Copyright 2010 Trend Micro Inc.
Comment détecter des virus inconnus
en utilisant des « Honeypots » et
d’autres technologie...
Agenda
• Présentation de David Girard
– Le code malicieux plus nombreux et plus furtif que jamais
– Les moyens de détectio...
Évolution de la menace
• Augmentation exponentielle du malware
– Un nouvelle variante de code malicieux toutes les 1.5 sec...
Exemple de crypteur qui apporte la
furtivité au malware.
75$ pour le premier exemplaire et
25$ pour les exemplaires
subséq...
Les moyens de détections des
nouvelles variantes
• Les Honeypots et Honeynets: Spam trap, et malware
collectors. Coûteux. ...
Les moyens de détections des
nouvelles variantes (suite)
• NBA (Network Base Analysis) : Alerte sur les
comportements anor...
Les types de Honeypots
*Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox.
Principalement...
Processus de collection du code malicieux
Passif (on attend d’être ciblé) ou Actif:
1. On va à la pêche au spam
2. On extr...
Mon Honeynet personnel
1. Lien sans filtrage de
ports
2. Plus d’une IP fixe
3. Un Firewall pour créer
une DMZ
4. Une switc...
Liste d’outils à avoir pour analyser
nos examplaires de code malicieux
• Tous les outils précédemment nommés: YARA, PEiD,P...
Les Spam trap
• C’est le premier type qu’il faut avoir dans son Honeynet
car c’est le début de la chaine alimentaire.
• Il...
Crawlers ou Honey client
• Fureteur automatisé:
– Doit simuler plusieurs fureteurs à différent niveau de patches et
navigu...
Low interaction Honeypots
• Simule soit un OS, des services, des protocoles et des
vulnérabilités ou une combinaison. Ce t...
Low interaction Honeypots en 15 minutes
• Le plus simple des low interaction honeypot :
– Linux (Ubuntu ou CentOS de préfé...
High Interaction Honeypots
• OS et applications au complet. Ils peuvent être accédés et exploités.
Ils sont plus utilisés ...
• Pour créer un Hight interaction honeypot on doit avoir une
copie des OS ciblés (principalement XP, Vista, 7, 2003,
2008)...
• Comme détecteurs d’intégrité et inspection des logs,
j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les
outils ...
Les hybrides
• Honeybot & Multipot : se considère un medium interaction
honeypot car il simule des services et vulnérabili...
Les multi-senseurs
• Bot Hunter (freeware)
– Deux senseurs + Corrélation
– Analyse comportementale
réseau de bots
– 5 évén...
Les multi-senseurs (suite)
Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou:
1. A L’attaquant
2. V La victime...
Comment Trend Micro fait?
• Le plus vaste réseau de sondes (dont des honeypots)
parmi les vendeurs de sécurité (selon Gart...
Un site webUn site web compromiscompromis
Fausses nouvelles par courriel
Un faux video
Un réseau de sondes et de la corrél...
Présentation de Tom Bennett
Copyright 2010 Trend Micro Inc.Classification 11/8/2010 23
Copyright 2010 Trend Micro Inc.
Questions?Questions?
Prochain SlideShare
Chargement dans…5
×

Hackfest2010 Tm Dg Fr

426 vues

Publié le

Présentation au Hackfest 2010 sur les honeypots. Partie DG.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
426
Sur SlideShare
0
Issues des intégrations
0
Intégrations
16
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Hackfest2010 Tm Dg Fr

  1. 1. Copyright 2010 Trend Micro Inc. Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies. Tom Bennett et David Girard Québec, 5-6 novembre 2010
  2. 2. Agenda • Présentation de David Girard – Le code malicieux plus nombreux et plus furtif que jamais – Les moyens de détection • Honeypots, analyse de trafic, analyse statistique… – Les type de honeypots – Mon honeynet et ceux de Trend Micro WEB EMAIL Copyright 2010 Trend Micro Inc. • Présentation de James Bennett – Les engins de détections – Les types de signatures pour des cas réels • Stuxnet….. • Démonstration • Questions FILE
  3. 3. Évolution de la menace • Augmentation exponentielle du malware – Un nouvelle variante de code malicieux toutes les 1.5 secondes • Le code malicieux est plus furtifs – Le chiffrement et la compression sont utilisés comme moyen de polymorphisme pour devenir des FUD (file fully undetectable). – Les pirates utilisent des services FUD d’aide à l’évasion comme les crypters ex: PXCrypter 26,598 Copyright 2010 Trend Micro Inc. • Les vulnérabilités sont exploitées plus rapidement – 74% des attaques sortent le même jour que les correctifs – Plusieurs attaques sortent avant les correctifs de sécurité – Il y a donc plus de 0 day que jamais 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 2007 2009 2011 2013 2015 Exemplaires uniques PAR HEURE
