SlideShare une entreprise Scribd logo
boolaz.com
Bruno Valentin
Les entreprises à l’heure du cyber espionnage

Les menaces APT
boolaz.comKésako ?
2
boolaz.com
Ce que l’APT n’est pas
• Un defacement

• Un Déni de service

• Un DDoS

• L’accès frauduleux à un S.T.A.D.

• Un vol de données par injection SQL

• l’exploitation transversale d’une vulnérabilité (wordpress, joomla…)

• …
3
boolaz.com
Alors qu’est ce que c’est ?
• APT : Advanced Persistent Threat

• Threat
> Menace pour l’entité qui en est victime

• Advanced
> évoluée, complexe

• Persistent
> Volonté de perdurer le plus longtemps possible 

sans être détecté par les équipes en charge du 

système d’information (attaque furtive, sous le radar)
4
boolaz.com
évoluée ?
• Pris en considération séparément, les éléments d’une APT ne sont pas
particulièrement évolués

> XSS, SQLi, phishing, spear phishing, malwares

• Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013)

• Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments
par des individus spécialistes dans leur domaine

• Le nombre d’attaquants

• Importance des moyens mis en oeuvre (physique, partenaires)
5
boolaz.comLes attaquants
6
boolaz.com
Les attaquants
• Une attaque APT n’est pas menée par un individu unique

• Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille

> composition peut aller jusqu’à plusieurs dizaines d’individus

• Recoupements par mode opératoire et éléments communs 

> serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles

> ⚠ Partage de ressources

• Profils complémentaires
7
boolaz.com
Types de profils
• Développeurs

> Développeurs généralistes et
développeurs de malwares

> sous traitance

• Administrateurs système

> maintien de l’infrastructure du
groupe APT

• Hackers

> pénétration, maintien des accès

• Chefs de projet

• Experts en menace informatique
(threat intelligence)

> Spécialiste de la réponse sur
incident

• Experts dans le domaine convoité
(competitive intelligence)

> Donnent une crédibilité et un
meilleur taux de réussite des
attaques ciblées par spear phishing
puisqu’il s’agit d’un professionnel
du secteur
8
boolaz.comLes cibles
9
boolaz.com
Les cibles
• Toute entité présentant des données sensibles ou stratégiques pour un
concurrent ou une entité tierce

• Peu importe la taille de la victime

> savoir faire technologique, secrets de fabrique

• Les cibles peuvent être diverses

> Individus

> Associations / fondations

> laboratoires de recherche

> entreprises privées

> Gouvernements 10
boolaz.com
Secteurs les plus touchés
• Services financiers

• Média et divertissement

• Industrie

• Aérospatiale et défense
11
boolaz.com
Actifs convoités et motivations
• inventions, travaux de R&D, projets sensibles

> concurrence, revente

• informations classifiées

> gouvernements

• Campagne de déstabilisation d’un concurrent

> manipulation cours de bourse, nuisance

• Toute donnée intéressante pour un tiers …
12
boolaz.comLe cycle d’une A.P.T.
13
boolaz.com
Test d’intrusion traditionnel
• Reconnaissance 

> informations publiques sur les IP,
recherches web, poubelles, social
engineering

• Découverte et énumération

> repérage sur le système, recherche
de ports ouverts, de vulnérabilités,
topologie du S.I., absence de
chiffrement de données qui
transitent, modèle des
équipements réseau

• Accès au système

> exploitation d’une ou plusieurs
vulnérabilités

• Maintien de l’accès

> implantation de rootkit, de
backdoors, désactivation de
certains logs

• Dissimulation des traces

> Effacement des traces, des logs,
des historiques
14
boolaz.com
L’A.P.T. est différente
• Exhaustivité

> Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de
recherche de vulnérabilités

> APT : Une vulnérabilité suffit pour la compromission 

> différence entre white/black hacking

• Spécialisation

> test d’intrusion : spécialistes auditant techniquement sur la forme le système
d’informations

