Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Support de webinar sur les cryptovirus Locky et Petya et comment protéger vos données. Mesures préventives, curatives et importance de la sauvegarde de données.
L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Ces systèmes d’information, et donc internet, contiennent des informations très critiques pour le déroulement des activités organisationnelles. Il est donc essentiel de les protéger contre les intrusions et les accès non autorisés. Dans cette perspective, se munir d’un système de sécurité informatique est devenu une composante essentielle de l’infrastructure des entreprises. Mais avant tout définissons certains aspects de ce type de sécurité.
Pattern detection in a remote LAN environment (EN)Bruno Valentin
A minor thesis submitted by Bruno VALENTIN in part fulfillment of the degree of M.Sc. in Forensic Computing and CyberCrime Investigation with the supervision of Dr. Pavel GLADYSHEV
Support de webinar sur les cryptovirus Locky et Petya et comment protéger vos données. Mesures préventives, curatives et importance de la sauvegarde de données.
L’évolution de l’utilisation d’internet, oblige beaucoup d’organisations à mettre en place un système d’information très développé pour être viable. Desservir ainsi leurs employés de toutes les informations et outils technologiques nécessaires répond à ce besoin de viabilité et de pérennité qui passe au travers d’une communication régulière et accrue avec leurs partenaires, fournisseurs et clients.
Ces systèmes d’information, et donc internet, contiennent des informations très critiques pour le déroulement des activités organisationnelles. Il est donc essentiel de les protéger contre les intrusions et les accès non autorisés. Dans cette perspective, se munir d’un système de sécurité informatique est devenu une composante essentielle de l’infrastructure des entreprises. Mais avant tout définissons certains aspects de ce type de sécurité.
Pattern detection in a remote LAN environment (EN)Bruno Valentin
A minor thesis submitted by Bruno VALENTIN in part fulfillment of the degree of M.Sc. in Forensic Computing and CyberCrime Investigation with the supervision of Dr. Pavel GLADYSHEV
Depuis plusieurs mois, les APT font la une de la presse spécialisée en sécurité. Les plus grands noms de l’industrie tombent les uns après les autres et voient leur données compromises et affichées au yeux de tous.
Les APT ne sont pas nouvelles et représentent une intrusion calculée, orchestrée et avec un objectif bien plus ciblé que les attaques classiques. Nous verrons comment le Web et le protocole HTTP prennent une place importante dans la réalisation d’une APT, du début de l’intrusion, en passant par le maintient et l’évolution dans l’infrastructure pour finir par l’extraction des données.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Matthieu Estrade
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
Toute organisation peut être la victime d’une attaque ciblée de la part d’attaquants déterminés afin de réaliser une intrusion, un déni de service, et éventuellement voler des données de manière furtive, ou bien détruire les disques durs des machines du système d’information. Avec le recul, force est de constater que dans la très grande majorité des cas, de simples mesures auraient permis soit de stopper, soit de nettement ralentir l’attaque. Venez participer à cette session pour obtenir une liste d’actions que vous pouvez mettre en œuvre maintenant pour augmenter de manière spectaculaire votre niveau de sécurité et devenir une cible difficile à atteindre. Quelques astuces pour déterminer si vous êtes déjà la victime d’une attaque ciblée seront également partagées
3. boolaz.com
Ce que l’APT n’est pas
• Un defacement
• Un Déni de service
• Un DDoS
• L’accès frauduleux à un S.T.A.D.
• Un vol de données par injection SQL
• l’exploitation transversale d’une vulnérabilité (wordpress, joomla…)
• …
3
4. boolaz.com
Alors qu’est ce que c’est ?
• APT : Advanced Persistent Threat
• Threat
> Menace pour l’entité qui en est victime
• Advanced
> évoluée, complexe
• Persistent
> Volonté de perdurer le plus longtemps possible
sans être détecté par les équipes en charge du
système d’information (attaque furtive, sous le radar)
4
5. boolaz.com
évoluée ?
