IntrusionetvoldedonnéesEstcequejesuisconcerné?

ChristopheBiancoCo-fondateurExcellium Services &SuricatesSolutions

Talentys SecurityDays11&12Février2016

1

Agenda

• Etesvousconcernés?• Anatomied’uneattaque• Commentévaluersijesuisconcerné?• Commentdéployeruneapprochedansmonorganisation?

• Questions&Réponses

2

Quisommes nous?

• Excellium Services– CréeenDécembre2012– PrioritéSurlasécuritédesapplicationsetlagestiondel’intrusion– 42Consultantsetanalystessécurité– UncentreopérationneldesécuritéetunCert officiel

Votreintervenant- ChristopheBianco– Co-fondateurd’Excellium ServicesetdeSuricatesSolutions– Expertdansledomainedelasécuritédel’informationdepuisplusde15

ans– Chercheurdansledomainedel’économiedelacyber-sécurité/Cyber-criminalité

– Conférenciersurlesthématiquesdesécurité(sensibilisation,Economiedelacybercriminalité,Sécuritédesapplications,directiond’organisation,...)

3

christopheBianco

ManagingPartner

Commençons parune question!

• Quiaeu une intrusionsurles6derniers mois?

• Commentl’avez vous découverte?

4

• Onnemesure quece quel’on connait

5

Connaître vos ennemis !

6« ThreatLandscapeRespondingtotheEvolvingThreatEnvironment »[Livrable– 2012-09-28])

MODÈLES D’ATTAQUES

Anatomie d’une attaque

8Exploitation

vulnérabilité duclient

?Détection :- DBIR:62%prennent plusieurs mois- M-Trends:enmoyenne 243jours

Mouvement latéral /Pivot(Avbypass)

Post-exploitationavancée(Encrypté C2&trafic 443)

MiseenoeuvrePhaseducycle Description Exemple

Reconnaissance L'adversaireidentifieetanalyselacible

"Webmining"surdessiteswebs corporatesouleslistesenlignedeparticipantsàdesconférences.

Armement

Lekitd'outilsestpréparépourêtredélivréetexécutésurl'ordinateurouleréseaudelavictime.

L'adversairecréeundocumentpdf avecun"trojan"contenantsonoutild'attaque.

Livraison L'outiloulekitestdélivréàlacible.

L'adversaireenvoieunemaildespearphishing contenantletrojan àsalistedecibles.

Exploitation L'attaqueinitialesurlacibleestexécutée.

l'utilisateurcibléouvrelefichierpdfmalicieuxetlemalwareestexécuté

ContrôleL'adversairecommenceàdirigerlesystèmedelavictimepourréaliserdesactions.

l'adversaireinstalleunoutiladditionnelsurlesystèmeduclient.

Exécution L'adversairecommenceàremplirsamission.

L'adversairecommenceparobtenirlesdonnéessouhaitéessouventenutilisantlepatient"zéro"commepointdedépartpouratteindredessystèmesinternesadditionnelsoudesaccèsréseau.

Maintien Unaccèsdurableestobtenu.L'adversaireaétabliune"backdoor"surleréseaucibleafindepermettreunaccèsrégulier.

9

Attackers create Trojan

3rd Party Software Update Server

Compromised

Attackers create Trojan

Trojan “auto-updated” to Corporate network

60+ Corporate computers infected w/ backdoor agent

Port 8080 used for C&C activities

35M records stolen

Day 0–6 Months Day 8

Anatomied’unAPT

Denouvellescybermenaces?

11

Source« ThreatLandscapeRespondingtotheEvolvingThreatEnvironment »[Livrable– 2012-09-28])

Mais commentlesdétecter?

12

Contenirmenaces

Lechallengedelaréponse à Incident

Analyste Sécurité

Quiestattaqué ?

Quel typed’attaqueest ce?

D’ou l’attaquevient elle?

Alerte Securité

Collecterdonnées

Recherchermaneces

Vérifiermenaces

Time

Losses

Perte dedonnées,declients,propagationdel’infection

Highvaluetargets? Highvalue/severethreats?

ConfirmInfection? Quarantine/Contain?

Leprocessus typique delaréponse àIncident

ContentionDetectionCompromision

DHCPserverDomainControllerADServerPhonebook/directory

Highvaluetargets?

GeoIPserviceWhois

VirusTotal

Intelligence/Rep

Highvalue/severethreats?

MeetingSchedulerForensiccollection/analysisSecurityalertsourceIncidentmanagementConfirmInfection?

TicketingsystemChangecontrol

FW/Proxyconsole(s)

Emailconsole(s)ADconsole(s)

Contain?

Ok,regardons en détail!

15

Phase0- Prévention

• Bonmotdepasse– Evaluationrégulière

• Patches?