> APT : Appui d’analystes en competitive intelligence (spécialistes du domaine,
travail sur le fond)
15
boolaz.com
Cycle d’une APT
1. Reconnaissance active 

et passive

2. Compromission - point d’entrée

3. C&C

4. Renforcement des accès et
mouvement latéraux

5. Exfiltration de données

6. Persistance de la présence
16
boolaz.com
Phase de reconnaissance - 2 types
• Reconnaissance passive

> Noms de domaines (whois)

> Historique du site

> plages d’adresses IP

> Enregistrements DNS

> Adresses mail

> Réseaux sociaux (viadeo, linkedin)

> Google dorks

> Forums …

• Reconnaissance active

> Découverte des matériels utilisés

> découvertes de ports et services

> découverte de vulnérabilités

> Métadonnées extraites du site

> Fouille des poubelles de l’entité
17
I - Reconnaissance
boolaz.com
Compromission - point d’entrée
• Attaques à distance

> drive by download

> Phishing d’informations
d’authentification

> R.A.T. (cheval de troie)

> exploitation d’une vulnérabilité

> intrusion dans un serveur

> injection SQL

> mail piégé contenant un exploit
pour une faille identifiée

• Attaques locales ou visant l’humain

> social engineering / usurpation

> spear phishing

> réseaux sociaux

> accès physique

> clé USB, cartes mémoire
18
I - Reconnaissance II - Compromission
boolaz.com
Compromission - outils utilisés
• RAT

> Poison ivy

> PlugX/KorPlug 

> njRAT/Bladabindi 

> Rarement des exploits 0-day

• Méthode

> Vol de certificats signés

> injection de DLL appelés par des
binaires signés

• spear phishing avec pièce jointe
maquillée et piégée

> pdf

> document office

> archive

> fausse extension
19
I - Reconnaissance II - Compromission
boolaz.com
Commande & Contrôle
20
I - Reconnaissance II - Compromission III - C&C
• Communication dissimulée

> « covert channel »

> HTTPS (443 TCP)

> DNS (port 53 UDP/TCP)

> mais aussi tout simplement HTTP

> anti-IDS

• Permet aux attaquants d’exécuter à
distance des commandes sur les
machines compromises

• La communication s’appuie
généralement sur le système DNS

> domaine

> domaine dynamique
boolaz.com
Renforcement des accès et mouvements latéraux
• Elévation de privilèges

> exploits locaux

> mauvaises configuration

> rootkits et backdoors

• Découverte de nouveaux actifs

> sniffing du réseau local

> interception de mots de passe

> scan de machines et de ports

> position de MITM

• Mouvements latéraux

> exploitation par le réseau

> usurpation des identités des
utilisateurs des postes compromis

> partages réseau
21
I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
boolaz.com
Exfiltration de données
• D’abord en interne

> informations captées acheminées
vers un serveur interne

> Utilisation de la compression

> découpage des informations

> puis chiffrement des données

> toujours pour tromper sondes de
détection et IDS

• Puis en externe

> Drop zone contrôlée par le groupe
à l’origine de l’APT

> transmission via un canal dissimulé

> le DNS peut être utilisé pour ça
22
I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
boolaz.comExemples d’A.P.T.
23
boolaz.com
Elderwood
• première opération d’ampleur
(2010), l’opération Aurora

• Cibles : Finances, technologies de
l’internet, nouvelles technologies,
média, chimie

• Une vingtaine de sociétés visées
ainsi que des hacktivistes

• Exploitation CVE-2010-0249 (non
patchée)

• Utilisation d’exploits 0-day (flash,
IE, XML core services)

• Utilisation de watering holes

• Suite à cette attaque Elderwood
s’est spécialisée sur les secteurs :
défense, transport, aéronautique,
armement, énergie, industrie,
ingénierie, électronique
24
boolaz.com
Stuxnet
• Ver informatique destiné à
compromettre les systèmes SCADA

