1 1
M E M B R E S D U G R O U P E
F L O R I A N E A L I X E C L A I R E G A G E L I N J O N A T H A N B U S C A
M A T H I E U H A R T H E I S E R F L O R E N T B A C C I
B A P T I S T I N B U C H E T J U L I E N M O N B I L L A R D R O M A I N V E R I A T O L O U I S V A T I E R
Groupe 1 28/11/2011
Gestion de crise et APT
2 2
1 . C O N T E X T E & D É F I N I T I O N
1.
Le piratage informatique
2.
Cartographie des menaces
3.
Définition d’une APT
4.
Cybercriminalité et entreprise
2 . E T U D E D ’ U N C A S F I C T I F 1.
Scénario attaquant
2.
Détection et gestion de crise
3.
Conclusion et enseignements
Plan
28/11/2011
Groupe 1
3 3 3 3
Contexte et définition
28/11/2011
D é f i n i t i o n
Exploitation préjudiciable d’une faille dans un système ;
Différents types d’exploitation :
H i s t o r i q u e
Groupe 1
Le piratage: définition, historique et tendances
1960 1980 - 1990 1990 - 2000 Actuellement
Phreaking Cray One
Affaire MITNICK
1er ver Internet
1ère attaque à but lucratif
Attaque des supports
Botnets
CaaS
Black Market
• Exploitation logicielle
• Accès physique
• Denis de service
• Social Engineering
• Interception de communication
• Mauvaise configuration
4 4 4
4
28/11/2011Industrialisation du piratage :
o Emergence d’organisations cybercriminelles ;
o « Crimeware as a Service » ou CaaS : mise à disposition d’outils ou de services permettant de commettre des actes de piratage ;
o « Black market » : sites e-commerce dédiés au marché illégal et peu ouverts au grand public. Plus le site est « ouvert », moins les informations disponibles sont utilisables ;
o Opération « Firewall » en 2004 :
réponse à l’attaque du groupe « ShadowCrew » (US) ;
vols par hameçonnage et reventes d’informations bancaires créant le premier marché noir cybercriminel ;
28 arrestations (sur 4 000 membres).
Disponibles sur le « Black Market » :
o Numéros de cartes de crédit ; o Accès administratifs aux serveurs ; o Listes d'adresses électroniques ;o Comptes de services de paiement en ligne ; o Comptes Western Union, Paypal ;
o Failles 0-day.
Groupe 1
Menace : le marché de la cybercriminalité
Contexte et définition
5 5
Cartographie des cibles d’attaques
De 1999 à aujourd’hui
Source:
https://www.google.com/fusiontables/Da taSource?dsrcid=930451&search=web&c d=1
(MalwareDomainList)
28/11/2011
Groupe 1
Contexte et définition
Cartographie des menaces
Attaques orientées vers les pays industriels et économiquement développés :
principalement : les États-Unis et l’Europe ;
autres pays visés : la Chine et le Moyen-Orient.
Les attaquants les visent naturellement car ces cibles permettent de maximiser les gains illégitimes.
6 6 6
6
28/11/2011Groupe 1
APT – Advanced Persistent Threat
A dvanced P ersistent T hreat
Critères de caractérisation :
large éventail de techniques ;
complexité de l’attaque.
Moyens :
social engineering ;
utilisation de failles 0-day.
Critères de caractérisation :
maintient d’un accès à la source d’information ;
attaque difficilement détectable.
Moyens :
utilisation de différents canaux de communication ;
maintenance de l’exploit à distance.
Critères de caractérisation :
attaque ciblée ;
vol d’informations stratégiques.
Moyens :
présence de moyens importants ;
volonté forte des attaquants.
•
Attaque se distinguant par les 3 critères suivants :•
Attaque se référant généralement à une entité qualifiée ayant :o La capacité de réaliser l’attaque ;
o L'intention de persister dans l’attaque ;
o La volonté de cibler efficacement une entité spécifique.
•
Le terme est couramment utilisé pour désigner les cyber-menaces à des fins d’espionnage.Contexte et définition
7 7 7
7
28/11/2011Groupe 1
Les techniques de contrôle
Serveur Command and Control (C&C)
Serveur central des attaquants;
Généralement un serveur « volé »;
Récupère les informations et donne les ordres aux agents;
Communique via une très large gamme de protocoles.