• Pris en considération séparément, les éléments d’une APT ne sont pas
particulièrement évolués
> XSS, SQLi, phishing, spear phishing, malwares
• Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013)
• Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments
par des individus spécialistes dans leur domaine
• Le nombre d’attaquants
• Importance des moyens mis en oeuvre (physique, partenaires)
5
7. boolaz.com
Les attaquants
• Une attaque APT n’est pas menée par un individu unique
• Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille
> composition peut aller jusqu’à plusieurs dizaines d’individus
• Recoupements par mode opératoire et éléments communs
> serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles
> ⚠ Partage de ressources
• Profils complémentaires
7
8. boolaz.com
Types de profils
• Développeurs
> Développeurs généralistes et
développeurs de malwares
> sous traitance
• Administrateurs système
> maintien de l’infrastructure du
groupe APT
• Hackers
> pénétration, maintien des accès
• Chefs de projet
• Experts en menace informatique
(threat intelligence)
> Spécialiste de la réponse sur
incident
• Experts dans le domaine convoité
(competitive intelligence)
> Donnent une crédibilité et un
meilleur taux de réussite des
attaques ciblées par spear phishing
puisqu’il s’agit d’un professionnel
du secteur
8
10. boolaz.com
Les cibles
• Toute entité présentant des données sensibles ou stratégiques pour un
concurrent ou une entité tierce
• Peu importe la taille de la victime
> savoir faire technologique, secrets de fabrique
• Les cibles peuvent être diverses
> Individus
> Associations / fondations
> laboratoires de recherche
> entreprises privées
> Gouvernements 10
11. boolaz.com
Secteurs les plus touchés
• Services financiers
• Média et divertissement
• Industrie
• Aérospatiale et défense
11
12. boolaz.com
Actifs convoités et motivations
• inventions, travaux de R&D, projets sensibles
> concurrence, revente
• informations classifiées
> gouvernements
• Campagne de déstabilisation d’un concurrent
> manipulation cours de bourse, nuisance
• Toute donnée intéressante pour un tiers …
12
14. boolaz.com
Test d’intrusion traditionnel
• Reconnaissance
> informations publiques sur les IP,
recherches web, poubelles, social
engineering
• Découverte et énumération
> repérage sur le système, recherche
de ports ouverts, de vulnérabilités,
topologie du S.I., absence de
chiffrement de données qui
transitent, modèle des
équipements réseau
• Accès au système
> exploitation d’une ou plusieurs
vulnérabilités
• Maintien de l’accès
> implantation de rootkit, de
backdoors, désactivation de
certains logs
• Dissimulation des traces
> Effacement des traces, des logs,
des historiques
14
15. boolaz.com
L’A.P.T. est différente
• Exhaustivité
> Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de
recherche de vulnérabilités
> APT : Une vulnérabilité suffit pour la compromission
> différence entre white/black hacking
• Spécialisation
> test d’intrusion : spécialistes auditant techniquement sur la forme le système
d’informations
> APT : Appui d’analystes en competitive intelligence (spécialistes du domaine,
travail sur le fond)
15
16. boolaz.com
Cycle d’une APT
1. Reconnaissance active
et passive
2. Compromission - point d’entrée
3. C&C
4. Renforcement des accès et
mouvement latéraux
5. Exfiltration de données
6. Persistance de la présence
16
17. boolaz.com
Phase de reconnaissance - 2 types
• Reconnaissance passive
> Noms de domaines (whois)
> Historique du site
> plages d’adresses IP
> Enregistrements DNS
> Adresses mail
> Réseaux sociaux (viadeo, linkedin)
> Google dorks
> Forums …
• Reconnaissance active
> Découverte des matériels utilisés
> découvertes de ports et services
> découverte de vulnérabilités
> Métadonnées extraites du site
> Fouille des poubelles de l’entité
17
I - Reconnaissance
18. boolaz.com
Compromission - point d’entrée
• Attaques à distance
> drive by download
> Phishing d’informations
d’authentification
> R.A.T. (cheval de troie)
> exploitation d’une vulnérabilité
> intrusion dans un serveur
> injection SQL
> mail piégé contenant un exploit
pour une faille identifiée
• Attaques locales ou visant l’humain
> social engineering / usurpation
> spear phishing
> réseaux sociaux
> accès physique
> clé USB, cartes mémoire
18
I - Reconnaissance II - Compromission
19. boolaz.com
Compromission - outils utilisés
• RAT
> Poison ivy
> PlugX/KorPlug
> njRAT/Bladabindi
> Rarement des exploits 0-day
• Méthode
> Vol de certificats signés
> injection de DLL appelés par des
binaires signés
• spear phishing avec pièce jointe
maquillée et piégée
> pdf
> document office
> archive
> fausse extension
19
I - Reconnaissance II - Compromission
20. boolaz.com
Commande & Contrôle
20
I - Reconnaissance II - Compromission III - C&C
• Communication dissimulée
> « covert channel »
> HTTPS (443 TCP)
> DNS (port 53 UDP/TCP)
> mais aussi tout simplement HTTP
> anti-IDS
• Permet aux attaquants d’exécuter à
distance des commandes sur les
machines compromises