• Utilisé dans le cadre d’une APT

• 1er ver à s’attaquer aux systèmes
ICS

• Introduction du ver par clé USB

• 4 failles 0-day

• utilisation de drivers signés

• Techniques d’attaque

> Rootkits (signés)

> Protocole d’échanges P2P
(dialogue avec les machines
infectées, et le C&C)

> Failles 0-days (vulnérabilités non-
patchées),

> Faiblesse des mots de passe
25
boolaz.com
APT1 (Comment crew)
• le plus gros groupe découvert à ce
jour

• 3ème département de l’état major
de l’armée chinoise, second bureau
du PLA (U61398)

• 100% entité gouvernementale
chinoise

• 141 attaques réussies (2006-2013)

• 913 serveurs de commande en 2
ans

• plusieurs centaines de noms de
domaines et les milliers de sous
domaines qui y sont rattachés

• utilisation du spear phishing 

• pièces jointes au format ZIP
contenant des fichiers
PDF .exe
26
boolaz.com
APT1 (Comment crew)
• Recherchés par le FBI

> Wang Dong (ugly gorilla)

> Sun kai liang (Jack sun)

• Capitaine de l’armée

> Wen Xinyu (WinXYHappy)

> Huang Zhenyu (hzy_lhx)

> Gu Chunhui (KandyGoo)
27
boolaz.comStratégie de défense
La lutte contre les A.P.T.
28
boolaz.com
Relatives aux utilisateurs
• Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité
informatique

> emploi de périphériques amovibles

> post-it

> remonter les problèmes aux services techniques

> ouverture de fichiers PDF ou autres pièces jointes

> techniques de social engineering et de spear phishing

> transfert de courrier électronique

> BYOD

> …
29
boolaz.com
Relatives aux politiques de sécurité
• Etablir des politiques de sécurité et les faire appliquer

> mots de passe

> chiffrement des données pour les employés itinérants (guide ANSSI)

> emploi de destructeurs de documents papier

> politique d’accès physique aux matériels (ménage)

> problématique du stockage dans les clouds publics

> Audit régulier des accès wifi « sauvages » 

(rogue access point)

> liste bien entendue non exhaustive
30
boolaz.com
• Mises à jour des systèmes 

> serveurs

• IIS, Apache …

> mais surtout stations de travail

• Internet Explorer

• Flash

• Java

• Acrobat reader

• antivirus
Mesures techniques
31
boolaz.com
Mesures techniques
• Réduction de l’exposition

> ports ouverts

> services utilisés

• Détection des anomalies

> HIDS, NIDS, IPS

> analyse et corrélation des logs

(syslog central, Siem)

> actions proactives et autonomes 

du système d’informations 

• Le DNS !!! ⚠

> utilisé pour joindre le C&C

> utilisé pour exfiltrer des données

• Faire auditer le système
d’information de façon périodique

> PCI-DSS : Penetration testing
should be performed at least
annually and anytime there is a
significant infrastructure or
application upgrade or modification
32
boolaz.com
Mesure curatives
• Remote Forensic

> analyse des postes à distance

> solution d’analyse forensic entreprise / cybersécurité

> Collecte d’éléments de preuve / identification des données compromises

> Chasse aux zombies

• Bloquages

> stopper les exfiltrations de données en contrôlant les flux

• Remédiation

> suppression des infections, réinstallation des postes compromis
33
boolaz.com
Pour aller plus loin
• Sécurité et espionnage
informatique

> cédric pernet aux éditions Eyrolles

• MISC n°79 

> mai-juin 2015
34
Bruno VALENTIN



Encase Certified Examiner n°15-0914-6378

Certified Ethical Hacker n°ECC36443059336

	 	 



	 	 	 bvalentin@uriel-expert.com

	 	 	 www.uriel-expert.com	 	 	 	
Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco
Merci de votre attention

