Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Chargement dans…3
×

Consultez-les par la suite

1 sur 47 Publicité

ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon

Télécharger pour lire hors ligne

D’un coté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques et défendre leur infrastructure. Cette présentation suit les étapes qu’un attaquant pourrait suivre, à savoir, la prise d’empreintes, les tentatives d’accès, l’utilisation d’exploits et la post-exploitation avec exfiltration de données. Le tout en associant les points à surveiller pour chaque étapes. PowerShell étant voué à remplacer complétement les scripts bat et vbs, nous présenterons des scripts développés dans ce language pour la surveillance et défense d’un environnement Microsoft.

D’un coté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques et défendre leur infrastructure. Cette présentation suit les étapes qu’un attaquant pourrait suivre, à savoir, la prise d’empreintes, les tentatives d’accès, l’utilisation d’exploits et la post-exploitation avec exfiltration de données. Le tout en associant les points à surveiller pour chaque étapes. PowerShell étant voué à remplacer complétement les scripts bat et vbs, nous présenterons des scripts développés dans ce language pour la surveillance et défense d’un environnement Microsoft.

Publicité
Publicité

Plus De Contenu Connexe

Les utilisateurs ont également aimé (18)

Similaire à ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon (20)

Publicité

Plus par Cyber Security Alliance (20)

Plus récents (20)

Publicité

ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module IncidentDetection par Julien Bachmann et Sylvain Pionchon