  4. 4. Exemple de crypteur qui apporte la furtivité au malware. 75$ pour le premier exemplaire et 25$ pour les exemplaires subséquents Dogma Millions, Earning4u et pay- per-install.org sont des sites PPI To FUD or not to FUD? Copyright 2010 Trend Micro Inc. per-install.org sont des sites PPI qui débouchent sur des crypteurs et des testeurs à la VirusTotal mais ceux-ci sont totalement Black Hat Tous utilisent aussi des Black Hat SEO (Search Engine Optimization) pour optenir plus de click et de drive by dowload infection Classification 11/8/2010 4
  5. 5. Les moyens de détections des nouvelles variantes • Les Honeypots et Honeynets: Spam trap, et malware collectors. Coûteux. Doivent être nombreux et diversifiés. • IDS (Network et Host) : Menaces en périphérie, DDOS, violation de protocoles et limitation de l’utilisation de signatures. Peu de détections car ne distingue pas bien entre une infection et un scan. Beaucoup de faux positifs. Copyright 2010 Trend Micro Inc. entre une infection et un scan. Beaucoup de faux positifs. • SIEMS : Analyse transversale des évènements, dépend de la qualité des données sous-jacentes. Ils ne s’adaptent pas bien à la diversité des botnets sur le terrain. Lourdes tâches d’administration. Coûteux. Très coûteux. Classification 11/8/2010 5
  6. 6. Les moyens de détections des nouvelles variantes (suite) • NBA (Network Base Analysis) : Alerte sur les comportements anormaux. Beaucoup de fausse alertes. Doit avoir un baseline fiable pour détecter une anomalie significative. Détecte beaucoup d’autres situations qui ne sont pas reliées aux botnets. Exemple: Projet Ourmon. Copyright 2010 Trend Micro Inc. • Autres technologies : Multi-senseurs (ex: Bot Hunter, Trend Micro TDA). – Ceux-ci sont plus fiables car ils se bases sur plusieurs types d’analyse ou engin et font une corrélation des résultats. – Ils se basent aussi sur des preuves typiquement reliées au malware (scan de cibles, détection d’exploit, téléchargement de binaires et exécution, connexion à des C&C,scans sortants, campagnes de spam….) Classification 11/8/2010 6
  7. 7. Les types de Honeypots *Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox. Principalement il y a les Low Interaction Honeypots et les High Interaction Honeypots. Les honeypots sont soit pour la recherche ou pour la production. Il y a plusieurs sous types (dépend de la mission): Copyright 2010 Trend Micro Inc. • Spam trap • Crawlers • Les hybrides Honeynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de détecter le V2V pas juste le V2C. Pour plus de détails et une bonne liste de projets: www.honeynet.org Classification 11/8/2010 7
  8. 8. Processus de collection du code malicieux Passif (on attend d’être ciblé) ou Actif: 1. On va à la pêche au spam 2. On extrait les URL 3. On crawl sur les sites et on tente de se faire infecter ou de télécharger les fichiers malicieux que l’on trouve (Exe, pdf, swf…) Copyright 2010 Trend Micro Inc. (Exe, pdf, swf…) 4. On capture le chargement (low) ou on analyse les changements (high) et les accès réseaux. (Analyse des chargements avec YARA, PEiD,PDFiD, swftool, etc) 5. On envoit une copie du chargement à plusieurs engins antiviraux pour identification 6. On envoi une copie à plusieurs Sandbox pour analyse 7. Analyse des multiples résultats Classification 11/8/2010 8
  9. 9. Mon Honeynet personnel 1. Lien sans filtrage de ports 2. Plus d’une IP fixe 3. Un Firewall pour créer une DMZ 4. Une switche gérée avec un port mirroir 5. Un Hyperviseur pour héberger les VM (3+) 6. Une station de gestion Copyright 2010 Trend Micro Inc.Classification 11/8/2010 9 6. Une station de gestion et de monitoring isolé par le firewall 7. Un nom de domaine et des entrées DNS (MX) pour le spam *Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark. Je combine des low et High interaction Honey Pots. J’ai aussi une VM de logging (syslog + OSSEC ou Deep Security)