Contenu connexe

Tendances

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
Sylvain Maret
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
usthbsido
 
Hackernew
HackernewHackernew
Hackernew
Leila Aman
 
La culture hacker
La culture hackerLa culture hacker
La culture hacker
decoderlecode
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
michelcusin
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
Kiwi Backup
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
Jean-Antoine Moreau
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
Amadou Dary diallo
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
Yves Van Gheem
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
Eric Romang
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
Mohammed Zaoui
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
DICKO Yacouba
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Présentation gnireenigne
Présentation   gnireenignePrésentation   gnireenigne
Présentation gnireenigne
CocoaHeads.fr
 
Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1
Eric Romang
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
Mohamed Ben Bouzid
 

Tendances (17)

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr   2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
 
Hackernew
HackernewHackernew
Hackernew
 
La culture hacker
La culture hackerLa culture hacker
La culture hacker
 
Colloque cyber 2010 les botnets
Colloque cyber 2010   les botnetsColloque cyber 2010   les botnets
Colloque cyber 2010 les botnets
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Présentation gnireenigne
Présentation   gnireenignePrésentation   gnireenigne
Présentation gnireenigne
 
Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 

En vedette

Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)
Bruno Valentin
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratique
salmenloukil
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
Safae Rahel
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking
81787
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
Idir Gaci
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
michelcusin
 
Présentation finale pi soutenance
Présentation finale pi soutenancePrésentation finale pi soutenance
Présentation finale pi soutenance
Tristan De Candé
 
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Pascal MARTIN
 
La sécurité informatique en belgique dec 2013 - 2
La sécurité informatique en belgique   dec 2013 - 2La sécurité informatique en belgique   dec 2013 - 2
La sécurité informatique en belgique dec 2013 - 2
Rudi Réz
 
La sécurité informatique en belgique avril 2014
La sécurité informatique en belgique   avril 2014La sécurité informatique en belgique   avril 2014
La sécurité informatique en belgique avril 2014
Rudi Réz
 
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
Web Application Penetration Testing Introduction
Web Application Penetration Testing IntroductionWeb Application Penetration Testing Introduction
Web Application Penetration Testing Introduction
gbud7
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing Explained
Rand W. Hirt
 
cours Lunix
cours Lunixcours Lunix
cours Lunix
salmenloukil
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Franck Franchin
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 

En vedette (20)

Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratique
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
 
ASFWS 2013 - Welcome
ASFWS 2013 - Welcome ASFWS 2013 - Welcome
ASFWS 2013 - Welcome
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Coursinfo s4
Coursinfo s4Coursinfo s4
Coursinfo s4
 
Présentation finale pi soutenance
Présentation finale pi soutenancePrésentation finale pi soutenance
Présentation finale pi soutenance
 
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
 
La sécurité informatique en belgique dec 2013 - 2
La sécurité informatique en belgique   dec 2013 - 2La sécurité informatique en belgique   dec 2013 - 2
La sécurité informatique en belgique dec 2013 - 2
 
La sécurité informatique en belgique avril 2014
La sécurité informatique en belgique   avril 2014La sécurité informatique en belgique   avril 2014
La sécurité informatique en belgique avril 2014
 
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Web Application Penetration Testing Introduction
Web Application Penetration Testing IntroductionWeb Application Penetration Testing Introduction
Web Application Penetration Testing Introduction
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing Explained
 
cours Lunix
cours Lunixcours Lunix
cours Lunix
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 

Similaire à Les menaces apt

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
ZokomElie
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
michelcusin
 
La sécurité.pptx
La sécurité.pptxLa sécurité.pptx
La sécurité.pptx
unanissa
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
MoufidaHajjaj
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Antoine Vigneron
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
 
Enumeration et Exploitation
Enumeration et Exploitation Enumeration et Exploitation
Enumeration et Exploitation
Abdul Baacit Coulibaly
 
Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web? Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web?
Pierre-François Danse
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
NetSecure Day
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
BELVEZE Damien
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
Manuel Cédric EBODE MBALLA
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
michelcusin
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
onyikondi
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
David Girard
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Microsoft
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
 

Similaire à Les menaces apt (20)

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
La sécurité.pptx
La sécurité.pptxLa sécurité.pptx
La sécurité.pptx
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
 
1 introduction secu
1  introduction secu1  introduction secu
1 introduction secu
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Enumeration et Exploitation
Enumeration et Exploitation Enumeration et Exploitation
Enumeration et Exploitation
 
Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web? Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web?
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 

Les menaces apt

  • 1. boolaz.com Bruno Valentin Les entreprises à l’heure du cyber espionnage Les menaces APT
  • 3. boolaz.com Ce que l’APT n’est pas • Un defacement • Un Déni de service • Un DDoS • L’accès frauduleux à un S.T.A.D. • Un vol de données par injection SQL • l’exploitation transversale d’une vulnérabilité (wordpress, joomla…) • … 3
  • 4. boolaz.com Alors qu’est ce que c’est ? • APT : Advanced Persistent Threat • Threat > Menace pour l’entité qui en est victime • Advanced > évoluée, complexe • Persistent > Volonté de perdurer le plus longtemps possible 
 sans être détecté par les équipes en charge du 
 système d’information (attaque furtive, sous le radar) 4
  • 5. boolaz.com évoluée ? • Pris en considération séparément, les éléments d’une APT ne sont pas particulièrement évolués > XSS, SQLi, phishing, spear phishing, malwares • Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013) • Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments par des individus spécialistes dans leur domaine • Le nombre d’attaquants • Importance des moyens mis en oeuvre (physique, partenaires) 5
  • 7. boolaz.com Les attaquants • Une attaque APT n’est pas menée par un individu unique • Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille > composition peut aller jusqu’à plusieurs dizaines d’individus • Recoupements par mode opératoire et éléments communs > serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles > ⚠ Partage de ressources • Profils complémentaires 7
  • 8. boolaz.com Types de profils • Développeurs > Développeurs généralistes et développeurs de malwares > sous traitance • Administrateurs système > maintien de l’infrastructure du groupe APT • Hackers > pénétration, maintien des accès • Chefs de projet • Experts en menace informatique (threat intelligence) > Spécialiste de la réponse sur incident
 • Experts dans le domaine convoité (competitive intelligence) > Donnent une crédibilité et un meilleur taux de réussite des attaques ciblées par spear phishing puisqu’il s’agit d’un professionnel du secteur 8
  • 10. boolaz.com Les cibles • Toute entité présentant des données sensibles ou stratégiques pour un concurrent ou une entité tierce • Peu importe la taille de la victime > savoir faire technologique, secrets de fabrique • Les cibles peuvent être diverses > Individus > Associations / fondations > laboratoires de recherche > entreprises privées > Gouvernements 10
  • 11. boolaz.com Secteurs les plus touchés • Services financiers • Média et divertissement • Industrie • Aérospatiale et défense 11
  • 12. boolaz.com Actifs convoités et motivations • inventions, travaux de R&D, projets sensibles > concurrence, revente • informations classifiées > gouvernements • Campagne de déstabilisation d’un concurrent > manipulation cours de bourse, nuisance • Toute donnée intéressante pour un tiers … 12
