Gestion de crise et APT M E M B R E S D U G R O U P E

1 1

M E M B R E S D U G R O U P E

F L O R I A N E A L I X E C L A I R E G A G E L I N J O N A T H A N B U S C A

M A T H I E U H A R T H E I S E R F L O R E N T B A C C I

B A P T I S T I N B U C H E T J U L I E N M O N B I L L A R D R O M A I N V E R I A T O L O U I S V A T I E R

Groupe 1 28/11/2011

Gestion de crise et APT

2 2

1 . C O N T E X T E & D É F I N I T I O N

1.

Le piratage informatique

2.

Cartographie des menaces

3.

Définition d’une APT

4.

Cybercriminalité et entreprise

2 . E T U D E D ’ U N C A S F I C T I F 1.

Scénario attaquant

2.

Détection et gestion de crise

3.

Conclusion et enseignements

Plan

28/11/2011

Groupe 1

3 3 3 3

Contexte et définition

28/11/2011

D é f i n i t i o n

 Exploitation préjudiciable d’une faille dans un système ;

 Différents types d’exploitation :

H i s t o r i q u e

Groupe 1

Le piratage: définition, historique et tendances

1960 1980 - 1990 1990 - 2000 Actuellement

Phreaking Cray One

Affaire MITNICK

1er ver Internet

1ère attaque à but lucratif

Attaque des supports

Botnets

CaaS

Black Market

• Exploitation logicielle

• Accès physique

• Denis de service

• Social Engineering

• Interception de communication

• Mauvaise configuration

4 4 4

4

28/11/2011

Industrialisation du piratage :

o Emergence d’organisations cybercriminelles ;

o « Crimeware as a Service » ou CaaS : mise à disposition d’outils ou de services permettant de commettre des actes de piratage ;

o « Black market » : sites e-commerce dédiés au marché illégal et peu ouverts au grand public. Plus le site est « ouvert », moins les informations disponibles sont utilisables ;

o Opération « Firewall » en 2004 :

 réponse à l’attaque du groupe « ShadowCrew » (US) ;

 vols par hameçonnage et reventes d’informations bancaires créant le premier marché noir cybercriminel ;

 28 arrestations (sur 4 000 membres).

Disponibles sur le « Black Market » :

o Numéros de cartes de crédit ; o Accès administratifs aux serveurs ; o Listes d'adresses électroniques ;

o Comptes de services de paiement en ligne ; o Comptes Western Union, Paypal ;

o Failles 0-day.

Groupe 1

Menace : le marché de la cybercriminalité

Contexte et définition

5 5

Cartographie des cibles d’attaques

De 1999 à aujourd’hui

Source:

https://www.google.com/fusiontables/Da taSource?dsrcid=930451&search=web&c d=1

(MalwareDomainList)

28/11/2011

Groupe 1

Contexte et définition

Cartographie des menaces

Attaques orientées vers les pays industriels et économiquement développés :

 principalement : les États-Unis et l’Europe ;

 autres pays visés : la Chine et le Moyen-Orient.

 Les attaquants les visent naturellement car ces cibles permettent de maximiser les gains illégitimes.

6 6 6

6

28/11/2011

Groupe 1

APT – Advanced Persistent Threat

A ^dvanced P ^ersistent T ^hreat

Critères de caractérisation :

large éventail de techniques ;

complexité de l’attaque.

Moyens :

social engineering ;

utilisation de failles 0-day.

Critères de caractérisation :

maintient d’un accès à la source d’information ;

attaque difficilement détectable.

Moyens :

utilisation de différents canaux de communication ;

maintenance de l’exploit à distance.

Critères de caractérisation :

attaque ciblée ;

vol d’informations stratégiques.

Moyens :

présence de moyens importants ;

volonté forte des attaquants.

•

Attaque se distinguant par les 3 critères suivants :

•

Attaque se référant généralement à une entité qualifiée ayant :

o La capacité de réaliser l’attaque ;

o L'intention de persister dans l’attaque ;

o La volonté de cibler efficacement une entité spécifique.

•

Le terme est couramment utilisé pour désigner les cyber-menaces à des fins d’espionnage.

Contexte et définition

7 7 7

7

28/11/2011

Groupe 1

Les techniques de contrôle

Serveur Command and Control (C&C)

 Serveur central des attaquants;

 Généralement un serveur « volé »;

 Récupère les informations et donne les ordres aux agents;

 Communique via une très large gamme de protocoles.