• La communication s’appuie
généralement sur le système DNS
> domaine
> domaine dynamique
21. boolaz.com
Renforcement des accès et mouvements latéraux
• Elévation de privilèges
> exploits locaux
> mauvaises configuration
> rootkits et backdoors
• Découverte de nouveaux actifs
> sniffing du réseau local
> interception de mots de passe
> scan de machines et de ports
> position de MITM
• Mouvements latéraux
> exploitation par le réseau
> usurpation des identités des
utilisateurs des postes compromis
> partages réseau
21
I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
22. boolaz.com
Exfiltration de données
• D’abord en interne
> informations captées acheminées
vers un serveur interne
> Utilisation de la compression
> découpage des informations
> puis chiffrement des données
> toujours pour tromper sondes de
détection et IDS
• Puis en externe
> Drop zone contrôlée par le groupe
à l’origine de l’APT
> transmission via un canal dissimulé
> le DNS peut être utilisé pour ça
22
I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
24. boolaz.com
Elderwood
• première opération d’ampleur
(2010), l’opération Aurora
• Cibles : Finances, technologies de
l’internet, nouvelles technologies,
média, chimie
• Une vingtaine de sociétés visées
ainsi que des hacktivistes
• Exploitation CVE-2010-0249 (non
patchée)
• Utilisation d’exploits 0-day (flash,
IE, XML core services)
• Utilisation de watering holes
• Suite à cette attaque Elderwood
s’est spécialisée sur les secteurs :
défense, transport, aéronautique,
armement, énergie, industrie,
ingénierie, électronique
24
25. boolaz.com
Stuxnet
• Ver informatique destiné à
compromettre les systèmes SCADA
• Utilisé dans le cadre d’une APT
• 1er ver à s’attaquer aux systèmes
ICS
• Introduction du ver par clé USB
• 4 failles 0-day
• utilisation de drivers signés
• Techniques d’attaque
> Rootkits (signés)
> Protocole d’échanges P2P
(dialogue avec les machines
infectées, et le C&C)
> Failles 0-days (vulnérabilités non-
patchées),
> Faiblesse des mots de passe
25
26. boolaz.com
APT1 (Comment crew)
• le plus gros groupe découvert à ce
jour
• 3ème département de l’état major
de l’armée chinoise, second bureau
du PLA (U61398)
• 100% entité gouvernementale
chinoise
• 141 attaques réussies (2006-2013)
• 913 serveurs de commande en 2
ans
• plusieurs centaines de noms de
domaines et les milliers de sous
domaines qui y sont rattachés
• utilisation du spear phishing
• pièces jointes au format ZIP
contenant des fichiers
PDF .exe
26
27. boolaz.com
APT1 (Comment crew)
• Recherchés par le FBI
> Wang Dong (ugly gorilla)
> Sun kai liang (Jack sun)
• Capitaine de l’armée
> Wen Xinyu (WinXYHappy)
> Huang Zhenyu (hzy_lhx)
> Gu Chunhui (KandyGoo)
27
29. boolaz.com
Relatives aux utilisateurs
• Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité
informatique
> emploi de périphériques amovibles
> post-it
> remonter les problèmes aux services techniques
> ouverture de fichiers PDF ou autres pièces jointes
> techniques de social engineering et de spear phishing
> transfert de courrier électronique
> BYOD
> …
29
30. boolaz.com
Relatives aux politiques de sécurité
• Etablir des politiques de sécurité et les faire appliquer
> mots de passe
> chiffrement des données pour les employés itinérants (guide ANSSI)
> emploi de destructeurs de documents papier
> politique d’accès physique aux matériels (ménage)
> problématique du stockage dans les clouds publics
> Audit régulier des accès wifi « sauvages »
(rogue access point)
> liste bien entendue non exhaustive
30
31. boolaz.com
• Mises à jour des systèmes
> serveurs
• IIS, Apache …
> mais surtout stations de travail
• Internet Explorer
• Flash
• Java
• Acrobat reader
• antivirus
Mesures techniques
31
32. boolaz.com
Mesures techniques
• Réduction de l’exposition
> ports ouverts
> services utilisés
• Détection des anomalies
> HIDS, NIDS, IPS
> analyse et corrélation des logs
(syslog central, Siem)
> actions proactives et autonomes
du système d’informations
• Le DNS !!! ⚠
> utilisé pour joindre le C&C
> utilisé pour exfiltrer des données
• Faire auditer le système
d’information de façon périodique
> PCI-DSS : Penetration testing
should be performed at least
annually and anytime there is a
significant infrastructure or
application upgrade or modification
32
33. boolaz.com
Mesure curatives
• Remote Forensic
> analyse des postes à distance
> solution d’analyse forensic entreprise / cybersécurité
> Collecte d’éléments de preuve / identification des données compromises
> Chasse aux zombies
• Bloquages
> stopper les exfiltrations de données en contrôlant les flux
• Remédiation
> suppression des infections, réinstallation des postes compromis
33
34. boolaz.com
Pour aller plus loin
• Sécurité et espionnage
informatique
> cédric pernet aux éditions Eyrolles
• MISC n°79
> mai-juin 2015
34
35. Bruno VALENTIN
Encase Certified Examiner n°15-0914-6378
Certified Ethical Hacker n°ECC36443059336
bvalentin@uriel-expert.com
www.uriel-expert.com
Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco
Merci de votre attention