16

Pourquoil’attaquantal’avantage?

17SourceiDefenseVeriSign(QSC2012)

OufautilInterveniridéalement

En 7étapes!

18

Lepremierniveau duconceptde”Mesure continuedelaSécurité”!

Phase1– Profilage (composants,traficentrants- sortants)!!!! Lesnouvellesformesd’attaquessontdemoinsenmoins

stupides!!!!

Vousdevezcomprendrelefonctionnementnormaldevotresystèmed’informationpourdétecterlesanomalies

– Qu’estcequiestsurmonsystème?(networkmapping –découverted’équipements, portsetserviceoulogsDHCPoutablesCAM– équipements réseaux)

– Volumétrie surmonréseau(mail,web,cloud,…)?– Quienvoiedeladonnée(auniveauduproxyetdufirewall)– Oùsontenvoyéesmesdonnées (géolocalisationdesips et

numérosdeports)?– Quantlesdonnéessontenvoyées?

Recommendation: Réalisezcetteanalysesurunvolumede3moisdedonnéesetscannezàdifférentespériodedetemps(nuit,week-end,…)

19

20

Leprincipe delaLongTail

21

Phase2– Avonsnousdesclésderegistredémarragenonsouhaitées?– AnalyseLongTail1– Collecteztouteslesclésderegistresurl’ensemble dessystèmes2– Sauvegardezlefichier3– Triezlespourtrouverlesduplications,desmoinsprésentesauplusprésentes4– Analysezlesplusfaiblesfréquences(marchepourleswindowsevent logs,lesinstalled software,lesstartupregistry keys&leslogsDNS)

LapremièrepassepeutêtreconsommatriceUnfoisleprocess terminé

TournezlescriptlanuitPuisdemanièrepériodiqueComparezEtanalysezlesnouvelles entrées(oulesdisparitions)

22

Phase2– Avons nousdesautorunillégaux?– Analyse LongTailUseGroupPolicypourauditer lesclés deregistre auditou WMIen scriptantpourextraire etsurveiller lesmodifications:

Run,RunOnce,Start…

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shared Task%userprofile%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\StartupC:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup

EtHKCU\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\RunOnce

23

Ou si Powershell est votre ami (oumieux dans lelogonscript!!!)$user="starbuck”$password="cyl0n”

$array=@("192.168.1.1","192.168.1.2")

foreach ($ip in$array){netuse\\$ip $password/u:$user|out-null$ipreg query\\$ip\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runreg query\\$ip\HKLM\Software\Microsoft\Windows\CurrentVersion\RunOncereg query\\$ip\HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runreg query\\$ip\HKLM\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Run2>$nullreg query\\$ip\HKLM\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\RunOnce 2>$null}

24

Phase3– Connexions sortantesPersistantes /Anormales?

• Détectezlesconnexionsrécurrentes/régulières(10minutesestunbonniveaudemesure)

• Commencezparuneempreintedevotretraficnocturne

• LesHackersfontaussideserreursaussiregardez/analysezletraficfiltrésurleproxyinterneoulesfirewals internes

• Quelquestools - http://tinyurl.com/505and511

25

Phase4– LogsProxy?• Activezunlogging correct

– Source/Destination– URL– Category– UserAgent– Bytes&headerSize– Referrer

• Surveillez:– VolumesdelogsAnormaux– Checkdeserreurs403denied et407ProxyAuthrequest– IdentificationdesUserAgentsanormaux– VérificationdestaillesdeHeaders(pouridentifierlesmalicieux)

26

Phase5– PasswordetDroits• Identifiezvotreenvironnementdecomptesàprivilège

– Découvreztouslescomptesàprivilègeetnon-privilège(etgénériques)– Localisezlescrédentials descomptesàprivilègeenincluant:

• Passwords• SSHkeys• Password hashes

• Régulièrementvérifiez larésistancedevosmotsdepasseclés

• Contrôlezl’usagedesdroitsparticuliers- The“Maleficent Seven”– Debug Programs - Load drivers– Impersonate aclient - Take Ownership– Act asPartoftheOS - Restorefiles– Create atoken

27

Phase6– MonitoringSpécifique• SurlesSystèmes(Windows)

– CréationdeRegistry Key– CréationdeService– CréationdeUser– ChangementdedroitsAdmin– NettoyagedesEventLog

– Analysezlepsexec,considérezdesalertesspecifiques commel’antivirusquidétectemimikatz,wce,..

