Prévention et analyse de
cyber-attaques

import-module IncidentResponse
Julien Bachmann / Sylvain Pionchon
SCRT

Applicati...
2

Agenda
§ Problématique
§ Reconnaissance
§ Attaques sur les machines
§ Post-Exploitation
§ Conclusion
3

Bio
§ Julien
§ Ingénieur sécurité @ SCRT
§ Sylvain
§ Ingénieur sécurité @ SCRT
4

Agenda
Problématique
Reconnaissance
Attaques sur les machines
Post-Exploitation
Conclusion
5

problématique | constat
§ Défenses actuelles
– Périmétriques
– Antivirus
– IDS ?
6

problématique | constat
§ Attaques actuelles
– “80 % des attaques utilisent les collaborateurs”
– 0day
– Attaques suppo...
7

problématique | constat
§ Détection
– Cas #1 : pas ou peu de politique de logs
– Cas #2 : Pokemon de la sécurité

§ En ...
8

problématique | une solution
§ Utilisation des journaux d’événements
– Calquer les actions de l'attaquant sur des

évén...
9

Agenda
Problématique
Reconnaissance
Attaques sur les machines
Post-Exploitation
Conclusion
10

reconnaissance | intro
§ Première étape d'un attaquant
– Connaître les machines actives
– Services accessibles

§ Prin...
11

reconnaissance | scan de ports
§ Firewalls sur le réseau interne
– Traitement des logs

§ Windows
–

Firewall intégré
...
12

reconnaissance | scan de ports
§ Détection basique
–

Par défaut trois profils de firewall

–

Stockage dans le journa...
13

reconnaissance | scan de ports
§ Détection basique
–

Possibilité d'enregistrer dans un fichier les
évènements (DROP-A...
14

reconnaissance | scan de ports
§ Détection basique
–

Analyse des logs en powershell

IP Source

Port Destination
15

reconnaissance | null sessions
§ Principe
– Connexion sans compte
– En réalité, NT AuthorityAnonymous Logon
– Plus d'a...
16

reconnaissance | null sessions
§ Détection
– Lecture du journal d’événemenst Windows via cmdlet

Powershell Get-EventL...
17

Agenda
Problématique
Reconnaissance
Attaques sur les machines
Post-Exploitation
Conclusion
18

attaques | mots de passe
§ Recherchés par attaquant

- Permettent de gagner des accès
§ Méthodes
- Brute-force
- Extra...
19

attaques | mots de passe
§ Extraction

- Rejoint la détection d'outils
§ Brute-force
- Tentatives d'authentification é...
20

attaques | mots de passe
§ Brute-force online

- Génère beaucoup de bruit
§ Fail2ban en powershell
21

attaques | exploitation
§ Exécution de code

- Exploitation d'une vulnérabilité logicielle
- Contexte d'une applicatio...
22

attaques | exploitation
§ Détection difficile

- Tant que l'application ne plante pas
§ Crash

- Échec de l'exploitati...
23

attaques | exploitation
§ Exemple de Crash
§

Crash de Internet Explorer

§

Le chargement de icucnv36.dll
génère une ...
24

attaques | exploitation
§ Détection avancée avec EMET

§ EMET Notifier enregistre les évènements dans

le journal Wind...
25

attaques | exploitation
§ Détection avancée avec EMET
- Pas d'event id spécifique dans le journal
d’événement Windows
26

attaques | exploitation
§ Détection avancée avec EMET
- Filtrage via l'émetteur du log
Get-Eventlog -Log application -...
27

attaques | réseau
§ Si vous vivez dans le futur
- SMB 3 downgrade detection
- EventID 1005, Secure dialect negotiation
28

