2

Intrusions en entreprise : Retours d'expériences 10 Février 2011

Jean GautierIngénieur SécuritéMicrosoft

3

AgendaBilan des évènements de 2010

Attaques ciblées et maitriséesAuroraMS10-015 AlureonStuxNetIncidents directement traités par CSS Security

Vols d’informationExtorsion

Leçons clés à tirer de ces expériences…

4

De plus en plus connectés…

5

De plus en plus de risques…• StuxNet - Un 'Cyber Missile' conçu pour attaquer les

installations nucléaires Iraniennes. 100000 machines infectées, principalement en Iran. (Symantec Octobre 2010)

• Des sondes sophistiquées comportent des vulnérabilités exposant le réseau électrique américain. (NYT Avril 2010)

• Des militants Iraquiens ont développé un équipement permettant d'intercepter les flux vidéo des drones américains Predator. Pour un cout estimé de 26$. (WSJ Decembre 2009)

• Des dossiers médicaux de milliers de patients exposés en 2010 (HealthCareITNews Avril 2010).

• Un australien provoque un rejet toxique en s'introduisant dans le système informatique de la décharge. (TheRegister, Octobre 2001)

6

Des risques partout dans le monde

7

Une accélération forte• Le délai patch->exploit diminue:

• Slammer (année)• Blaster (mois)• Zotob (jours)

• 9 Aout – publication• 14 Aout – nouveau malware

• Les process se rôdent:• Attente des publications• Reverse Engineering (outils, partage)• Démonstration de faisabilité (PoC; toolkits,

collaboration) • Les vulnérabilités 0Day explosent

Quelques exemples récents…

8

2010…Les grands évènements de l’année

9

Aurora• Rendue publique en Janvier 2010 par Google

• Une vulnérabilité 0Day dans Internet Explorer• Un exploit ciblant spécifiquement Internet Explorer

6

• Des cibles à haute visibilité:• Google, Adobe, Juniper, Rackspace,

ont admis avoir été attaqués• D’autres noms circulent…

10

Les leçons d’Aurora

1.Des attaques aux enjeux élevés

2.Des browsers obsolètes moins bien protégés

3.Le mail utilisé comme vecteur initial d’attaque

Et pourtant, aucune conséquence immédiate et sérieuse contre l’attaquant

11

Alureon• Publication de MS10-015 le 9 février 2010

• Immédiatement des millions de machines entrent dans un cycle de redémarrages/plantages (BSoD)

• Microsoft arrête alors la distribution de MS10-015.

• Un rootkit responsable.

• Dans les jours qui suivent, une nouvelle version du rootkit est déployée.

12

Les leçons d’Alureon

• Une sophistication encore inégalée

• Un rootkit beaucoup plus répandu qu’anticipé

• Une ingéniosité et un talent évident des auteurs

• Un même rootkit, de multiples malwares

Ce n’est pas parce que tu ne me détectes pas que je n’existe pas (moteurs anti-virus à la traine, technologies inadaptées)

13

StuxNet• Attention Danger!

• On change d’échelle…

• Un malware « immense »• Exploitant plusieurs 0day… (RCE, EoP)

• Cible: les centrifugeuses contrôlées par WinCC (SCADA) opérant à très grande vitesse

14

Les leçons de StuxNet

• Des équipes de plusieurs pays collaborent…

• Des réseaux « ultra protégés » compromis

• Des systèmes « intouchables » touchés

StuxNet est la première « arme » publiquement connue

15

2010…Les incidents majeurs traités ces 6 derniers mois par CSS Security

16

Incident A – Points clés• Emails ciblés témoignant d’un véritable travail de

social engineering• Intrusion sur plus de 6 mois• Élévation progressive de privilège• Fuite d’informations sensibles

• Des attaquants patients et discrets

• Plusieurs Chevaux de Troie utilisés (17), beaucoup d’outils d’administration à distance.

17

Incident A - Leçons• De nouvelles difficultés!

• Comment analyser les milliers de systèmes potentiellement impactés:• Différents malwares, déployés sur quelques systèmes parmi

des milliers

• Reprise de contrôle d’Active Directory• Des dizaines de comptes de service impliqués• Des dizaines d’applications à reconfigurer, tester…• Des milliers de mots de passe à changer

• L’éducation et le partage d’information avec les utilisateurs sont un point clé de la réussite

18

Incident B – Points Clés

• Intrusion via une injection SQL sur une application Web

• Suivie de l’exploration discrète et patiente des réseaux en DMZ puis Corporate (pendant 9 mois)

• Elévation de privilège jusqu’à la compromission d’Active Directory

• Usage de la technique « Pass The Hash »

• Le client reconstruit entièrement sa forêt….