• Surleréseau– DNS– loguezlesrequêtesDNSlocalesDNSetleurrésolution– recherchezles

requêtessurlesdomaines longsleserreurs.– Une tactique possible,consiste à compareraussi lecachedevos serveurs DNS

avecune liste dedomaine malicieux avecunoutil comme Ethanetlaliste dedomaine connue pourcontenir desmalwares(MDL).

https://bitbucket.org/ethanr/dns-blacklists&http://www.malwaredomainlist.com/mdl.php

28

Phase7– LogsWindows

Analysez lesévènepents suivants

29

Type EventIDs Log

Createservice 7030,7045 System

Createuser 4720,4722,4724,4738 Security

Addusertogroup 4732 Security

ClearEventlog 1102 Security

CreateRDPcertificate 1056 System

InsertUSB 10000,100001,10100,20001,20002,20003,24576,24577,24579

System

Disablefirewall 2003 Firewall

www.nsa.gov/ia/_files/app/spotting_the_adversary_with_windows_event_log_monitoring.pdf

Phase7– LogsWindows• Parscript

Get-WinEvent -FilterHashtable @{LogName="Security";ID=4720,4722,4724,4738,4732,1102}Get-WinEvent -FilterHashtable @{LogName="System";ID=7030,7045,1056,7045,10000,100001,10100,20001,20002,20003,24576,24577,24579}Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-WindowsFirewallWith AdvancedSecurity/Firewall";ID=2003}

• Controlez lesdroitsdesusers– Allow/deny LogOnLocally– Allow LogOnThrough Remote DesktopServices– Deny AccessviatheNetwork– Logonasaservice

30

Commentimplémenter cela?• Scriptezetfaiteslevousmêmes

OuAppeleznous!!!!

• Missiond’analyse• Définitiondepolitiquesdemonitoring• Testd’intrusion• Contrôlecontinuedelasécurité• ImplémentationdesolutiondegestiondeslogsouSIEM

31

Conclusion• Bienquec’estcooletfundeparlerdesexploitset0-days...Estcevraimentlesoucis?

• Lefocusd’unestratégiemodernedecyberdéfenseestlacapacitéàdétecter l’activitépost-exploitation (quelest lebutfinal)!– 1erobjectif:détecterl’activitédel’adversairequipoursuitsonobjectif– 2nd objectif:répondreàladétection(avantqu’ilnepossèdevotredomaine)

• Lesoutilsnécessaires àcenouveauparadigmedesécurité– Unearchitecturededéfenseactive– Unteamdesécuritéopérationnelle– Dumonitoringdesécuritéréseau– UneapprochedeContrôlecontinu

• Etn’attendezpasd’avoirdétectéunebrèchedesécuritépourpenseràvoscapacitésdedétection– vousnepouvezpasinvestiguersansinformation

"Theonly way adomain compromisecan be remediated with ahighlevel ofcertainty isacomplete rebuild ofit.”http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx

32

Ensortantdeceséminaire…

• Menezuneréflexionsurvotresurfaced’exposition• Identifiezvosrisquesetvotreexposition• Evaluezvosdéfensesactuellesenmesurantl’efficacitédescontrôlesenplace

• Formalisezvotrepolitiquedesurveillanceenmonitorantlesévènementsetlestransactions(intégrezlesphénomènesdehacking- approchebottom-up)

• Préparezvousàlaréaction

33

Passez quelque tempssurleSANSTop20CriticalSecurityControls1:InventoryofAuthorizedandUnauthorizedDevices2:InventoryofAuthorizedandUnauthorizedSoftware3:SecureConfigurationsforHardwareandSoftwareonMobileDevices,Laptops,Workstations,andServers4:ContinuousVulnerabilityAssessmentandRemediation5:MalwareDefenses6:ApplicationSoftwareSecurity7:WirelessAccessControl8:DataRecoveryCapability9:SecuritySkillsAssessmentandAppropriateTrainingtoFillGaps10:SecureConfigurationsforNetworkDevicessuchasFirewalls,Routers,andSwitches11:LimitationandControlofNetworkPorts,Protocols,andServices12:ControlledUseofAdministrativePrivileges13:BoundaryDefense14:Maintenance,Monitoring,andAnalysisofAuditLogs15:ControlledAccessBasedontheNeedtoKnow16:AccountMonitoringandControl17:DataProtection18:IncidentResponseandManagement19:SecureNetworkEngineering20:PenetrationTestsandRedTeamExercises 34

Merci!

Thanks!

35

ChristopheBiancocbianco@excellium-services.com

OPTIONCARVOUSAVEZÉTÉGENTILS!

36

Fonctionnementd’unBOTNET(“robot”&“network”)• Lesordinateurssontinfectésparunlogicielmalicieux.

• LesordinateursinfectésseconnectentauserveurCommand-and-Control(C&C).

• Lessignescommunsd’uneinfectionparmalware.

• LeBotmasters louesouventsont« réseau »oubotnet àd’autrescriminelsquil’utilisentpourmenerdifférentstypesdecyberattaques.

37Source EuropolEC3

38

39

40

41