Fast Flux
Méthode de dissimulation du serveur C&C ;
Consiste en un botnet servant de reverse proxy ;
Utilise le DNS pour faire varier sans cesse le proxy utilisé.
Le bulletproof
Un ensemble de services vendu par un prestataire ;
Permet d’obtenir un ou plusieurs serveurs très protégés ;
Peu de regard sur la légalité des opérations effectuées ;
Fourni en général des services annexes (Fast Flux, upstream provider, etc.).
Les techniques d’attaque
Le social engineering
Apprendre à connaître ses cibles ;
Etude des relations et des connaissances ;
Usurpation d’identité.
Les failles 0-day
Faille sur un logiciel grand public largement installé ;
Aucun correctif ni protection disponible ;
Garantie d’action efficace et invisible ;
Constitue le point d’entrée de l’attaque.
Les keyloggers
Enregistre toutes les actions de l’utilisateur ;
Moyen idéal pour récupérer les mots de passe et les informations confidentielles ;
Sur un poste d’administrateur, donne les clés du SI.
Les rootkits
Camoufle l’intégralité de l’opération.
APT – Eléments techniques (1/2)
Contexte et définition
8 8 8
8
28/11/2011Groupe 1
APT – Eléments techniques (2/2)
Intrusion Camouflage Communication Expansion
Faille 0-day Rootkits Serveur C&C Keylogger
Social engineering Fast flux Protocoles variés (HTTP, HTTPS, IRC, etc.)
Poste des administrateurs
Hébergement Bulletproof Active directory
Comme on peut le constater, les techniques d’attaque utilisées ne sont pas spécifiques aux APT. Il s’agit pour la plupart de techniques simples et mises en œuvre facilement.
Néanmoins, c’est la combinaison de toutes ces techniques et leur manipulation efficace qui rendent l’APT si dangereuse.
En effet, on peut facilement se protéger individuellement contre chacune de ces attaques, mais il est très difficile d’être protégé contre toutes.
Contexte et définition
Classement en quatre catégories:
9 9 9
9
28/11/2011Nom – Date de détection
Pays cible – Origine supposée Etablissement(s) Documents visés Vecteurs d’attaque
GhostNet - Mar. 2009
103 pays - Hainan, Chine (démenti)
Ambassades
Ministères des affaires étrangères Organisations non
gouvernementales
Documents administratifs de très forte valeur
Documents privés du Dallai Lama
Cheval de Troie (Gh0st RAT*) -MS Windows
Night Dragon - NA
NA - Beijing, Chine (démenti)
Entreprises des secteurs de l’énergie: (Exxon Mobil, Royal Dutch Shell, BP, etc)
Cartes topographiques informatisées confidentielles qui montrent les emplacements de réserves pétrolières potentielles
RATs* « zwShell », « Gh0st RAT » et
« Poison Ivy » , Injections SQL, Vuln.
MS, Pas d’utilisation de faille 0-day
Aurora - Jan. 2010
Etats-Unis - Chine (démenti)
Plus de 30 entreprises
Américaines : Google, Adobe et bien d’autres
Documents couverts par le droit sur la propriété intellectuelle
Comptes Google des militants des droits humains
Faille 0-day dans MS Internet Explorer 6 à 8
Vuln. Adobe Reader
Bercy - Jan. 2011
France - Chine ou Asie
Ministère de l’Economie et des Finances
Dossier sensibles de la présidence française du G20
Cheval de Troie dans un PDF
RSA Security - Mar. 2011
Etats Unis - NA
RSA Security : entreprise américaine spécialisée dans la sécurité informatique
« Two-factor tokens », graines servant à la génération de codes pseudo-aléatoires utilisés dans l’authentification SecurID de plus de 20 000 clients
Lockheed Martin - Mai. 2011
Etats-Unis - Chine ou Russie
Lockheed Martin, 1er sous-traitant du Pentagone : 125 000 employés,
$45 milliard de CA
Informations critiques sur les avions de combats F-22 et F-35
Utilisation des tokens SecurID volés a RSA Security
Social Engineering
Groupe 1
Cybercriminalité vs entreprises
Contexte et définition
10 10 10
10
28/11/2011Groupe 1
Cybercriminalité vs entreprises
Impacts Enjeux pendant l’attaque
Image de marque • Perte de la crédibilité de la marque de l’entreprise
Compétitivité et concurrence
• Vol d’informations confidentielles
• Recel d’information vers concurrents
• Perte de la position de concurrence de l’entreprise
Juridique • Implication civile ou pénale de l’entreprise avec des clients
• Implication civile ou pénale de l’entreprise avec des employés Climat social • Départ des employés de l’entreprise
Organisation de l’activité
• Retard
• Dysfonctionnement
• Arrêt
Sureté et sécurité • Mise en péril de la vie de personnes ciblées Matériel • Destruction d’équipement
Attaquants, post attaque
• Gain d’une reconnaissance en tant que groupe d’attaquant
• Garder le contrôle sur une entreprise
• Risque de poursuites pénales
Avant l’attaque
o Côté attaquants : réunir des moyens pour la réalisation d’une APT.
