La Threat Intel, c’est fini !

Derrière ce titre un peu provocateur, c’est pour annoncer que je ne publierai plus d’article de CTI et ce pour plusieurs raisons.

La première est d’un point vue honnêteté intellectuelle. On ne peut pas faire de bonne threat intelligence si on n’a pas de bonne télémétrie. Ce n’est pas en faisant des recherches dans Virustotal tous les jours ou en mettant des règles yara, et/ou en lançant des requêtes dans Shodan que l’on fera de la bonne threat intelligence. Il faut de la remontée via de la réponse d’incident, via des EDRs, AVs (ce que vous souhaitez en fait) pour vous constituer une bonne visibilité des méthodes qu’utilisent les attaquants. La recherche en sources ouvertes de nouveaux TTPs ne montre qu’une partie de l’iceberg et finalement peut être totalement trompeuse sur l’aspect général. La recherche en sources ouvertes ne suffit pas à faire de l’attribution correcte d’attaques informatiques. Elle permet de dessiner certains contours, de valider certaines hypothèses, ce qui est déjà pas mal vous me direz, mais aujourd’hui, ça me laisse sur ma faim, voir pire par moment, ça peut donner une illusion de connaissance qui est en fait que de la petite information comme dans la rubrique des faits divers d’un quotidien. Les honeypots ne sont pas non plus suffisants car trop facilement détectables. Ca sert pour quelques types de menaces comme certains botnets qui ne sont pas les affutés du tiroir mais c’est tout.

Donc un conseil si vous devez souscrire à un service de Threat Intelligence, allez là ou il y a une vraie télémétrie. Les autres sources de données vous seront utiles mais grandement insuffisantes.

La seconde est que l’on manque cruellement d’outils et de développeurs sur les outils déjà présents pour les maintenir. Et qu’avant être analyste de malware, hunter ou quoi que ce soit d’autre, je suis avant tout ingénieur. Un ingénieur, on l’a un peu souvent oublié ces dernières années , c’est quelqu’un qui résout des problèmes en y apportant des solutions techniques et théoriques. Je vais donc me concentrer la dessus. Pas mal déjà de projets à maintenir comme yeti, l’application de monitoring DNS, des bindings, des transforms pour l’application Maltego. Plusieurs articles sont à venir d’ailleurs autour de ces sujets là.

Troisième et dernière chose, une ouverture à d’autres sujets pas forcement CTI que j’aimerai prendre le temps d’explorer.

  • l’apprentissage d’autres langages de programmation
  • en analyse de malware, aller plus loin sur certaines notions, utilisez plus d’émulateur pour les packers plutôt que se faire tout à chaque fois à la main.
  • AS et BGP

Je continuerai de mon coté à maintenir mon niveau de connaissance en CTI, ainsi que le suivi de certains groupes. Idem pour l’analyse de malware. Mais c’est juste que ça ne fera plus l’objet de publication sur ce blog, ni dans des conférences. Fini les Chinois \o/

A vous les studios !

Malwarist,Threat Huntist and pythonist / core dev of #yeti/ member of @ProjectHoneynet / co-organizer #BotConf / researcher

Malwarist,Threat Huntist and pythonist / core dev of #yeti/ member of @ProjectHoneynet / co-organizer #BotConf / researcher