Laboratoire de Haute SécuritéTélescope réseau, sécurité des réseaux etVirologie

Frédéric Beck (SED) & Olivier Festor (Madynes)Fabrice Sabatier & Jean-Yves Marion (Carte)

CLUSIR Est - 15 Décembre 2011

Inria : Institut de recherche en sciencesdu numérique• Sciences informatiques et mathématiques

2

RECHERCHE DEVELOPPEMENTTECHNOLOGIQUE

ETEXPERIMENTATION

ENSEIGNEMENTET

FORMATIONTRANSFERT

ETINNOVATION

Un institut public à caractère scientifique et technologiquesous la double tutelle du ministère de la Recherche

et du ministère de l’Industrie

Mathématiques appliquées, Calcul et Simulation 1

Algorithmique, Programmation, Logiciels et Architectures

Réseaux, Systèmes et Services, Calcul distribué

Perception, Cognition, Interaction

STIC pour les sciences de la vie et de l’environnement

Principaux domaines de recherche

3

2

3

4

5

Centres de recherche Inria

4

Inria RENNESBretagne Atlantique

Inria BORDEAUXSud-Ouest

Inria PARIS - Rocquencourt

Inria LILLENord Europe

Inria NANCYGrand Est

Inria SACLAYÎle-de-France

Inria GRENOBLE Rhône-Alpes

Inria SOPHIA ANTIPOLISMéditerranée

Laboratoire de Haute Sécurité

Plate-forme unique en France et en Europe

Objectifs• Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...)• Défense pro-active contre les programmes malicieux et nouvelles menaces• Études, expérimentations à grande échelle et publications• Collecte et analyse de données• Développement et mise à disposition d'outils et logiciels• Valider, valoriser et distribuer les travaux

https://lhs.loria.fr

2 axes principaux• Sécurité réseau

• Télescope réseau• Expérimentations et études

• Virologie

5

Laboratoire de Haute Sécurité

6

Sécurité réseau (équipe Madynes)

Améliorer la sécurité des réseaux et des services• Collecte et analyse de données d'attaque (télescope réseau)• Définition et mise en œuvre de mécanismes de protections (logiciels,

recommandations)• Gestions de vulnérabilités (découverte, protection)• Détection des mal-fonctions et des compromissions (monitoring/supervision)

Objectifs• Définitions et extensions de protocoles et algorithmes• Développements et maintenance de solutions logicielles• Expérimentations à grande échelle• Domaines d'application variés (IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux ad-

hoc, SCADA...)

7

Olivier Festor

Télescope réseau

• Architecture multi-provider• 3 ADSL (Orange, SFR, Free)• 1 SDSL 2Mbits avec /24 public

• Architecture virtualisée et cloisonnée

• 3 environnements distincts• Collecte des données• Stockage et confinement des

données• Support aux expérimentations

8

Capture à grande échelle de malwares et de traces réseau

Télescope réseau

Télescope réseau

Capture de code et binaires malicieux• Émulation de vulnérabilités

• Permet d'éviter la propagation des attaques ou la compromission des sondes• Capture des malwares qui les exploitent

• Binaires transmis à l'équipe virologie• Utilisation de sandbox pour analyser le comportement du malware et l'identifier• Capture d'informations supplémentaires sur l'attaquant

• IP source, localisation géographique, site hébergeant le binaire• Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses

pro-actives

Capture de traces et flux réseau• Capture au format PCAP et NetFlow des traces d'attaque• Analyse des mécanismes d'infection et de propagation des malwares• Objectif

• Définition de mécanismes de défense périmétrique pro-active• Bloquer les attaques à la source

9

Honeypots et services émulés

Utilisation de honeypots à faible interactions• Environ 25 instances déployées à l'heure actuelle• Dionaea

• RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL• Amun

• Émulation de vulnérabilités via plugins python• Kippo

• Brute force SSH toujours un succès et accès à un shell minimaliste• Sessions enregistrées pour tracer les activités

• Leurrecom.org Honeypot project• « pots de miels » distribués et répartis dans le monde

• Dans le passé• Nepenthes, ancêtre de Dionaea• Hali en collaboration avec l'université du Luxembourg, honeypot SSH type

Kippo

10

Le télescope en chiffres

En fonctionnement depuis le 09 Septembre 2008

Total (au 13/12/2011)• 415 940 593 attaques • Dont 125 915 793 attaques malicieuses• 101 445 523 malwares téléchargés• 292 599 binaires uniques capturés

Quotidiennement• 350 000 attaques dont 106 000 malicieuses• + de 8 500 binaires téléchargés

Traces réseau• 5,7 To de données PCAP• 88 Go de flux NetFlow• 6 Go de flux Tor anonymisés

11

Détection de vulnérabilitésStateful fuzzing avec feedback• + de 50 vulnérabilités trouvées• Mécanisme breveté de fingerprinting avec un seul paquet• KIF

• Fuzzing contre les états protocolaires• Apprentissage automatique de la machine à états d'après traces correctes• Mécanisme de feedback : suivi des données et graphes d'exécution• Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur

• Domaines d'application• SIP• DNS• IPv6• DHCP• PDF

12

Protection contre les vulnérabilitésSecSIP, un framework de protection contre les attaques SIP• Première ligne de défense stateful pour le protocole SIP• Identification des vulnérabilités avec KIF• Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto• Génération automatique des règles de prévention

• D'après la définition de la vulnérabilité avec algorithmes génétiques

13

veto SJPhone_Vul@SJPhone uses SJPhoneDefs begin

(ev_INVITE) -> { if (SIP:headers.Content_Length !@eq

"SIP:body.length") drop;}

(ev_INVITE(Malformed)) -> drop;

veto end

Sécurité VoIPMonitoring des services VoIP• Identifier les attaques et fraudes • Détection d'anomalies dans les logs/traces• Développement d'un BotNet VoIP • Honeypot VoIP : Artemisa