Fast Flux

 Méthode de dissimulation du serveur C&C ;

 Consiste en un botnet servant de reverse proxy ;

 Utilise le DNS pour faire varier sans cesse le proxy utilisé.

Le bulletproof

 Un ensemble de services vendu par un prestataire ;

 Permet d’obtenir un ou plusieurs serveurs très protégés ;

 Peu de regard sur la légalité des opérations effectuées ;

 Fourni en général des services annexes (Fast Flux, upstream provider, etc.).

Les techniques d’attaque

Le social engineering

 Apprendre à connaître ses cibles ;

 Etude des relations et des connaissances ;

 Usurpation d’identité.

Les failles 0-day

 Faille sur un logiciel grand public largement installé ;

 Aucun correctif ni protection disponible ;

 Garantie d’action efficace et invisible ;

 Constitue le point d’entrée de l’attaque.

Les keyloggers

 Enregistre toutes les actions de l’utilisateur ;

 Moyen idéal pour récupérer les mots de passe et les informations confidentielles ;

 Sur un poste d’administrateur, donne les clés du SI.

Les rootkits

 Camoufle l’intégralité de l’opération.

APT – Eléments techniques (1/2)

Contexte et définition

8 8 8

8

28/11/2011

Groupe 1

APT – Eléments techniques (2/2)

Intrusion Camouflage Communication Expansion

Faille 0-day Rootkits Serveur C&C Keylogger

Social engineering Fast flux Protocoles variés (HTTP, HTTPS, IRC, etc.)

Poste des administrateurs

Hébergement Bulletproof Active directory

Comme on peut le constater, les techniques d’attaque utilisées ne sont pas spécifiques aux APT. Il s’agit pour la plupart de techniques simples et mises en œuvre facilement.

Néanmoins, c’est la combinaison de toutes ces techniques et leur manipulation efficace qui rendent l’APT si dangereuse.

En effet, on peut facilement se protéger individuellement contre chacune de ces attaques, mais il est très difficile d’être protégé contre toutes.

Contexte et définition

Classement en quatre catégories:

9 9 9

9

28/11/2011

Nom – Date de détection

Pays cible – Origine supposée Etablissement(s) Documents visés Vecteurs d’attaque

GhostNet - Mar. 2009

103 pays - Hainan, Chine (démenti)

Ambassades

Ministères des affaires étrangères Organisations non

gouvernementales

Documents administratifs de très forte valeur

Documents privés du Dallai Lama

Cheval de Troie (Gh0st RAT*) -MS Windows

Night Dragon - NA

NA - Beijing, Chine (démenti)

Entreprises des secteurs de l’énergie: (Exxon Mobil, Royal Dutch Shell, BP, etc)

Cartes topographiques informatisées confidentielles qui montrent les emplacements de réserves pétrolières potentielles

RATs* « zwShell », « Gh0st RAT » et

« Poison Ivy » , Injections SQL, Vuln.

MS, Pas d’utilisation de faille 0-day

Aurora - Jan. 2010

Etats-Unis - Chine (démenti)

Plus de 30 entreprises

Américaines : Google, Adobe et bien d’autres

Documents couverts par le droit sur la propriété intellectuelle

Comptes Google des militants des droits humains

Faille 0-day dans MS Internet Explorer 6 à 8

Vuln. Adobe Reader

Bercy - Jan. 2011

France - Chine ou Asie

Ministère de l’Economie et des Finances

Dossier sensibles de la présidence française du G20

Cheval de Troie dans un PDF

RSA Security - Mar. 2011

Etats Unis - NA

RSA Security : entreprise américaine spécialisée dans la sécurité informatique

« Two-factor tokens », graines servant à la génération de codes pseudo-aléatoires utilisés dans l’authentification SecurID de plus de 20 000 clients