  1. 1. Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain Pionchon SCRT Application Security Forum - 2013 Western Switzerland 15-16 octobre 2013 - Y-Parc / Yverdon-les-Bains http://www.appsec-forum.ch
  2. 2. 2 Agenda § Problématique § Reconnaissance § Attaques sur les machines § Post-Exploitation § Conclusion
  3. 3. 3 Bio § Julien § Ingénieur sécurité @ SCRT § Sylvain § Ingénieur sécurité @ SCRT
  4. 4. 4 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  5. 5. 5 problématique | constat § Défenses actuelles – Périmétriques – Antivirus – IDS ?
  6. 6. 6 problématique | constat § Attaques actuelles – “80 % des attaques utilisent les collaborateurs” – 0day – Attaques supposées avancées et persistantes
  7. 7. 7 problématique | constat § Détection – Cas #1 : pas ou peu de politique de logs – Cas #2 : Pokemon de la sécurité § En résumé – Détection lors d'un impact sur le business – Manque de données pour tracer un incident
  8. 8. 8 problématique | une solution § Utilisation des journaux d’événements – Calquer les actions de l'attaquant sur des événements à détecter § Problème – Besoin de ressources pour trier – Connaître les événements suspicieux
  9. 9. 9 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  10. 10. 10 reconnaissance | intro § Première étape d'un attaquant – Connaître les machines actives – Services accessibles § Principe – Scan de ports – Sessions anonymes
  11. 11. 11 reconnaissance | scan de ports § Firewalls sur le réseau interne – Traitement des logs § Windows – Firewall intégré – Sur les serveurs critiques – Mais pas de détection scan de ports
  12. 12. 12 reconnaissance | scan de ports § Détection basique – Par défaut trois profils de firewall – Stockage dans le journal d'évènement du firewall – 5157 (tcp), 5152 (ip)
  13. 13. 13 reconnaissance | scan de ports § Détection basique – Possibilité d'enregistrer dans un fichier les évènements (DROP-ALLOW) du Firewall Date | Time | action | proto | src-ip | dst-ip | size | src-port | dst-port – En Powershell 3.0 : Set-NetFirewallProfile -All -DefaultInboundAction Block -DefaultOutboundAction Allow -LogFileName mylog.log
  14. 14. 14 reconnaissance | scan de ports § Détection basique – Analyse des logs en powershell IP Source Port Destination
  15. 15. 15 reconnaissance | null sessions § Principe – Connexion sans compte – En réalité, NT AuthorityAnonymous Logon – Plus d'actualité sur les environnements post- 2008 – Apparait également si la délégation n'est plus autorisée pour des comptes critiques
  16. 16. 16 reconnaissance | null sessions § Détection – Lecture du journal d’événemenst Windows via cmdlet Powershell Get-EventLog – Possibilité de filtrer les recherches : ● ● – InstanceId : 528 / 529 (Success / Failure) Username : NT AUTHORITYAnonymous Logon Exemple Powershell : Get-EventLog -Logname 'Security' -InstanceId 528 -username 'NT AUTHORITYAnonymous Logon'
  17. 17. 17 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  18. 18. 18 attaques | mots de passe § Recherchés par attaquant - Permettent de gagner des accès § Méthodes - Brute-force - Extraction des condensats - Extraction des clairs depuis la mémoire
  19. 19. 19 attaques | mots de passe § Extraction - Rejoint la détection d'outils § Brute-force - Tentatives d'authentification échouées - Événement logon failure - Événement user account locked out
  20. 20. 20 attaques | mots de passe § Brute-force online - Génère beaucoup de bruit § Fail2ban en powershell
  21. 21. 21 attaques | exploitation § Exécution de code - Exploitation d'une vulnérabilité logicielle - Contexte d'une application théoriquement autorisée
  22. 22. 22 attaques | exploitation § Détection difficile - Tant que l'application ne plante pas § Crash - Échec de l'exploitation - Événements générés par chaque application dans Applications and Services Logs
  23. 23. 23 attaques | exploitation § Exemple de Crash § Crash de Internet Explorer § Le chargement de icucnv36.dll génère une erreur § Injection de code § Exploit CVE-2010-3654
  24. 24. 24 attaques | exploitation § Détection avancée avec EMET § EMET Notifier enregistre les évènements dans le journal Windows
  25. 25. 25 attaques | exploitation § Détection avancée avec EMET - Pas d'event id spécifique dans le journal d’événement Windows
  26. 26. 26 attaques | exploitation § Détection avancée avec EMET - Filtrage via l'émetteur du log Get-Eventlog -Log application -EntryType error  -Source emet
  27. 27. 27 attaques | réseau § Si vous vivez dans le futur - SMB 3 downgrade detection - EventID 1005, Secure dialect negotiation
  28. 28. 28 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  29. 29. 29 post-exploitation | intro § Pour arriver à ses fins – Besoin de privilèges spécifiques – Garder un accès – Exfiltration de données § Résultantes – Utilisation d'outils, droits spécifiques – Création/modifications de comptes – Connexions vers l'extérieur
  30. 30. 30 post-exploitation | action privilégiée § Sensitive Privilege use - 7 privilèges dangeureux • • • SeDebugPrivilege SeCreateTokenPrivilege … - Créer beaucoup d'évènements ! - Filtrage sur le champ Privileges sur eventID 578 (2003) ou 4674 (2008+)
  31. 31. 31 post-exploitation | outils § Outils pour collecter de l'information - Keylogger - Trojan - Extracteur mot de passe § L'attaquant utilise toujours ce type d'outils pour gagner du temps
  32. 32. 32 post-exploitation | outils § Comparaison hash de l'exécutable avec une base - Online : Jotti, VirusTotal, Eureca - Locale : NIST (good), OWASP (bad) § Récupération des exécutables par date Get-ChildItem -Recurse -Path "C:" -Include *.exe | Where-Object { $_.CreationTime -ge "03/01/2013" -and $_.CreationTime -le "03/13/2013" }
  33. 33. 33 post-exploitation | outils § AppLocker § Bloquer/Détecter l'exécution de programmes non autorisés § Activable via GPO § Trois types de règles – Chemin d'accès – Hash – Signature
  34. 34. 34 post-exploitation | outils § AppLocker § Deux modes de fonctionnement – Audit only – Enforce rules § Récupérer les logs via cmdlet Powershell Get-AppLockerFileInformation –EventLog –Logname "Microsoft-Windows-AppLockerEXE and DLL" –EventType Audited –Statistics
  35. 35. 35 post-exploitation | comptes § Création d'un compte « backdoor» pour pérenniser l’accès § L'attaquant n'est pas obligé de connaître le mot de passe/hash administrateur pour créer le compte - ex : utilisation token delegate et WinRM
  36. 36. 36 post-exploitation | comptes § Points à surveiller dans l'AD § Création d'un compte § Ajout dans un groupe privilégié/intéressant - ex : r&d § Compte qui n'expire jamais § Compte verrouillé, déverrouillé, supprimé
  37. 37. 37 post-exploitation | comptes § Powershell est notre ami :) - Journal d’événements Windows - Search-ADAccount du module Active Directory
  38. 38. 38 post-exploitation | connexions § Exfiltration de données - Centralisation du contrôle des postes - Encapsulation des commandes DNS, HTTP, SMTP, IRC - Utilisation de cryptographie •
  39. 39. 39 post-exploitation | connexions § Déterminer les connexions vers l'extérieur – netstat -ano § Log des requêtes DNS - Activation depuis Debug Logging - System32dnsDns.log
  40. 40. 40 post-exploitation | connexions § DNS Blacklist – Nombreuses bases en ligne – drone.abuse.ch ● b.barracudacentral.org Recherche DNS via IP.drone.abuse.ch ●
  41. 41. 41 post-exploitation | connexions § Sinkhole / Blackhole - Rediriger tous les domaines suspicieux vers une IP - Monitoring des requêtes • • • • http ftp irc smtp
  42. 42. 42 Agenda Problématique Reconnaissance Attaques sur les machines Post-Exploitation Conclusion
  43. 43. 43 Conclusion ● Utilisation de différentes technologies indispensables ● Automatiser la première étape ● Outils de corrélation ● Ressources humaine nécessaires ● Ne pas oublier la protection
  44. 44. 44 Outils ● ● ● Module Powershell avec les différentes fonctions présentées aujourd'hui Certains scripts sont exécutés périodiquement via le Task Scheduler Windows Coming soon ... sur notre site web www.scrt.ch et blog.scrt.ch
  45. 45. 45 Questions?
  46. 46. 46 Merci! Contact: julien@scrt.ch / sylvain@scrt.ch @milkmix_ / @pwnhst http://blog.scrt.ch Slides: http://slideshare.net/ASF-WS/presentations
  47. 47. 47 Références ● ● Powershell 3.0 Advanced Administration Handbook Ressource sur les eventID: www.ultimatewindowssecurity.com

×