  10. 10. Liste d’outils à avoir pour analyser nos examplaires de code malicieux • Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool, etc. • OfficeMalScanner • Des debuggers : Ollydbg, IDA Pro, Windows Dbg • Proxy : Burp Suite (car certains utilisent Https) • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script Copyright 2010 Trend Micro Inc. • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF Miner, Pdf-parser.py, Jsunpack, spidermonkey • Tutoriels: The Analyzing Flash Malware Video • Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD + ma bibliographie de mes livres favoris sur mon profil Linkedin • Deux environnements d’analyse: Ubuntu et Windows Et pleins d’autres que je n’ai pas eu le temps de compiler! Classification 11/8/2010 10
  11. 11. Les Spam trap • C’est le premier type qu’il faut avoir dans son Honeynet car c’est le début de la chaine alimentaire. • Il faut avoir des boites aux lettres qui n’ont aucunes utilités et en extraire des informations comme des hyperliens, adresses IP sources, nom de domaine sources ou dans les URL. Copyright 2010 Trend Micro Inc. sources ou dans les URL. • Donc il faut un nom de domaine + des MX ou plein d’adresses de webmails! • On s’en sert pour créer une liste de réputation de courriels et pour alimenter nos Crawlers. Classification 11/8/2010 11
  12. 12. Crawlers ou Honey client • Fureteur automatisé: – Doit simuler plusieurs fureteurs à différent niveau de patches et naviguer vers les hyperliens récoltés. – Il faut soit trouver le malware ou se faire infecter par un exploit. Vive le drive by download (90% et plus des menaces viennent du Web alors). – Plus dur d’attrapper des Stuxnet qui passait par périphériques Copyright 2010 Trend Micro Inc. – Plus dur d’attrapper des Stuxnet qui passait par périphériques USB. Classification 11/8/2010 12
  13. 13. Low interaction Honeypots • Simule soit un OS, des services, des protocoles et des vulnérabilités ou une combinaison. Ce type de pot* est surtout pour le malware collection ou la détection selon le niveau de simulation. • Ex :Dionaea (successeur de Nepenthes), HoneyD, HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est Copyright 2010 Trend Micro Inc. vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est long à installer avec pas mal de dépendances. Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une idée de l’attaquant et avoir un beau graphique de nos infections Avec les malwares collectors, il est impératif de se faire des scripts de soumission à ClamAV, Virus Total ou à des analyseurs de comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts sur le net. Il faut les modifier pour les adapter. Prenez des backup de vos logs (samples et md5 des samples) car un honeypot peut mourir jeune (surtout les High). Classification 11/8/2010 13
  14. 14. Low interaction Honeypots en 15 minutes • Le plus simple des low interaction honeypot : – Linux (Ubuntu ou CentOS de préférence) dans un réseau Windows et d’écouter sur le port 139 ,445 et autres avec netcat. – Gardez un log (pcap) avec Wireshark pour les preuves ou l’analyse. – Truc: assigner plusieurs IP à votre linux dans plusieurs segments pour détecter plus vite. Voir Honeywall project. Copyright 2010 Trend Micro Inc. • Aussi, avec Wireshark, utilisez un display filter avec ceci : dns.count.answers >= 5 ou ils ont un TTL = 0 Ceci vous retournera ceux qui utilisent des fast flux DNS. Classification 11/8/2010 14
  15. 15. High Interaction Honeypots • OS et applications au complet. Ils peuvent être accédés et exploités. Ils sont plus utilisés pour détecter les attaquants ou les techniques utilisées que pour détecter du malware. Il s’agit de VM ou de postes que l’ont peut réinitialiser rapidement. On doit les équiper de moyens de détection comme vérificateur d’intégrité du système : fichiers, clés de registres, processus, services et ports ouverts. Doit rester furtif pour ne pas être détecté par le code malicieux qui ne se laissera pas étudier. Copyright 2010 Trend Micro Inc. étudier. • Pour le malware je vois 3 niveaux de patches pour détecter différents malwares 1. Sans patches : Pour tout attraper, même les très vieux malwares . Pas trop utile en recherche mais bon au travail. 2. Presque toutes patches : pour détecter les dernières menaces. Bon au travail et en recherche. 3. 100% patché : pour découvrir les 0 day. Bon en recherche. Classification 11/8/2010 15