o Côté entreprise : se protéger contre une éventuelle attaque
Pendant l’attaque
o Objets de l’attaque : l’information sensible
o Objectifs des attaquants : récupérer l’information
o Objectif de l’entreprise : protection de l’information.
Nécessité évidente d’une forte organisation et de moyens conséquents pour lancer ou contrer de telles attaques.
Asymétrie dans l’attaque.
Contexte et définition
11 11 11 11
Cas fictif – Définition du cas d’étude
28/11/2011
Présentation de l’entreprise victime : BELLUS SAo Cœur de métier : l’armement et les nouvelles technologies
o 30 filiales à travers le monde
o Collaboration de BELLUS SA sur le projet du nouveau chasseur français, le Batman, via sa filiale BELLUS Avionique
La sécurité du SI : principe de défense en profondeurGroupe 1
Contexte
Points forts Points faibles
• PSSI déployée sur l’ensemble des filiales
• Politique de patching, de mise à jour et de journalisation
• NIDS et AV
• Active Directory : réplication de la foret sur l’ensemble des contrôleurs de domaine
• Pas de poste dédié à l’administration de l’Active Directory
• Authentification faible par binôme login et mot de passe
12 12 12 12
Cas fictif – Scénario attaquant
28/11/2011 Objectifs :
Localiser les informations à exfiltrer ;
Identifier les éventuels points vulnérables du SI afin de s’y introduire.
Cartographie des filiales :
o Parcours des sites institutionnels, rapports de comptes annuels, journaux spécialisés ;
o Requête Google : identification de tous les sous-domaines et entreprises partenaires.
Identification de la filiale BELLUS Avionique : source des informations à exfiltrer.
Identification d’une filiale mal sécurisée : BELLUS PAME (Public Affairs Middle East).
Cartographie des employés BELLUS PAME :
o Recherche internet et utilisation de logiciels spécifiques tel que Maltego : identification des collaborateurs de la filiale ;
o Affiner les recherches sur les collaborateurs : obtenir un profil précis de la personne ;
Ces informations pourront être trouvées sur les blogs et les réseaux sociaux (Viadeo, LinkedIn, Facebook).
Cartographie des équipements du SI de BELLUS PAME :
o Interrogation des serveurs DNS cache par DNS cache snooping : révéler des informations :
Antivirus utilisés, les dates des dernières mises à jour, filtres réseaux.
o Identification des failles web potentielles : exploiter au mieux une attaque de Spear Phishing (XSS et iframe).
Groupe 1
Phase de renseignement
13 13 13 13
Cas fictif – Scénario attaquant
28/11/2011 Conception de l’attaque, création d’un message électronique malveillant
o Personnalisé, crédible et semblant légitime ;
o Contenant la charge utile : l’exploit d’une vulnérabilité.
