Les menaces apt

260 vues

Publié le

Une présentation sur les attaques ciblées (advanced persistent threats). Les entreprises à l'heure du cyber-espionnage

Publié dans : Internet
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
260
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Les menaces apt

  1. 1. boolaz.com Bruno Valentin Les entreprises à l’heure du cyber espionnage Les menaces APT
  2. 2. boolaz.comKésako ? 2
  3. 3. boolaz.com Ce que l’APT n’est pas • Un defacement • Un Déni de service • Un DDoS • L’accès frauduleux à un S.T.A.D. • Un vol de données par injection SQL • l’exploitation transversale d’une vulnérabilité (wordpress, joomla…) • … 3
  4. 4. boolaz.com Alors qu’est ce que c’est ? • APT : Advanced Persistent Threat • Threat > Menace pour l’entité qui en est victime • Advanced > évoluée, complexe • Persistent > Volonté de perdurer le plus longtemps possible 
 sans être détecté par les équipes en charge du 
 système d’information (attaque furtive, sous le radar) 4
  5. 5. boolaz.com évoluée ? • Pris en considération séparément, les éléments d’une APT ne sont pas particulièrement évolués > XSS, SQLi, phishing, spear phishing, malwares • Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013) • Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments par des individus spécialistes dans leur domaine • Le nombre d’attaquants • Importance des moyens mis en oeuvre (physique, partenaires) 5
  6. 6. boolaz.comLes attaquants 6
  7. 7. boolaz.com Les attaquants • Une attaque APT n’est pas menée par un individu unique • Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille > composition peut aller jusqu’à plusieurs dizaines d’individus • Recoupements par mode opératoire et éléments communs > serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles > ⚠ Partage de ressources • Profils complémentaires 7
  8. 8. boolaz.com Types de profils • Développeurs > Développeurs généralistes et développeurs de malwares > sous traitance • Administrateurs système > maintien de l’infrastructure du groupe APT • Hackers > pénétration, maintien des accès • Chefs de projet • Experts en menace informatique (threat intelligence) > Spécialiste de la réponse sur incident
 • Experts dans le domaine convoité (competitive intelligence) > Donnent une crédibilité et un meilleur taux de réussite des attaques ciblées par spear phishing puisqu’il s’agit d’un professionnel du secteur 8
  9. 9. boolaz.comLes cibles 9
  10. 10. boolaz.com Les cibles • Toute entité présentant des données sensibles ou stratégiques pour un concurrent ou une entité tierce • Peu importe la taille de la victime > savoir faire technologique, secrets de fabrique • Les cibles peuvent être diverses > Individus > Associations / fondations > laboratoires de recherche > entreprises privées > Gouvernements 10
  11. 11. boolaz.com Secteurs les plus touchés • Services financiers • Média et divertissement • Industrie • Aérospatiale et défense 11
  12. 12. boolaz.com Actifs convoités et motivations • inventions, travaux de R&D, projets sensibles > concurrence, revente • informations classifiées > gouvernements • Campagne de déstabilisation d’un concurrent > manipulation cours de bourse, nuisance • Toute donnée intéressante pour un tiers … 12
  13. 13. boolaz.comLe cycle d’une A.P.T. 13
  14. 14. boolaz.com Test d’intrusion traditionnel • Reconnaissance > informations publiques sur les IP, recherches web, poubelles, social engineering • Découverte et énumération > repérage sur le système, recherche de ports ouverts, de vulnérabilités, topologie du S.I., absence de chiffrement de données qui transitent, modèle des équipements réseau • Accès au système > exploitation d’une ou plusieurs vulnérabilités • Maintien de l’accès > implantation de rootkit, de backdoors, désactivation de certains logs • Dissimulation des traces > Effacement des traces, des logs, des historiques 14
  15. 15. boolaz.com L’A.P.T. est différente • Exhaustivité > Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de recherche de vulnérabilités > APT : Une vulnérabilité suffit pour la compromission > différence entre white/black hacking • Spécialisation > test d’intrusion : spécialistes auditant techniquement sur la forme le système d’informations > APT : Appui d’analystes en competitive intelligence (spécialistes du domaine, travail sur le fond) 15
  16. 16. boolaz.com Cycle d’une APT 1. Reconnaissance active 
 et passive 2. Compromission - point d’entrée 3. C&C 4. Renforcement des accès et mouvement latéraux 5. Exfiltration de données 6. Persistance de la présence 16
  17. 17. boolaz.com Phase de reconnaissance - 2 types • Reconnaissance passive > Noms de domaines (whois) > Historique du site > plages d’adresses IP > Enregistrements DNS > Adresses mail > Réseaux sociaux (viadeo, linkedin) > Google dorks > Forums … • Reconnaissance active > Découverte des matériels utilisés > découvertes de ports et services > découverte de vulnérabilités > Métadonnées extraites du site > Fouille des poubelles de l’entité 17 I - Reconnaissance
  18. 18. boolaz.com Compromission - point d’entrée • Attaques à distance > drive by download > Phishing d’informations d’authentification > R.A.T. (cheval de troie) > exploitation d’une vulnérabilité > intrusion dans un serveur > injection SQL > mail piégé contenant un exploit pour une faille identifiée
 • Attaques locales ou visant l’humain > social engineering / usurpation > spear phishing > réseaux sociaux > accès physique > clé USB, cartes mémoire 18 I - Reconnaissance II - Compromission
  19. 19. boolaz.com Compromission - outils utilisés • RAT > Poison ivy > PlugX/KorPlug > njRAT/Bladabindi > Rarement des exploits 0-day • Méthode > Vol de certificats signés > injection de DLL appelés par des binaires signés • spear phishing avec pièce jointe maquillée et piégée > pdf > document office > archive > fausse extension 19 I - Reconnaissance II - Compromission
