot !

Jean-Philippe GAULIER

Depuis plus de vingt ans, la crème des audits est détenue par le test d'intrusion. Révélation masochiste ou triste réalité technique, il existe peu de rapports où l'attaquant fictif ne ressort pas grand vainqueur de son défi.

En 2022, la majorité des tests demandés sont encore purements technique. Un Active Directory pour 5 postes windows, des bases de données en écoute directe sur Internet, des frameworks de développements obsolètes depuis plus de trois ans, des XSS stockés, voilà notre quotidien... Comment cela peut-il encore arriver après plus de 20 ans de tests techniques et une forte publication scientifique et présence médiatique ?! Qu'est-ce que nous manquons ?

A travers plus de deux ans d'audit autour de l'hygiène de la sécurité informatique, bien loin des standards internationaux, nous reviendrons sur les écueils les plus flagrants que nous avons rencontrés dans les PME françaises et sur les pistes de sparadraps à appliquer pour avoir l'espoir un jour de trouver de véritables défis pour nos hackers en herbe.

Buy ticket

Dumping firmware from a SATA SSD for fun & learning purpose

Samy LAHFA

Dumping firmware from hardware is usually quite obscure for the uninitiated and requires some specific hardware (but don't worry; it's mostly cheap).This talk hopes to shed some light on the steps, difficulties and gotchas that can be encountered during hardware reverse engineering by using a SATA SSD as an example. It also briefly explains what needs to be done, after dumping, in order to get started on reverse engineering and hopefully find some golden security vulnerabilities in embedded firmware.Dumping firmware from an SSD isn't a straightforward process, from being able to recognize the SPI chips to bottlenecks related to the hardware at your disposal and specifics of your target board.

At first, a way to identify the SPI chips on an example target board will be showcased, as well as pointers on how to read the technical documentation.We'll show a simple way to dump an SSD's firmware by using low-cost hardware, as well as a quick explanation on Flashrom usage, the software I used to interact with the chip. We'll also be diving into some issues that can arise when dumping an SPI firmware and how to troubleshoot them, namely, hardware issues leading to garbage being dumped, or even bricking the hardware in rare cases !

Finally, we'll show how some details can help us find the correct architecture of the target machine, necessary for starting reversing the firmware in tools such as Ghidra or any other reverse engineering software.

Buy ticket

RedTeaming in a Jurassic World

Adrien BARCHAPT (DIATEAM)

Lors de l'élaboration de scénarios d'entraînement nous sommes de plus en plus confrontés a de nombreux outils défensifs, EDR,AV,SOAR,SIEM,XDR...

Ces outils bien que facilitant le travail des équipes défensives, et rendant notre tâche plus compliquée, peuvent devenir parfois de précieux alliés pour une RedTeam.

Au travers d'une présentation et de courtes démonstrations, il sera démontré la capacité de transformer un outil défensif déjà déployé sur un parc en Agent malveillant.

Buy ticket

Applying MITRE ATT&CK framework to analyze ransomware campaigns

Marc Rivero LOPEZ (kaspersky)

State of the art related to ransomware is one of the principal concerns for either private & public organizations. Since the ransomware transitioned to a RaaS model, we could spot how the different groups adapted their TTPs to that evolution. Be aware of the TTPs of these ransomware groups; it will be the glue that can bind together multiple diverse teams operating at different levels with different priorities. The Global Research and Analysis team, also known as the GReAT team from Kaspersky, analyzed thousands of operations made by the other RaaS groups and drew conclusions regarding how these operations are conducted and on which TTPs should the industry focus to either track them or defend the different organizations.

We drew on our statistics to select the most popular groups, analyzed the attacks they perpetrated in detail, and employed techniques and tactics described in MITRE ATT&CK® to identify a large number of shared TTPs.

By tracking all the groups and detecting attacks, we see that the core techniques remain the same throughout the cyber kill chain. The attack patterns thus revealed are not accidental because this class of attack requires the hackers to go through certain stages, such as penetrating the corporate network or the victim's computer, delivering malware, further discovery, account hijacking, deleting shadow copies, removing backups, and finally, achieving their objective.

Buy ticket

Communication de crise cyber : quand les attaquants s'en mêlent et que l'on s'emmêle !

Stéphanie LEDOUX (ALCYCONIE)

La communication constitue l’un des principaux vecteurs de mitigation des impacts d’une crise. La particularité des crises cyber ?