Lockheed Martin - Mai. 2011

Etats-Unis - Chine ou Russie

Lockheed Martin, 1^er sous-traitant du Pentagone : 125 000 employés,

$45 milliard de CA

Informations critiques sur les avions de combats F-22 et F-35

Utilisation des tokens SecurID volés a RSA Security

Social Engineering

Groupe 1

Cybercriminalité vs entreprises

Contexte et définition

10 10 10

10

28/11/2011

Groupe 1

Cybercriminalité vs entreprises

Impacts Enjeux pendant l’attaque

Image de marque • Perte de la crédibilité de la marque de l’entreprise

Compétitivité et concurrence

• Vol d’informations confidentielles

• Recel d’information vers concurrents

• Perte de la position de concurrence de l’entreprise

Juridique ^• Implication civile ou pénale de l’entreprise avec des clients

• Implication civile ou pénale de l’entreprise avec des employés Climat social • Départ des employés de l’entreprise

Organisation de l’activité

• Retard

• Dysfonctionnement

• Arrêt

Sureté et sécurité • Mise en péril de la vie de personnes ciblées Matériel • Destruction d’équipement

Attaquants, post attaque

• Gain d’une reconnaissance en tant que groupe d’attaquant

• Garder le contrôle sur une entreprise

• Risque de poursuites pénales

 Avant l’attaque

o Côté attaquants : réunir des moyens pour la réalisation d’une APT.

o Côté entreprise : se protéger contre une éventuelle attaque

 Pendant l’attaque

o Objets de l’attaque : l’information sensible

o Objectifs des attaquants : récupérer l’information

o Objectif de l’entreprise : protection de l’information.

 Nécessité évidente d’une forte organisation et de moyens conséquents pour lancer ou contrer de telles attaques.

 Asymétrie dans l’attaque.

Contexte et définition

11 11 11 11

Cas fictif – Définition du cas d’étude

28/11/2011



Présentation de l’entreprise victime : BELLUS SA

o Cœur de métier : l’armement et les nouvelles technologies

o 30 filiales à travers le monde

o Collaboration de BELLUS SA sur le projet du nouveau chasseur français, le Batman, via sa filiale BELLUS Avionique



La sécurité du SI : principe de défense en profondeur

Groupe 1

Contexte

Points forts Points faibles

• PSSI déployée sur l’ensemble des filiales

• Politique de patching, de mise à jour et de journalisation

• NIDS et AV

• Active Directory : réplication de la foret sur l’ensemble des contrôleurs de domaine

• Pas de poste dédié à l’administration de l’Active Directory

• Authentification faible par binôme login et mot de passe

12 12 12 12

Cas fictif – Scénario attaquant

28/11/2011 Objectifs :

 Localiser les informations à exfiltrer ;

 Identifier les éventuels points vulnérables du SI afin de s’y introduire.

 Cartographie des filiales :

o Parcours des sites institutionnels, rapports de comptes annuels, journaux spécialisés ;

o Requête Google : identification de tous les sous-domaines et entreprises partenaires.

 Identification de la filiale BELLUS Avionique : source des informations à exfiltrer.

 Identification d’une filiale mal sécurisée : BELLUS PAME (Public Affairs Middle East).

 Cartographie des employés BELLUS PAME :

o Recherche internet et utilisation de logiciels spécifiques tel que Maltego : identification des collaborateurs de la filiale ;

o Affiner les recherches sur les collaborateurs : obtenir un profil précis de la personne ;

 Ces informations pourront être trouvées sur les blogs et les réseaux sociaux (Viadeo, LinkedIn, Facebook).

 Cartographie des équipements du SI de BELLUS PAME :

o Interrogation des serveurs DNS cache par DNS cache snooping : révéler des informations :

 Antivirus utilisés, les dates des dernières mises à jour, filtres réseaux.

o Identification des failles web potentielles : exploiter au mieux une attaque de Spear Phishing (XSS et iframe).

Groupe 1

Phase de renseignement

13 13 13 13

Cas fictif – Scénario attaquant

28/11/2011 Conception de l’attaque, création d’un message électronique malveillant

o Personnalisé, crédible et semblant légitime ;

o Contenant la charge utile : l’exploit d’une vulnérabilité.