L’attaque D3F1ANC3, une attaque en deux temps
o Utilisation d’une faille connue
Exploitation via un plug-in Metasploit d’une vulnérabilité dans Adobe Flash Player permettant l’exécution de code arbitraire ;
Le correctif de cette vulnérabilité a été déployé sur l’ensemble du SI de BELLUS SA.
o Utilisation d’une faille 0-day
Aucun correctif disponible => le malware s’exécute et contacte un serveur C&C
Groupe 1
Attaque par Spear Phishing
Exploit Utiliser une vulnérabilité connue Utiliser une faille « 0-day » Avantages facile à trouver
Simplicité d’implémentation. Aucun correctifs disponible Inconvénients Correctifs disponibles Difficilement disponible
14 14 14 14
Cas fictif – Scénario attaquant
28/11/2011 Objectifs :
Extension de l’attaque sur l’ensemble du SI
Elévation local de privilèges - Exploitation d’une vulnérabilité « Net API »
Obtention des droits administrateur sur la machine de l’utilisateur;
Récupération du hash de l’administrateur local de la machine grâce au logiciel pwdump;
Identification facile grâce a son SID qui correspond à « S-1-5-21-domaine-500 ».
Intrusion sur le poste Administrateur de domaine
Liste de l’ensemble des utilisateurs grâce à la commande : « net user /domain » : le SID du groupe recherché est
« S-1-5-domaine-512 »;
Connexion en temps qu’administrateur du domaine sur son poste de travail avec une authentification par passe de hash;
Installation sur le poste d’un keylogger;
A la prochaine authentification de la victime, l’attaquant sera aussi administrateur du domaine.
Les attaquants possèdent un compte administrateur sur l’Active directory.
Groupe 1
Compromission du contrôleur de domaine
15 15 15 15
Cas fictif – Scénario attaquant
28/11/2011 Objectifs :
Récupération d’information grâce à un malware
•
Déploiement du Malware à partir du compte administrateur :o Edition d’un script contenant le malware chiffré ;
o Stockage du script sur le Sysvol du Domain Controler ;
o Déchiffrement et automatisation de l’exécution du malware sur les postes utilisateurs de filiale BELLUS AVIATION ;
o Exécution du script à chaque ouverture de session pour assurer l’infection.
•
Assurer la furtivité du malware :o Suppression du malware du Sysvol ;
o Modification du script d’ouverture de session ;
o Redécompression du malware si nécessaire pour relancer l’infection.
•
Qualité du malware :o Sa persistance ;
o La capacité à communiquer vers l’extérieur ;
o Sa capacité d’Upload, Download et d’Execution ;
o Son exécution en tant que service avec les droits SYSTEM ;
o Son évolutivité via des modules ;
o Sa capacité d’autodestruction.
Groupe 1
Compromission BELLUS avionique
16 16 16 16
Groupe 1 28/11/2011
Etape 1 Etape 2
Etape 4 Etape 3
Cartographie de l’attaque
Cas fictif – Scénario attaquant
17 17 17 17
Cas fictif – Se défendre
28/11/2011
Détection de l’attaque : le hasard !
•
Observation d’un administrateur sur un flux semblant anormal;•
Redondance d’incident relatif à ce type d’observation.Analyse du flux : incident ou crise ?
•
Analyse forensique du poste compromis•
Recherche d’occurrences de l’anomalie•
Analyse des logs réseaux Qualification de l’attaque en temps qu’APT et déclenchement de la cellule de crise
•
Conduite d’audit pour trouver le vecteur d’infection•
Audit du SI pour évaluer la sécurité du systèmeGroupe 1
Détection et analyse
Niveau élevé de l’attaque : Avancée
Attaque uniquement sur BELLUS Avionique : ciblée Attaque faite pour durer dans le temps : persistante
Active Directory est le vecteur d’attaque Présence du Malware sur le SysVol Déploiement automatique du Malware
18 18 18
18
28/11/2011Planification
•
Organisationo Mise en place d’une cellule de gestion de crise pour une résolution efficiente.
•
Communicationo Pendant la crise : communication minimale pour ne pas éveiller les soupçons de l’attaquant et éviter toutes nouvelles attaques ;
o Adapter le discours pour rassurer les métiers sans donner trop d’informations ;
o Mise en place d’un canal de communication adéquate et sûr ;
o Les actions futures à mener seront faites durant une plage de maintenance non planifiée et communiquée aux directions métiers uniquement et le plus tard possible.
•
Mesures conservatoireso Prendre des mesures radicales si nécessaire pour éradication du malware ;
o Obtenir des informations sur l’attaque en observant le système pendant la mise en place des mesures.