La communication offre aux attaquants un levier redoutablement efficace pour faire pression voire un chemin d’attaque supplémentaire. Cela est d’autant plus vrai quand les spécificités de la communication de crise cyber ne sont pas maîtrisées.

Du hoax à l’achat d’espace sur Facebook, les attaquants se jouent des tentatives de communication de crise de leurs victimes.

Pas de pitié diront certains, quel amateurisme diront les autres.

Buy ticket

Events Timeline

Workshops & CTF: 4th november 2022

Timings Location Events
Friday 4.11 / 8:00 - 10:00 Lycée Javouhey / Entrance hall Registration / Welcome coffee
Friday 4.11 / 9:00 - 14:00 Lycée Javouhey / Auditorium Alex Soler Alvarez & Eduardo Novella: "Mobile Reverse Engineering with r2Frida"
Friday 4.11 / 10:00 - 12:00 Lycée Javouhey / Auditorium Didier Stevens: "Analyzing Cobalt Strike Beacons, Servers and Traffic"
Friday 4.11 / 10:00 - 13:00 Lycée Javouhey / Auditorium Lucas Philippe: "COMMSEC LAB: Template Injection On Hardened Targets"
Friday 4.11 / 14:30 - 19:00 Lycée Javouhey / Auditorium CTF "Attack/Defense" by ESN'HACK, AtlantHack & DIATEAM

Talks: 5th november 2022

Timings Location Events
Saturday 5.11 / 8:45 - 9:45 Lycée Javouhey / Entrance hall Registration / Welcome coffee
Saturday 5.11 / 9:45 - 10:00 Lycée Javouhey / Auditorium Start of the conference / Introduction & welcome / Information
Saturday 5.11 / 10:00 - 10:30 Lycée Javouhey / Auditorium Marc-Antoine LEDIEU : "Le droit de la violence numérique : légitime défense et action offensive."
Saturday 5.11 / 10:30 - 11:00 Lycée Javouhey / Auditorium William LE BERRE & Joshua MARTINELLE : "L'outil de reconnaissance Hunt3r"
Saturday 5.11 / 11:00 - 11:30 Lycée Javouhey / Auditorium Ayrwan GUILLERMO : "Ratatouille, Hidden Remote Administration Tool"
Saturday 5.11 / 11:30 - 12:00 Lycée Javouhey / Auditorium François GUIZIOU : "Étude d’un port en guerre : approche par l’analyse du flux de containers"
Saturday 5.11 / 12:00 - 13:30 Lycée Javouhey / Lunch room - Canteen Lunch / Break
Saturday 5.11 / 13:30 - 13:45 Lycée Javouhey / Auditorium Start of the afternoon session / Information
Saturday 5.11 / 13:45 - 14:15 Lycée Javouhey / Auditorium Kwame YAMGNANE : "Et si on cassait RSA ?"
Saturday 5.11 / 14:15 - 14:45 Lycée Javouhey / Auditorium Jean-Philippe GAULIER : "Bonjour, votre pentest est idiot !"
Saturday 5.11 / 14:45 - 15:15 Lycée Javouhey / Auditorium Samy LAHFA : "Dumping firmware from a SATA SSD for fun & learning purpose"
Saturday 5.11 / 15:15 - 15:45 Lycée Javouhey / Entrance hall Break / Coffee
Saturday 5.11 / 15:45 - 16:15 Lycée Javouhey / Auditorium Adrien BARCHAPT : "RedTeaming in a Jurassic World !"
Saturday 5.11 / 16:15 - 17:00 Lycée Javouhey / Auditorium Marc RIVERO LOPEZ : "Applying MITRE ATT&CK framework to analyze ransomware campaigns"
Saturday 5.11 / 17:00 - 17:30 Lycée Javouhey / Auditorium Stéphanie LEDOUX : "Communication de crise, quand les attaquant s'en mêlent et qu'on s'emmêle"
Saturday 5.11 / 17:30 - 17:45 Lycée Javouhey / Auditorium Conclusion
 
 
Saturday 5.11 / 19:00 - 00:00 "Secret place in the city centre" Social event / Party

Our sponsors

Venue

Lycée Javouhey, 29200 Brest, Bretagne, France

Entrance via "rue de l'église"

Venue to Lycée Javouhey