  20. 20. boolaz.com Commande & Contrôle 20 I - Reconnaissance II - Compromission III - C&C • Communication dissimulée > « covert channel » > HTTPS (443 TCP) > DNS (port 53 UDP/TCP) > mais aussi tout simplement HTTP > anti-IDS • Permet aux attaquants d’exécuter à distance des commandes sur les machines compromises • La communication s’appuie généralement sur le système DNS > domaine > domaine dynamique
  21. 21. boolaz.com Renforcement des accès et mouvements latéraux • Elévation de privilèges > exploits locaux > mauvaises configuration > rootkits et backdoors • Découverte de nouveaux actifs > sniffing du réseau local > interception de mots de passe > scan de machines et de ports > position de MITM
 • Mouvements latéraux > exploitation par le réseau > usurpation des identités des utilisateurs des postes compromis > partages réseau 21 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
  22. 22. boolaz.com Exfiltration de données • D’abord en interne > informations captées acheminées vers un serveur interne > Utilisation de la compression > découpage des informations > puis chiffrement des données > toujours pour tromper sondes de détection et IDS
 • Puis en externe > Drop zone contrôlée par le groupe à l’origine de l’APT > transmission via un canal dissimulé > le DNS peut être utilisé pour ça 22 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
  23. 23. boolaz.comExemples d’A.P.T. 23
  24. 24. boolaz.com Elderwood • première opération d’ampleur (2010), l’opération Aurora • Cibles : Finances, technologies de l’internet, nouvelles technologies, média, chimie • Une vingtaine de sociétés visées ainsi que des hacktivistes • Exploitation CVE-2010-0249 (non patchée) • Utilisation d’exploits 0-day (flash, IE, XML core services) • Utilisation de watering holes • Suite à cette attaque Elderwood s’est spécialisée sur les secteurs : défense, transport, aéronautique, armement, énergie, industrie, ingénierie, électronique 24
  25. 25. boolaz.com Stuxnet • Ver informatique destiné à compromettre les systèmes SCADA • Utilisé dans le cadre d’une APT • 1er ver à s’attaquer aux systèmes ICS • Introduction du ver par clé USB • 4 failles 0-day • utilisation de drivers signés • Techniques d’attaque > Rootkits (signés) > Protocole d’échanges P2P (dialogue avec les machines infectées, et le C&C) > Failles 0-days (vulnérabilités non- patchées), > Faiblesse des mots de passe 25
  26. 26. boolaz.com APT1 (Comment crew) • le plus gros groupe découvert à ce jour • 3ème département de l’état major de l’armée chinoise, second bureau du PLA (U61398) • 100% entité gouvernementale chinoise • 141 attaques réussies (2006-2013) • 913 serveurs de commande en 2 ans • plusieurs centaines de noms de domaines et les milliers de sous domaines qui y sont rattachés • utilisation du spear phishing • pièces jointes au format ZIP contenant des fichiers PDF .exe 26
  27. 27. boolaz.com APT1 (Comment crew) • Recherchés par le FBI > Wang Dong (ugly gorilla) > Sun kai liang (Jack sun) • Capitaine de l’armée > Wen Xinyu (WinXYHappy) > Huang Zhenyu (hzy_lhx) > Gu Chunhui (KandyGoo) 27
  28. 28. boolaz.comStratégie de défense La lutte contre les A.P.T. 28
  29. 29. boolaz.com Relatives aux utilisateurs • Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité informatique > emploi de périphériques amovibles > post-it > remonter les problèmes aux services techniques > ouverture de fichiers PDF ou autres pièces jointes > techniques de social engineering et de spear phishing > transfert de courrier électronique > BYOD > … 29
  30. 30. boolaz.com Relatives aux politiques de sécurité • Etablir des politiques de sécurité et les faire appliquer > mots de passe > chiffrement des données pour les employés itinérants (guide ANSSI) > emploi de destructeurs de documents papier > politique d’accès physique aux matériels (ménage) > problématique du stockage dans les clouds publics > Audit régulier des accès wifi « sauvages » 
 (rogue access point) > liste bien entendue non exhaustive 30
  31. 31. boolaz.com • Mises à jour des systèmes > serveurs • IIS, Apache … > mais surtout stations de travail • Internet Explorer • Flash • Java • Acrobat reader • antivirus Mesures techniques 31
  32. 32. boolaz.com Mesures techniques • Réduction de l’exposition > ports ouverts > services utilisés • Détection des anomalies > HIDS, NIDS, IPS > analyse et corrélation des logs
 (syslog central, Siem) > actions proactives et autonomes 
 du système d’informations • Le DNS !!! ⚠ > utilisé pour joindre le C&C > utilisé pour exfiltrer des données • Faire auditer le système d’information de façon périodique > PCI-DSS : Penetration testing should be performed at least annually and anytime there is a significant infrastructure or application upgrade or modification 32
  33. 33. boolaz.com Mesure curatives • Remote Forensic > analyse des postes à distance > solution d’analyse forensic entreprise / cybersécurité > Collecte d’éléments de preuve / identification des données compromises > Chasse aux zombies • Bloquages > stopper les exfiltrations de données en contrôlant les flux • Remédiation > suppression des infections, réinstallation des postes compromis 33
  34. 34. boolaz.com Pour aller plus loin • Sécurité et espionnage informatique > cédric pernet aux éditions Eyrolles • MISC n°79 > mai-juin 2015 34
  35. 35. Bruno VALENTIN 
 Encase Certified Examiner n°15-0914-6378 Certified Ethical Hacker n°ECC36443059336 
 bvalentin@uriel-expert.com www.uriel-expert.com Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco Merci de votre attention

×