Dégradation progressive de la qualité de service réseau
•
Etude de l’ensemble du système ;•
Création d’une situation extraordinaire forçant l’attaquant à révéler ses canaux d’attaques.Groupe 1
Planification & dégradation
Cas fictif – Se défendre
19 19 19
19
28/11/2011Remise à l’état nominal
•
Arrêt de l’ensemble du système d’information : les mesures doivent donc être déployées rapidement•
Suppression de tous les contrôleurs de domaine sauf celui servant à la réplication vers le nouveau domaine•
Création d’un nouveau contrôleur de domaine isolé du reste du réseau•
Synchronisation des données du contrôleur potentiellement corrompu vers le nouveau contrôleur :o vérification de toutes les données entrant dans le contrôleur ;
o régénération des mots de passe.
•
Formater et réinstaller les anciens contrôleurs de domaines•
Réplication du nouveau contrôleur de domaine sur les anciens contrôleurs•
Remise en ligne du SI•
Reprise du service aux utilisateursAudit du système : vers la fin de la crise
•
Conduite d’analyses sur les informations recueillies durant la phase de dégradation :o Audits en profondeur sur les éléments du SI ;
o Analyse du code développé en interne ;
o Analyse des informations obtenues sur les attaquants;
Groupe 1
Mesures conservatoires et retour à l’état nominal
Cas fictif – Se défendre
20 20 20 20
Cas fictif – Se défendre
28/11/2011
Constat
•
Un formatage des disques durs et une réinstallation totale des systèmes d'exploitation et applicatifs n’est pas envisageable. Il est donc impossible de savoir si l’APT a pu être enrayée totalement;•
La menace est toujours présente et peut resurgir à n'importe quel moment. Il se peut que les assaillants tentent de nouvelles intrusions en utilisant d'autres vulnérabilités découvertes lors de la première attaque.Mesures de protection
•
Audits de sécurité plus réguliers et plus poussés;•
Rédaction d’une politique de mise à jour des systèmes d'exploitation ainsi que des applicatifs;•
Amélioration de l'architecture du SI afin de la rendre plus sécurisée pour complexifier la tâche des assaillants qui, de par leur précédente APT, avaient l'avantage de connaitre le réseau du SI;•
Identification des applications les plus critiques et auditer leur mode d’authentification;•
Une PSSI adaptée doit être mise en place afin de détecter et d’endiguer toute nouvelle fuite de données;•
Communication en externe et en interne sur l’événement et sur l’ampleur de la crise;•
Renforcer la sensibilisation faite auprès du personnel de l'entreprise quant aux problèmes de sécurité, notamment tout ce qui concerne les méthodes utilisées pour le Spear Phishing (e-mails personnalisés qui paraissent légitimes, liens malveillants, fichiers de type PDF ou DOCX qui peuvent paraîtres inoffensifs aux yeux de personnes non averties);•
Prendre conscience de la sécurité autour de l’AD et des contrôleurs de domaine.Groupe 1
L’après crise
21 21 21
21
28/11/2011Problématique Enseignements Points d’amélioration
Les contrôleurs de domaine
Ils sont un point central du SI ;
Ils sont des cibles privilégiées de par leur contrôle des postes clients.
Faire des audits réguliers ;
Utiliser le niveau de sécurité maximal ;
Protéger les administrateurs.
Les fichiers volés Quelles données ont réellement été volées ?
Quelle est leur valeur ?
Protéger les fichiers sensibles ;
Evaluer la sensibilité de chaque document ;
Le nettoyage après attaque
Le risque zéro n’existe pas ;
Impossibilité de savoir si le SI est encore infecté .
Rester en alerte pour détecter les rechutes ;
Effectuer des audits de sécurité sur tout le SI ;
Analyser tout comportement suspect.
Les dommages pour l’entreprise
L’atteinte à l’image et à la confiance est forte ;
Le business a été interrompu ;
La complexité engendre la difficulté ;
L’arrêt temporaire est une nécessité ;
La complexité doit être diminuée au possible pour augmenter la sécurité.
Groupe 1
Cas fictif – Se défendre
Conclusion & Enseignements
22 22
M E R C I
Groupe 1 28/11/2011