L’attaque D3F1ANC3, une attaque en deux temps

o Utilisation d’une faille connue

 Exploitation via un plug-in Metasploit d’une vulnérabilité dans Adobe Flash Player permettant l’exécution de code arbitraire ;

 Le correctif de cette vulnérabilité a été déployé sur l’ensemble du SI de BELLUS SA.

o Utilisation d’une faille 0-day

 Aucun correctif disponible => le malware s’exécute et contacte un serveur C&C

Groupe 1

Attaque par Spear Phishing

Exploit Utiliser une vulnérabilité connue Utiliser une faille « 0-day » Avantages  facile à trouver

 Simplicité d’implémentation.  Aucun correctifs disponible Inconvénients  Correctifs disponibles  Difficilement disponible

14 14 14 14

Cas fictif – Scénario attaquant

28/11/2011 Objectifs :

 Extension de l’attaque sur l’ensemble du SI

 Elévation local de privilèges - Exploitation d’une vulnérabilité « Net API »

 Obtention des droits administrateur sur la machine de l’utilisateur;

 Récupération du hash de l’administrateur local de la machine grâce au logiciel pwdump;

 Identification facile grâce a son SID qui correspond à « S-1-5-21-domaine-500 ».

 Intrusion sur le poste Administrateur de domaine

 Liste de l’ensemble des utilisateurs grâce à la commande : « net user /domain » : le SID du groupe recherché est

« S-1-5-domaine-512 »;

 Connexion en temps qu’administrateur du domaine sur son poste de travail avec une authentification par passe de hash;

 Installation sur le poste d’un keylogger;

 A la prochaine authentification de la victime, l’attaquant sera aussi administrateur du domaine.

 Les attaquants possèdent un compte administrateur sur l’Active directory.

Groupe 1

Compromission du contrôleur de domaine

15 15 15 15

Cas fictif – Scénario attaquant

28/11/2011 Objectifs :

 Récupération d’information grâce à un malware

•

Déploiement du Malware à partir du compte administrateur :

o Edition d’un script contenant le malware chiffré ;

o Stockage du script sur le Sysvol du Domain Controler ;

o Déchiffrement et automatisation de l’exécution du malware sur les postes utilisateurs de filiale BELLUS AVIATION ;

o Exécution du script à chaque ouverture de session pour assurer l’infection.

•

Assurer la furtivité du malware :

o Suppression du malware du Sysvol ;

o Modification du script d’ouverture de session ;

o Redécompression du malware si nécessaire pour relancer l’infection.

•

Qualité du malware :

o Sa persistance ;

o La capacité à communiquer vers l’extérieur ;

o Sa capacité d’Upload, Download et d’Execution ;

o Son exécution en tant que service avec les droits SYSTEM ;

o Son évolutivité via des modules ;

o Sa capacité d’autodestruction.

Groupe 1

Compromission BELLUS avionique

16 16 16 16

Groupe 1 28/11/2011

Etape 1 Etape 2

Etape 4 Etape 3

Cartographie de l’attaque

Cas fictif – Scénario attaquant

17 17 17 17

Cas fictif – Se défendre

28/11/2011

Détection de l’attaque : le hasard !

•

Observation d’un administrateur sur un flux semblant anormal;

•

Redondance d’incident relatif à ce type d’observation.

Analyse du flux : incident ou crise ?

•

Analyse forensique du poste compromis

•

Recherche d’occurrences de l’anomalie

•

Analyse des logs réseaux

 Qualification de l’attaque en temps qu’APT et déclenchement de la cellule de crise

•

Conduite d’audit pour trouver le vecteur d’infection

•

Audit du SI pour évaluer la sécurité du système

Groupe 1

Détection et analyse

Niveau élevé de l’attaque : Avancée

Attaque uniquement sur BELLUS Avionique : ciblée Attaque faite pour durer dans le temps : persistante

Active Directory est le vecteur d’attaque Présence du Malware sur le SysVol Déploiement automatique du Malware

18 18 18

18

28/11/2011

Planification

•

Organisation

o Mise en place d’une cellule de gestion de crise pour une résolution efficiente.

•

Communication

o Pendant la crise : communication minimale pour ne pas éveiller les soupçons de l’attaquant et éviter toutes nouvelles attaques ;

o Adapter le discours pour rassurer les métiers sans donner trop d’informations ;

o Mise en place d’un canal de communication adéquate et sûr ;

o Les actions futures à mener seront faites durant une plage de maintenance non planifiée et communiquée aux directions métiers uniquement et le plus tard possible.

•

Mesures conservatoires

o Prendre des mesures radicales si nécessaire pour éradication du malware ;

o Obtenir des informations sur l’attaque en observant le système pendant la mise en place des mesures.