Agenda
Problématique
Reconnaissance
Attaques sur les machines
Post-Exploitation
Conclusion
29

post-exploitation | intro
§ Pour arriver à ses fins
– Besoin de privilèges spécifiques
– Garder un accès
– Exfiltratio...
30

post-exploitation | action privilégiée
§ Sensitive Privilege use

- 7 privilèges dangeureux
•
•
•

SeDebugPrivilege
Se...
31

post-exploitation | outils
§ Outils pour collecter de l'information

- Keylogger
- Trojan
- Extracteur mot de passe

§...
32

post-exploitation | outils
§ Comparaison hash de l'exécutable avec une

base
- Online : Jotti, VirusTotal, Eureca
- Lo...
33

post-exploitation | outils
§ AppLocker
§ Bloquer/Détecter l'exécution de programmes

non autorisés
§ Activable via GPO...
34

post-exploitation | outils
§ AppLocker
§ Deux modes de fonctionnement
–

Audit only

–

Enforce rules

§ Récupérer les...
35

post-exploitation | comptes
§ Création d'un compte « backdoor» pour

pérenniser l’accès
§ L'attaquant n'est pas obligé...
36

post-exploitation | comptes
§ Points à surveiller dans l'AD
§ Création d'un compte
§ Ajout dans un groupe privilégié/i...
37

post-exploitation | comptes
§ Powershell est notre ami :)

- Journal d’événements Windows
- Search-ADAccount du module...
38

post-exploitation | connexions
§ Exfiltration de données

- Centralisation du contrôle des postes
- Encapsulation des ...
39

post-exploitation | connexions
§ Déterminer les connexions vers l'extérieur
–

netstat -ano

§ Log des requêtes DNS

-...
40

post-exploitation | connexions
§ DNS Blacklist
–

Nombreuses bases en ligne

–

drone.abuse.ch
●
b.barracudacentral.or...
41

post-exploitation | connexions
§ Sinkhole / Blackhole

- Rediriger tous les domaines suspicieux
vers une IP
- Monitori...
42

Agenda
Problématique
Reconnaissance
Attaques sur les machines
Post-Exploitation
Conclusion
43

Conclusion
●

Utilisation de différentes technologies
indispensables

●

Automatiser la première étape

●

Outils de c...
44

Outils
●

●

●

Module Powershell avec les différentes
fonctions présentées aujourd'hui
Certains scripts sont exécutés...
45

Questions?
46

Merci!
Contact:
julien@scrt.ch / sylvain@scrt.ch
@milkmix_
/ @pwnhst
http://blog.scrt.ch
Slides:
http://slideshare.net...
47

Références
●

●

Powershell 3.0 Advanced Administration
Handbook

Ressource sur les eventID:
www.ultimatewindowssecuri...
Prochain SlideShare
Chargement dans…5
×

ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon

788 vues

Publié le

D’un coté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques et défendre leur infrastructure. Cette présentation suit les étapes qu’un attaquant pourrait suivre, à savoir, la prise d’empreintes, les tentatives d’accès, l’utilisation d’exploits et la post-exploitation avec exfiltration de données. Le tout en associant les points à surveiller pour chaque étapes. PowerShell étant voué à remplacer complétement les scripts bat et vbs, nous présenterons des scripts développés dans ce language pour la surveillance et défense d’un environnement Microsoft.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
788
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon

  1. 1. Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain Pionchon SCRT Application Security Forum - 2013 Western Switzerland 15-16 octobre 2013 - Y-Parc / Yverdon-les-Bains http://www.appsec-forum.ch
  2. 2. 2 Agenda § Problématique § Reconnaissance § Attaques sur les machines § Post-Exploitation § Conclusion
  3. 3. 3 Bio § Julien § Ingénieur sécurité @ SCRT § Sylvain § Ingénieur sécurité @ SCRT
  4. 4. 4 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  5. 5. 5 problématique | constat § Défenses actuelles – Périmétriques – Antivirus – IDS ?
  6. 6. 6 problématique | constat § Attaques actuelles – “80 % des attaques utilisent les collaborateurs” – 0day – Attaques supposées avancées et persistantes
  7. 7. 7 problématique | constat § Détection – Cas #1 : pas ou peu de politique de logs – Cas #2 : Pokemon de la sécurité § En résumé – Détection lors d'un impact sur le business – Manque de données pour tracer un incident
  8. 8. 8 problématique | une solution § Utilisation des journaux d’événements – Calquer les actions de l'attaquant sur des événements à détecter § Problème – Besoin de ressources pour trier – Connaître les événements suspicieux
  9. 9. 9 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  10. 10. 10 reconnaissance | intro § Première étape d'un attaquant – Connaître les machines actives – Services accessibles § Principe – Scan de ports – Sessions anonymes
  11. 11. 11 reconnaissance | scan de ports § Firewalls sur le réseau interne – Traitement des logs § Windows – Firewall intégré – Sur les serveurs critiques – Mais pas de détection scan de ports
  12. 12. 12 reconnaissance | scan de ports § Détection basique – Par défaut trois profils de firewall – Stockage dans le journal d'évènement du firewall – 5157 (tcp), 5152 (ip)
  13. 13. 13 reconnaissance | scan de ports § Détection basique – Possibilité d'enregistrer dans un fichier les évènements (DROP-ALLOW) du Firewall Date | Time | action | proto | src-ip | dst-ip | size | src-port | dst-port – En Powershell 3.0 : Set-NetFirewallProfile -All -DefaultInboundAction Block -DefaultOutboundAction Allow -LogFileName mylog.log
  14. 14. 14 reconnaissance | scan de ports § Détection basique – Analyse des logs en powershell IP Source Port Destination
  15. 15. 15 reconnaissance | null sessions § Principe – Connexion sans compte – En réalité, NT AuthorityAnonymous Logon – Plus d'actualité sur les environnements post- 2008 – Apparait également si la délégation n'est plus autorisée pour des comptes critiques
  16. 16. 16 reconnaissance | null sessions § Détection – Lecture du journal d’événemenst Windows via cmdlet Powershell Get-EventLog – Possibilité de filtrer les recherches : ● ● – InstanceId : 528 / 529 (Success / Failure) Username : NT AUTHORITYAnonymous Logon Exemple Powershell : Get-EventLog -Logname 'Security' -InstanceId 528 -username 'NT AUTHORITYAnonymous Logon'
  17. 17. 17 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  18. 18. 18 attaques | mots de passe § Recherchés par attaquant - Permettent de gagner des accès § Méthodes - Brute-force - Extraction des condensats - Extraction des clairs depuis la mémoire
  19. 19. 19 attaques | mots de passe § Extraction - Rejoint la détection d'outils § Brute-force - Tentatives d'authentification échouées - Événement logon failure - Événement user account locked out
  20. 20. 20 attaques | mots de passe § Brute-force online - Génère beaucoup de bruit § Fail2ban en powershell
  21. 21. 21 attaques | exploitation § Exécution de code - Exploitation d'une vulnérabilité logicielle - Contexte d'une application théoriquement autorisée
  22. 22. 22 attaques | exploitation § Détection difficile - Tant que l'application ne plante pas § Crash - Échec de l'exploitation - Événements générés par chaque application dans Applications and Services Logs
  23. 23. 23 attaques | exploitation § Exemple de Crash § Crash de Internet Explorer § Le chargement de icucnv36.dll génère une erreur § Injection de code § Exploit CVE-2010-3654
  24. 24. 24 attaques | exploitation § Détection avancée avec EMET § EMET Notifier enregistre les évènements dans le journal Windows