19

Incident B – Leçons

• Les DMZs ne sont pas (plus) étanches, la segmentation réseau a ses limites

• Attention aux machines ET aux réseaux sur lesquels des comptes privilégiés sont utilisés

• La vigilance est importante pour détecter les anomalies

20

Incident C&D – Points clés

• Infection de type drive-by exploitant une vulnérabilité corrigée depuis des mois dans une runtime

• Attaque ciblée par mail, véritable bijou de social engineering

21

Incident C&D - Leçons

• Attention aux mises à jour des applications et run-time.

• C’est plus long, plus difficile que les mises à jour d’OS mais plus que jamais nécessaire…

• Les filtres de mail ne sont pas efficaces.• Le social engineering quand il est:

• Personnel• Placé dans le temps• Contextuelest imparable…

22

MéthodologiesAdvanced Persistent Threats

23

APTs: Advanced Persistent Threats

Méthode APTs :a. Etude des cibles

– Footprinting, Scanning– Réseaux sociaux, social engineering le + Facile

b. Entrer: infection via Zero Day, SPAM, …c. Contrôle – Backdoorsd. Etendre – Outils de vol de mots de passe,e. Vol d’information - via des serveurs dédiésf. Persistance - Rootkits, Mises à jour régulières

24

•Advanced:Utilisation d’un large spectre de techniques:SPAM, 0day, drive by, … tout dépend de la “posture” de la cible

•Persistent :Les objectifs sont clairement définisPas des opportunités découvertes “au hasard”L’attaque passe par différentes phases, elle n’est pas constante en intensité et profondeur.

•Threat:Des hommes sont derrière ces attaques: expérimentés, motivés, financés. Il ne s’agit pas d’attaques automatisées via des malwares “opportunistes”

Source: http://en.wikipedia.org/wiki/Advanced_Persistent_Threat

25

La méthode dite “Chinoise”

26

La malédiction du laptop d’entreprise

27

Le laptop “Corporate”• Employé le jour, consommateur la nuit:

• Infecté le soir à la maison• Ramené le matin dans le réseau d’entreprise• Le Cheval de Troie est désormais dans le

périmètre• Et si ce laptop est celui d’un administrateur…

28

Mes

ures

de

sécu

rité

Network

Data Self-Protection

People and Process

Temps

Host

• La protection doit se déplacer vers les terminaisons et sur les données

• Le réseau n’est plus le point central de l’application de la politiquede sécurité

Evolution des contrôles

29

Que faire?

Politique, Procédures, & Education

Durcissement de l’OS, patch management, authentification, HIDS

Firewalls, VPN quarantaineGardes, serrures, …

Segmentation, IPSec, NIDS

Durcissement d’application, antivirus

ACL, chiffrement

Education, formation

Sécurité physiquePérimètre

Réseau interneMachine

ApplicationDonnées

• Défense en profondeur...

La protection est inutile sans la détection!! Le contrôle du trafic en sortie est essentiel

30

MSDN et TechNet : l’essentiel des ressources techniques à portée de clic

http://technet.com http://msdn.com

Portail administration et infrastructure pour informaticiens

Portail de ressources technique pour développeurs

32

A BotNet

33

BotNet Networks

34

CouleursPalette de couleurs à utiliser

Liens : http://www.microsoft.com (#fce62f RVB 252 230 47)

#fce62f RVB 252 230 47 #35ddfd RVB 53 212 253 #ff4e00 RVB 255 78 0

#fc2feb RVB 252 47 235 #5afd35 RVB 90 253 53 #ffffff RVB 255 255 255

#000000 RVB 0 0 0 #999999 RVB 153 153 153 #dddddd RVB 221 221 221

#0f53a0 RVB 15 83 160 #5b12b5 RVB 91 18 181 #ffa71c RVB 255 167 28

Pour fond blanc :

Puces :

35

Titre de la diapositive

Titre du bloc 1Texte sans puce

Texte avec puce

Titre du bloc 2Texte sans puce

Texte avec puce

36

VidéoTitre de la vidéo

37

DémoTitre de la démo

38

AnnonceTitre de l’annonce

Titre de la diapositive (code)

Fond blanc pour slide de code

40

Tableau

Titre du tableauColonne 1 Colonne 2 Colonne 3 Colonne 4 Colonne 5

41

Graphique

Category 1 Category 2 Category 3 Category 4

4.3

2.53.5

4.5

2.4

4.4

1.82.8

2 23

5

Chart TitleSeries 1 Series 2 Series 3

42

Camembert

59%

23%

10%9%

Titre du graphique

1st Qtr2nd Qtr3rd Qtr4th Qtr