  16. 16. • Pour créer un Hight interaction honeypot on doit avoir une copie des OS ciblés (principalement XP, Vista, 7, 2003, 2008). • On doit choisir des senseurs furtifs qui ne sont pas bloqués par les virus. Il faut pas mettre les outils d’analyses trop connus ou des outils de reverse High Interaction Honeypots (suite) Copyright 2010 Trend Micro Inc. d’analyses trop connus ou des outils de reverse engineering (debugger) dans cette VM car cela amoindrie les chances d’exécution. L’hyperviseur aussi doit être bien choisi. J’utilise Xen ou Parallels. • Il faut trouver les changements aux fichiers, les clés de registres, les processus, les services et les ports. Il faut attraper les requêtes DNS et journaliser les accès externes. Classification 11/8/2010 16
  17. 17. • Comme détecteurs d’intégrité et inspection des logs, j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les outils de iDefense qui sont bien mais ils datent. Quant aux outils de sysinternals, ils sont souvent repérés par les virus qui soient les désactivent ou ne s’activent pas. Pas bon dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0 High Interaction Honeypots (suite) Copyright 2010 Trend Micro Inc. • Pour les requêtes DNS, j’utilise un filtre Wireshark sur une machine connecté sur un port miroir et j’utilise un dns logger (BFK). Vous pouvez aussi utiliser un passive DNS. • Passive DNS : www.enyo.de/fw/software/dnslogger : www.bfk.de/bfk_dnslogger_en.html Note: Pour les PDF et Flash essayer PDFiD et swftool Classification 11/8/2010 17
  18. 18. Les hybrides • Honeybot & Multipot : se considère un medium interaction honeypot car il simule des services et vulnérabilités comme un « Low » mais est installé sur une vrai machine qui peut-être compromise. Parfait pour détecter des machines compromises dans le réseau interne (à condition d’être ciblé). Copyright 2010 Trend Micro Inc. • Dans cette catégorie, il y a une panoplie de petits outils commerciaux pas très coûteux mais qui ne sont pas très efficaces • Threat Discovery Appliance ou TDA( abordé par James Bennett) Classification 11/8/2010 18
  19. 19. Les multi-senseurs • Bot Hunter (freeware) – Deux senseurs + Corrélation – Analyse comportementale réseau de bots – 5 événements ou dialogues entre l’attaquant , le contrôleur et les victimes – Nécessite un port miroir à la Copyright 2010 Trend Micro Inc. – Nécessite un port miroir à la sortie Internet pour vérifier le trafic qui entre mais aussi qui sort. – Bot Hunter est une coquille Java par-dessus Snort et deux modules : SCADE Port scanning analysis et SLADE Incomming payload analysis (comme PE Hunter) Classification 11/8/2010 19 Les règles snort de Bot Hunter sont Intéressantes. On y trouve une liste d’IP de C&C et de domaines. Les règles se mettent à jour quotidiennement. Le projet est malheureusement sur la fin. Blade le remplacera.
  20. 20. Les multi-senseurs (suite) Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou: 1. A L’attaquant 2. V La victime 3. C C&C Server – Serveur de commandement et de contrôle 4. V0 La prochaine cible de la victime Copyright 2010 Trend Micro Inc. 5. E Téléchargement d’un oeuf ou binaire ou Egg Download 6. Ḋ Séquence d’événements (dialog) de l’infection • E1 External to Internal Inbound Scan • E2 External to Internal Inbound Exploit • E3 Internal to External Binary Acquisition • E4 Internal to External C&C Communication • E5 Internal to External Outbound Infection Scanning Source : SRI International Classification 11/8/2010 20
  21. 21. Comment Trend Micro fait? • Le plus vaste réseau de sondes (dont des honeypots) parmi les vendeurs de sécurité (selon Gartner). • Nous collectons des polluriels (spam trap), des hyperliens, des noms de domaines, des adresses IP et des fichiers infectés (via crawlers et attachement). Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau Copyright 2010 Trend Micro Inc. Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau SPN ou Smart Protection Network. • À plus petite échelle nous avons une sonde déployable en entreprise qui utilise cinq types de détection plus une corrélation. Présentation de Tom. Classification 11/8/2010 21
  22. 22. Un site webUn site web compromiscompromis Fausses nouvelles par courriel Un faux video Un réseau de sondes et de la corrélation RÉPUTATION COURRIELS RÉPUTATION WEB RÉPUTATION FICHIERS Copyright 2010 Trend Micro Inc. Un faux video Corrélation
  23. 23. Présentation de Tom Bennett Copyright 2010 Trend Micro Inc.Classification 11/8/2010 23
  24. 24. Copyright 2010 Trend Micro Inc. Questions?Questions?

×