  25. 25. 25 attaques | exploitation § Détection avancée avec EMET - Pas d'event id spécifique dans le journal d’événement Windows
  26. 26. 26 attaques | exploitation § Détection avancée avec EMET - Filtrage via l'émetteur du log Get-Eventlog -Log application -EntryType error  -Source emet
  27. 27. 27 attaques | réseau § Si vous vivez dans le futur - SMB 3 downgrade detection - EventID 1005, Secure dialect negotiation
  28. 28. 28 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  29. 29. 29 post-exploitation | intro § Pour arriver à ses fins – Besoin de privilèges spécifiques – Garder un accès – Exfiltration de données § Résultantes – Utilisation d'outils, droits spécifiques – Création/modifications de comptes – Connexions vers l'extérieur
  30. 30. 30 post-exploitation | action privilégiée § Sensitive Privilege use - 7 privilèges dangeureux • • • SeDebugPrivilege SeCreateTokenPrivilege … - Créer beaucoup d'évènements ! - Filtrage sur le champ Privileges sur eventID 578 (2003) ou 4674 (2008+)
  31. 31. 31 post-exploitation | outils § Outils pour collecter de l'information - Keylogger - Trojan - Extracteur mot de passe § L'attaquant utilise toujours ce type d'outils pour gagner du temps
  32. 32. 32 post-exploitation | outils § Comparaison hash de l'exécutable avec une base - Online : Jotti, VirusTotal, Eureca - Locale : NIST (good), OWASP (bad) § Récupération des exécutables par date Get-ChildItem -Recurse -Path "C:" -Include *.exe | Where-Object { $_.CreationTime -ge "03/01/2013" -and $_.CreationTime -le "03/13/2013" }
  33. 33. 33 post-exploitation | outils § AppLocker § Bloquer/Détecter l'exécution de programmes non autorisés § Activable via GPO § Trois types de règles – Chemin d'accès – Hash – Signature
  34. 34. 34 post-exploitation | outils § AppLocker § Deux modes de fonctionnement – Audit only – Enforce rules § Récupérer les logs via cmdlet Powershell Get-AppLockerFileInformation –EventLog –Logname "Microsoft-Windows-AppLockerEXE and DLL" –EventType Audited –Statistics
  35. 35. 35 post-exploitation | comptes § Création d'un compte « backdoor» pour pérenniser l’accès § L'attaquant n'est pas obligé de connaître le mot de passe/hash administrateur pour créer le compte - ex : utilisation token delegate et WinRM
  36. 36. 36 post-exploitation | comptes § Points à surveiller dans l'AD § Création d'un compte § Ajout dans un groupe privilégié/intéressant - ex : r&d § Compte qui n'expire jamais § Compte verrouillé, déverrouillé, supprimé
  37. 37. 37 post-exploitation | comptes § Powershell est notre ami :) - Journal d’événements Windows - Search-ADAccount du module Active Directory
  38. 38. 38 post-exploitation | connexions § Exfiltration de données - Centralisation du contrôle des postes - Encapsulation des commandes DNS, HTTP, SMTP, IRC - Utilisation de cryptographie •
  39. 39. 39 post-exploitation | connexions § Déterminer les connexions vers l'extérieur – netstat -ano § Log des requêtes DNS - Activation depuis Debug Logging - System32dnsDns.log
  40. 40. 40 post-exploitation | connexions § DNS Blacklist – Nombreuses bases en ligne – drone.abuse.ch ● b.barracudacentral.org Recherche DNS via IP.drone.abuse.ch ●
  41. 41. 41 post-exploitation | connexions § Sinkhole / Blackhole - Rediriger tous les domaines suspicieux vers une IP - Monitoring des requêtes • • • • http ftp irc smtp
  42. 42. 42 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  43. 43. 43 Conclusion ● Utilisation de différentes technologies indispensables ● Automatiser la première étape ● Outils de corrélation ● Ressources humaine nécessaires ● Ne pas oublier la protection
  44. 44. 44 Outils ● ● ● Module Powershell avec les différentes fonctions présentées aujourd'hui Certains scripts sont exécutés périodiquement via le Task Scheduler Windows Coming soon ... sur notre site web www.scrt.ch et blog.scrt.ch
  45. 45. 45 Questions?
  46. 46. 46 Merci! Contact: julien@scrt.ch / sylvain@scrt.ch @milkmix_ / @pwnhst http://blog.scrt.ch Slides: http://slideshare.net/ASF-WS/presentations
  47. 47. 47 Références ● ● Powershell 3.0 Advanced Administration Handbook Ressource sur les eventID: www.ultimatewindowssecurity.com

×