Post on 03-Apr-2015
Botnet,défense en profondeur
Botnet,défense en profondeur
Un exemple concretJean Gautier
jean.gautier@microsoft.com
Agenda
Rappels sur les botnetsRappels sur les botnets
Une workstation en tête de pontUne workstation en tête de pont
Le backend est compromisLe backend est compromis
L’infrastructure est compromiseL’infrastructure est compromise
Fonctionnement d’un botnet
ServeurServeurde contrôlede contrôle
(1) Infecter la 1ère victime
Infecter laInfecter la11èreère victime victimeavec un botavec un bot
ServeurServeurde contrôlede contrôle
(2) Connexion au serveur IRC
Connexion du botConnexion du botau serveur IRCau serveur IRC
ServeurServeurde contrôlede contrôle
Connexion du botConnexion du botau serveur IRCau serveur IRC
(3) Connexion du gardien
ServeurServeurde contrôlede contrôle
ConnexionConnexiondu gardiendu gardien
au serveur IRCau serveur IRC
(4) Propagation
ServeurServeurde contrôlede contrôle
CommandeCommandede propagationde propagation
BotnetBotnet
(5) Botnet prêt
ServeurServeurde contrôlede contrôle
CommandeCommandede propagationde propagation
BotnetBotnet
Demo d’un botnetDemo d’un botnet
Les 3 facettes de la sécurité
ArchitectureArchitecturesécuriséesécurisée
Technologies
Technologies
OSOS
Annuaire
Annuaire
Correctif
s
Correctif
s
IPSECIPSEC
KerberosKerberos
PKIPKI
ChiffrementChiffrement
de fichiersde fichiers
SSL/TLS
SSL/TLS
Clusters
Clusters
Détectio
n
Détectio
n
d’in
trusio
nd
’intru
sion
Gestion de systèmes
Gestion de systèmes
SupervisionSupervision
Pare-feuPare-feu
Antivirus
Antivirus
PersonnesPersonnesAdmin.Admin.de l’Entreprise
de l’EntrepriseAdm
in.
Admin
.
Du Dom
aine
Du Dom
aine
Service/Service/
SupportSupport
Développeur
DéveloppeurUtilisateurUtilisateur
ArchivageArchivage
Politique
Politiqued’accès
d’accès
Inst
alla
tion
Inst
alla
tion
Réparation
RéparationGes
tion d
es
Ges
tion d
es
évén
emen
ts
évén
emen
ts
Gestion desGestion des
perfsperfs
Gestion du
Gestion du
Changement /
Changement /
de la C
onfiguratio
n
de la C
onfiguratio
n
Proc
essu
s
Proc
essu
s
RestaurationRestauration Sauvegard
e
Sauvegard
e
Réponse à Réponse à IncidentIncident
Évalu
atio
n
Évalu
atio
n
de ri
sque
s
de ri
sque
s
Personnes et Procédures
La défense en profondeur
Réseau
Périmètre
Machine
Application
Données
Securité physique
L’utilisateur
Un email est envoyé à un ensemble deUn email est envoyé à un ensemble de salariés de l’entreprise salariés de l’entreprise
Un au moins des salariés exécute Un au moins des salariés exécute l’attachementl’attachement
Une connexion sortante est crééeUne connexion sortante est créée
L’attaquant dispose d’un accès à L’attaquant dispose d’un accès à l’intérieur du périmètrel’intérieur du périmètre
Personnes et Procédures
Envoi d’un mail aux utilisateurs
Sécurité physique
Réseau
Périmètre
Machine
Application
Données
Filtrage des connections
sortantes
Anti-VirusClient
Formation des utilisateurs
Filtre SMTPAntiVirus Serveur
Client Messagerie bloque
l’attachement
Le client de messagerie informe
l’utilisateur
Poste sensible
L’attaquant compromet un poste sensible: L’attaquant compromet un poste sensible: Comptabilité, PayeComptabilité, Paye
Il installe un keylogger sur ce système et un Il installe un keylogger sur ce système et un outil de prise de contrôle à distance outil de prise de contrôle à distance (dameware, vnc, …)(dameware, vnc, …)
Il observe les habitudes de travail ainsi que Il observe les habitudes de travail ainsi que les codes des applications mises en oeuvreles codes des applications mises en oeuvre