Risk management dans les réseaux VoIP• Design et développement d'un IDS VoIP• Modélisation du risque dans les infrastructures VoIP• Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures • Prototype fonctionnel implémenté dans Asterisk

14

Sécurité des réseaux P2P

Monitoring et protection du réseau KAD• Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD

au niveau d'Internet• Prise de contrôle de l'indexation des ressources par attaque Sybille• Logs anonymisés des activités de publication et de recherche• Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de

mots clés pédophiles• Définition d'un système de protection contre les attaques Sybille

15

Sécurité des réseaux de demainSécurité des réseaux IPv6

• NDPMon, Neighbor Discovery Protocol Monitor

• Version IPv6 d'ArpWatch avec fonctionnalités additionnelles

• Supervision du Neighbor Discovery Protocol (NDP)

• Nouvelle station, changement d'adresse...

• Détection d'attaques contre le NDP

• Usurpation d'identité, DoS, mauvaises annonces réseau...

• Historique du pairing adresses IPv6 et Ethernet

• Permet de tracer les stations Windows utilisant IPv6

• Alertes configurables

16

Travaux en cours et futurs

Modélisation de flux réseaux malicieux• Analyse et corrélation des flux et paquets réseaux collectés• Classification des malwares selon leurs mécanismes de propagation• Mise en œuvre de nouveaux mécanismes de défense périmétrique

• Extension Snort ?

Supervision des services : DNS• Analyse passive des requêtes DNS récursives

• Traces du télescope et du réseau de l'Inria Nancy – Grand Est• Anonymisation des adresses• Audit des logs pour détecter le trafic malicieux

• Classification et clustering automatique des domaines malicieux• Communications avec contrôleurs de Botnets ou serveurs hébergeant des

malwares identifiées « in the wild »• Objectif

• Ouvrir et proposer le service au public

17

Calculabilité, complexité et virologie (équipe Carte)

Deux axes thématiques• Calculabilité et complexité :

• calculs analogues, • terme de sécurité de réécriture, • algorithme robuste et distribuées, • théorie des jeux algorithmiques, • complexité implicite computationnelle.

• Virologie :• Détection des codes auto-modifiants• Neutralisation d'un botnet• Étude morphologique sur les malwares• Réalisation d'un antivirus

18

Jean-Yves Marion

Détection des codes auto-modifiants

Mise en évidence des vagues de traitement• Représentation des phases d'exécution

19

Détection des codes auto-modifiants

20

Neutralisation du botnet Waledac

Wikipédia• Waledac est présenté comme l'un des dix plus

importants botnets aux État-Unis, mais constitué de centaines de milliers d'ordinateurs infectés à travers le monde. Des ordinateurs zombies principalement utilisés à leur insu pour inonder la planète de spam, à raison de plus de 1,5 milliard de messages par jour !

Exploitation d'une erreur de conception• La liste des machines à contacter (les protecteurs) était

triée par ordre d'importance !

21

Neutralisation du botnet Waledac

22

Neutralisation du botnet Waledac

23

Étude morphologique de malwares

Élaboration du graphe de flot de contrôle (CFG) • Scan direct du binaire (analyse statique)• Exécution du binaire en environnement (analyse

dynamique)• Application des réductions

24

Étude de malwares par sa morphologie

Recherche du sous-graphe dans un autre CFG • Le graphe une fois réduit va servir de signature

25

Application aux trojans Stuxnet - Duqu

26

Application aux trojans Stuxnet - Duqu

27

Application aux trojans Stuxnet - Duqu

28

Quelques résultats

29

Allaple.AAllaple.B

Allaple.DAllaple.E

AutoIt.rCosmu.abix

Kido.buKido.ih

Texel.k

0

10000

20000

30000

40000

50000

60000

Détection statique

EchantillonsSignaturesGraphe trop petitDétectésFaux négatifs

Allaple.AAllaple.B

Allaple.DAllaple.E

AutoIt.rCosmu.abix

Kido.buKido.ih

Texel.k

0

10000

20000

30000

40000

50000

60000

Détection dynamique

EchantillonsSignaturesGraphe trop petitDétectésFaux négatifs

Allaple.BAllaple.DAllaple.EAutoIt.rCosmu.abixKido.buKido.ihObfuscated.genVirut.avMalwaresTexel.kKido.bj

Travaux en cours et futurs

Améliorations de l'antivirus• Au niveau performances (taille de la base de données, vitesse de recherche de

sous-graphes, etc.)• Le proposer sous forme d'un Service Web (« in the cloud »)• Support des techniques de « dépackage » (unpack)• Développer un module Kernel ou interne à l'hyperviseur (virtualisation) pour scanner

en permanence la mémoire• Prise en compte des techniques anti-débuggage

Collection de malwares• Capturer ou collecter encore plus d'échantillons de malwares• Affiner la base de signatures (suppression des faux positifs)

30

Merci de votre attention

31Frédéric Beck (SED) & Olivier Festor (Madynes)Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre 2011

Contacts

Équipe projet Madynes• Olivier Festor – olivier.festor@inria.fr• Isabelle Chrisment – isabelle.chrisment@loria.fr• http://madynes.loria.fr

Équipe projet Carte• Jean-Yves Marion – jean-yves.marion@loria.fr• Guillaume Bonfante – guillaume.bonfante@loria.fr• Fabrice Sabatier – fabrice.sabatier@inria.fr• http://carte.loria.fr

Service Expérimentations et Développements• Frédéric Beck – frederic.beck@inria.fr• http://lhs.loria.fr• https://sed-ncy.inria.fr/

32