  • 14. boolaz.com Test d’intrusion traditionnel • Reconnaissance > informations publiques sur les IP, recherches web, poubelles, social engineering • Découverte et énumération > repérage sur le système, recherche de ports ouverts, de vulnérabilités, topologie du S.I., absence de chiffrement de données qui transitent, modèle des équipements réseau • Accès au système > exploitation d’une ou plusieurs vulnérabilités • Maintien de l’accès > implantation de rootkit, de backdoors, désactivation de certains logs • Dissimulation des traces > Effacement des traces, des logs, des historiques 14
  • 15. boolaz.com L’A.P.T. est différente • Exhaustivité > Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de recherche de vulnérabilités > APT : Une vulnérabilité suffit pour la compromission > différence entre white/black hacking • Spécialisation > test d’intrusion : spécialistes auditant techniquement sur la forme le système d’informations > APT : Appui d’analystes en competitive intelligence (spécialistes du domaine, travail sur le fond) 15
  • 16. boolaz.com Cycle d’une APT 1. Reconnaissance active 
 et passive 2. Compromission - point d’entrée 3. C&C 4. Renforcement des accès et mouvement latéraux 5. Exfiltration de données 6. Persistance de la présence 16
  • 17. boolaz.com Phase de reconnaissance - 2 types • Reconnaissance passive > Noms de domaines (whois) > Historique du site > plages d’adresses IP > Enregistrements DNS > Adresses mail > Réseaux sociaux (viadeo, linkedin) > Google dorks > Forums … • Reconnaissance active > Découverte des matériels utilisés > découvertes de ports et services > découverte de vulnérabilités > Métadonnées extraites du site > Fouille des poubelles de l’entité 17 I - Reconnaissance
  • 18. boolaz.com Compromission - point d’entrée • Attaques à distance > drive by download > Phishing d’informations d’authentification > R.A.T. (cheval de troie) > exploitation d’une vulnérabilité > intrusion dans un serveur > injection SQL > mail piégé contenant un exploit pour une faille identifiée
 • Attaques locales ou visant l’humain > social engineering / usurpation > spear phishing > réseaux sociaux > accès physique > clé USB, cartes mémoire 18 I - Reconnaissance II - Compromission
  • 19. boolaz.com Compromission - outils utilisés • RAT > Poison ivy > PlugX/KorPlug > njRAT/Bladabindi > Rarement des exploits 0-day • Méthode > Vol de certificats signés > injection de DLL appelés par des binaires signés • spear phishing avec pièce jointe maquillée et piégée > pdf > document office > archive > fausse extension 19 I - Reconnaissance II - Compromission
  • 20. boolaz.com Commande & Contrôle 20 I - Reconnaissance II - Compromission III - C&C • Communication dissimulée > « covert channel » > HTTPS (443 TCP) > DNS (port 53 UDP/TCP) > mais aussi tout simplement HTTP > anti-IDS • Permet aux attaquants d’exécuter à distance des commandes sur les machines compromises • La communication s’appuie généralement sur le système DNS > domaine > domaine dynamique
  • 21. boolaz.com Renforcement des accès et mouvements latéraux • Elévation de privilèges > exploits locaux > mauvaises configuration > rootkits et backdoors • Découverte de nouveaux actifs > sniffing du réseau local > interception de mots de passe > scan de machines et de ports > position de MITM
 • Mouvements latéraux > exploitation par le réseau > usurpation des identités des utilisateurs des postes compromis > partages réseau 21 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
  • 22. boolaz.com Exfiltration de données • D’abord en interne > informations captées acheminées vers un serveur interne > Utilisation de la compression > découpage des informations > puis chiffrement des données > toujours pour tromper sondes de détection et IDS
 • Puis en externe > Drop zone contrôlée par le groupe à l’origine de l’APT > transmission via un canal dissimulé > le DNS peut être utilisé pour ça 22 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