Il crée des membres du personnel fictifs avec Il crée des membres du personnel fictifs avec des salaires bien réelsdes salaires bien réels
Poste sensible
Personnes et Procédures
Réseau
Périmètre
Machine
Application
Données
Securité physique
Segmentation Réseau
Filtrage du traffic
Authentification forte lors
d’opérations sensibles
Signature au moyen de carte à puce
Les périmètres
l’attaquant obtient des informations:l’attaquant obtient des informations:Sites Intranet/Internet (historique, favoris)Sites Intranet/Internet (historique, favoris)Configuration du poste clientConfiguration du poste client
Il peut attaquer d’autres postes clientsIl peut attaquer d’autres postes clients
Il identifie les serveurs d’infrastructureIl identifie les serveurs d’infrastructure
Un serveur Intranet utilisant un système Un serveur Intranet utilisant un système obsolète non mis à jour est compromisobsolète non mis à jour est compromis
Les périmètres
Personnes et Procédures
Réseau
Périmètre
Machine
Application
Données
Securité physique
Anti-Virussur le serveur
Mises à jour de sécurité
Pare-feu ‘interne’
Routeurs filtrants
Pare-feu actif sur le serveur
La configuration applicative
Le serveur Intranet est dédié à la gestion Le serveur Intranet est dédié à la gestion du profil utilisateur, notamment la du profil utilisateur, notamment la gestion du compte de messagerie.gestion du compte de messagerie.
Cette gestion est réalisée par une Cette gestion est réalisée par une application COM+ qui utilise un compte application COM+ qui utilise un compte administrateur du domaine pour réaliser administrateur du domaine pour réaliser ces opérations.ces opérations.
Utilisant un outil permettant d’accéder Utilisant un outil permettant d’accéder aux secrets LSA, l’attaquant obtient le aux secrets LSA, l’attaquant obtient le mot de passe de ce compte privilégié.mot de passe de ce compte privilégié.
La configuration applicative
Personnes et Procédures
Réseau
Périmètre
Machine
Application
Données
Securité physique
Principe de moindre privilège
Audit des comptes administrateur
L’infrastructure
En utilisant le compte d’administrateur du En utilisant le compte d’administrateur du domaine, l’attaquant compromet un DCdomaine, l’attaquant compromet un DC
Il extrait les condensés cryptographiques de Il extrait les condensés cryptographiques de tous les comptestous les comptes
Il télécharge ces condensés pour les Il télécharge ces condensés pour les attaquer hors ligneattaquer hors ligne
Il dispose désormais d’un très grand nombre Il dispose désormais d’un très grand nombre de clésde clés
L’infrastructure
Personnes et Procédures
Réseau
Périmètre
Machine
Application
Données
Securité physique
Audit de l’utilisation des
comptes administrateur
Bloquer tout traffic des serveurs vers
Internet
Serveur SQL
Une application Intranet, à usage Une application Intranet, à usage interne, est vulnérable aux injections interne, est vulnérable aux injections SQLSQL
L’application web utilise le compte ‘sa’ L’application web utilise le compte ‘sa’ pour se connecter au serveur de base pour se connecter au serveur de base de donnéesde données
L’attaquant prend le contrôle du L’attaquant prend le contrôle du serveur SQL et détruit toutes les bases.serveur SQL et détruit toutes les bases.
Serveur SQL
Personnes et Procédures
Sécurité physique
Réseau
Périmètre
Machine
Application
Données
Procédures de sauvegarde/restaurationdocumentées et testées
Isolation des rôlesApplication du
moindre privilège
Gestion fine des autorisations
Application de développement
sécurisé
Questions?