Dégradation progressive de la qualité de service réseau

•

Etude de l’ensemble du système ;

•

Création d’une situation extraordinaire forçant l’attaquant à révéler ses canaux d’attaques.

Groupe 1

Planification & dégradation

Cas fictif – Se défendre

19 19 19

19

28/11/2011

Remise à l’état nominal

•

Arrêt de l’ensemble du système d’information : les mesures doivent donc être déployées rapidement

•

Suppression de tous les contrôleurs de domaine sauf celui servant à la réplication vers le nouveau domaine

•

Création d’un nouveau contrôleur de domaine isolé du reste du réseau

•

Synchronisation des données du contrôleur potentiellement corrompu vers le nouveau contrôleur :

o vérification de toutes les données entrant dans le contrôleur ;

o régénération des mots de passe.

•

Formater et réinstaller les anciens contrôleurs de domaines

•

Réplication du nouveau contrôleur de domaine sur les anciens contrôleurs

•

Remise en ligne du SI

•

Reprise du service aux utilisateurs

Audit du système : vers la fin de la crise

•

Conduite d’analyses sur les informations recueillies durant la phase de dégradation :

o Audits en profondeur sur les éléments du SI ;

o Analyse du code développé en interne ;

o Analyse des informations obtenues sur les attaquants;

Groupe 1

Mesures conservatoires et retour à l’état nominal

Cas fictif – Se défendre

20 20 20 20

Cas fictif – Se défendre

28/11/2011

Constat

•

Un formatage des disques durs et une réinstallation totale des systèmes d'exploitation et applicatifs n’est pas envisageable. Il est donc impossible de savoir si l’APT a pu être enrayée totalement;

•

La menace est toujours présente et peut resurgir à n'importe quel moment. Il se peut que les assaillants tentent de nouvelles intrusions en utilisant d'autres vulnérabilités découvertes lors de la première attaque.

Mesures de protection

•

Audits de sécurité plus réguliers et plus poussés;

•

Rédaction d’une politique de mise à jour des systèmes d'exploitation ainsi que des applicatifs;

•

Amélioration de l'architecture du SI afin de la rendre plus sécurisée pour complexifier la tâche des assaillants qui, de par leur précédente APT, avaient l'avantage de connaitre le réseau du SI;

•

Identification des applications les plus critiques et auditer leur mode d’authentification;

•

Une PSSI adaptée doit être mise en place afin de détecter et d’endiguer toute nouvelle fuite de données;

•

Communication en externe et en interne sur l’événement et sur l’ampleur de la crise;

•

Renforcer la sensibilisation faite auprès du personnel de l'entreprise quant aux problèmes de sécurité, notamment tout ce qui concerne les méthodes utilisées pour le Spear Phishing (e-mails personnalisés qui paraissent légitimes, liens malveillants, fichiers de type PDF ou DOCX qui peuvent paraîtres inoffensifs aux yeux de personnes non averties);

•

Prendre conscience de la sécurité autour de l’AD et des contrôleurs de domaine.

Groupe 1

L’après crise

21 21 21

21

28/11/2011

Problématique Enseignements Points d’amélioration

Les contrôleurs de domaine

 Ils sont un point central du SI ;

 Ils sont des cibles privilégiées de par leur contrôle des postes clients.

 Faire des audits réguliers ;

 Utiliser le niveau de sécurité maximal ;

 Protéger les administrateurs.

Les fichiers volés  Quelles données ont réellement été volées ?

 Quelle est leur valeur ?

 Protéger les fichiers sensibles ;

 Evaluer la sensibilité de chaque document ;

Le nettoyage après attaque

 Le risque zéro n’existe pas ;

 Impossibilité de savoir si le SI est encore infecté .

 Rester en alerte pour détecter les rechutes ;

 Effectuer des audits de sécurité sur tout le SI ;

 Analyser tout comportement suspect.

Les dommages pour l’entreprise

 L’atteinte à l’image et à la confiance est forte ;

 Le business a été interrompu ;

 La complexité engendre la difficulté ;

 L’arrêt temporaire est une nécessité ;

 La complexité doit être diminuée au possible pour augmenter la sécurité.

Groupe 1

Cas fictif – Se défendre

Conclusion & Enseignements

22 22

M E R C I

Groupe 1 28/11/2011