  • 24. boolaz.com Elderwood • première opération d’ampleur (2010), l’opération Aurora • Cibles : Finances, technologies de l’internet, nouvelles technologies, média, chimie • Une vingtaine de sociétés visées ainsi que des hacktivistes • Exploitation CVE-2010-0249 (non patchée) • Utilisation d’exploits 0-day (flash, IE, XML core services) • Utilisation de watering holes • Suite à cette attaque Elderwood s’est spécialisée sur les secteurs : défense, transport, aéronautique, armement, énergie, industrie, ingénierie, électronique 24
  • 25. boolaz.com Stuxnet • Ver informatique destiné à compromettre les systèmes SCADA • Utilisé dans le cadre d’une APT • 1er ver à s’attaquer aux systèmes ICS • Introduction du ver par clé USB • 4 failles 0-day • utilisation de drivers signés • Techniques d’attaque > Rootkits (signés) > Protocole d’échanges P2P (dialogue avec les machines infectées, et le C&C) > Failles 0-days (vulnérabilités non- patchées), > Faiblesse des mots de passe 25
  • 26. boolaz.com APT1 (Comment crew) • le plus gros groupe découvert à ce jour • 3ème département de l’état major de l’armée chinoise, second bureau du PLA (U61398) • 100% entité gouvernementale chinoise • 141 attaques réussies (2006-2013) • 913 serveurs de commande en 2 ans • plusieurs centaines de noms de domaines et les milliers de sous domaines qui y sont rattachés • utilisation du spear phishing • pièces jointes au format ZIP contenant des fichiers PDF .exe 26
  • 27. boolaz.com APT1 (Comment crew) • Recherchés par le FBI > Wang Dong (ugly gorilla) > Sun kai liang (Jack sun) • Capitaine de l’armée > Wen Xinyu (WinXYHappy) > Huang Zhenyu (hzy_lhx) > Gu Chunhui (KandyGoo) 27
  • 28. boolaz.comStratégie de défense La lutte contre les A.P.T. 28
  • 29. boolaz.com Relatives aux utilisateurs • Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité informatique > emploi de périphériques amovibles > post-it > remonter les problèmes aux services techniques > ouverture de fichiers PDF ou autres pièces jointes > techniques de social engineering et de spear phishing > transfert de courrier électronique > BYOD > … 29
  • 30. boolaz.com Relatives aux politiques de sécurité • Etablir des politiques de sécurité et les faire appliquer > mots de passe > chiffrement des données pour les employés itinérants (guide ANSSI) > emploi de destructeurs de documents papier > politique d’accès physique aux matériels (ménage) > problématique du stockage dans les clouds publics > Audit régulier des accès wifi « sauvages » 
 (rogue access point) > liste bien entendue non exhaustive 30
  • 31. boolaz.com • Mises à jour des systèmes > serveurs • IIS, Apache … > mais surtout stations de travail • Internet Explorer • Flash • Java • Acrobat reader • antivirus Mesures techniques 31
  • 32. boolaz.com Mesures techniques • Réduction de l’exposition > ports ouverts > services utilisés • Détection des anomalies > HIDS, NIDS, IPS > analyse et corrélation des logs
 (syslog central, Siem) > actions proactives et autonomes 
 du système d’informations • Le DNS !!! ⚠ > utilisé pour joindre le C&C > utilisé pour exfiltrer des données • Faire auditer le système d’information de façon périodique > PCI-DSS : Penetration testing should be performed at least annually and anytime there is a significant infrastructure or application upgrade or modification 32
  • 33. boolaz.com Mesure curatives • Remote Forensic > analyse des postes à distance > solution d’analyse forensic entreprise / cybersécurité > Collecte d’éléments de preuve / identification des données compromises > Chasse aux zombies • Bloquages > stopper les exfiltrations de données en contrôlant les flux • Remédiation > suppression des infections, réinstallation des postes compromis 33
  • 34. boolaz.com Pour aller plus loin • Sécurité et espionnage informatique > cédric pernet aux éditions Eyrolles • MISC n°79 > mai-juin 2015 34
  • 35. Bruno VALENTIN 
 Encase Certified Examiner n°15-0914-6378 Certified Ethical Hacker n°ECC36443059336 
 bvalentin@uriel-expert.com www.uriel-expert.com Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco Merci de votre attention