Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau •...
Transcript of Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau •...
Laboratoire de Haute SécuritéTélescope réseau, sécurité des réseaux etVirologie
Frédéric Beck (SED) & Olivier Festor (Madynes)Fabrice Sabatier & Jean-Yves Marion (Carte)
CLUSIR Est - 15 Décembre 2011
Inria : Institut de recherche en sciencesdu numérique• Sciences informatiques et mathématiques
2
RECHERCHE DEVELOPPEMENTTECHNOLOGIQUE
ETEXPERIMENTATION
ENSEIGNEMENTET
FORMATIONTRANSFERT
ETINNOVATION
Un institut public à caractère scientifique et technologiquesous la double tutelle du ministère de la Recherche
et du ministère de l’Industrie
Mathématiques appliquées, Calcul et Simulation 1
Algorithmique, Programmation, Logiciels et Architectures
Réseaux, Systèmes et Services, Calcul distribué
Perception, Cognition, Interaction
STIC pour les sciences de la vie et de l’environnement
Principaux domaines de recherche
3
2
3
4
5
Centres de recherche Inria
4
Inria RENNESBretagne Atlantique
Inria BORDEAUXSud-Ouest
Inria PARIS - Rocquencourt
Inria LILLENord Europe
Inria NANCYGrand Est
Inria SACLAYÎle-de-France
Inria GRENOBLE Rhône-Alpes
Inria SOPHIA ANTIPOLISMéditerranée
Laboratoire de Haute Sécurité
Plate-forme unique en France et en Europe
Objectifs• Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...)• Défense pro-active contre les programmes malicieux et nouvelles menaces• Études, expérimentations à grande échelle et publications• Collecte et analyse de données• Développement et mise à disposition d'outils et logiciels• Valider, valoriser et distribuer les travaux
https://lhs.loria.fr
2 axes principaux• Sécurité réseau
• Télescope réseau• Expérimentations et études
• Virologie
5
Laboratoire de Haute Sécurité
6
Sécurité réseau (équipe Madynes)
Améliorer la sécurité des réseaux et des services• Collecte et analyse de données d'attaque (télescope réseau)• Définition et mise en œuvre de mécanismes de protections (logiciels,
recommandations)• Gestions de vulnérabilités (découverte, protection)• Détection des mal-fonctions et des compromissions (monitoring/supervision)
Objectifs• Définitions et extensions de protocoles et algorithmes• Développements et maintenance de solutions logicielles• Expérimentations à grande échelle• Domaines d'application variés (IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux ad-
hoc, SCADA...)
7
Olivier Festor
Télescope réseau
• Architecture multi-provider• 3 ADSL (Orange, SFR, Free)• 1 SDSL 2Mbits avec /24 public
• Architecture virtualisée et cloisonnée
• 3 environnements distincts• Collecte des données• Stockage et confinement des
données• Support aux expérimentations
8
Capture à grande échelle de malwares et de traces réseau
Télescope réseau
Télescope réseau
Capture de code et binaires malicieux• Émulation de vulnérabilités
• Permet d'éviter la propagation des attaques ou la compromission des sondes• Capture des malwares qui les exploitent
• Binaires transmis à l'équipe virologie• Utilisation de sandbox pour analyser le comportement du malware et l'identifier• Capture d'informations supplémentaires sur l'attaquant
• IP source, localisation géographique, site hébergeant le binaire• Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses
pro-actives
Capture de traces et flux réseau• Capture au format PCAP et NetFlow des traces d'attaque• Analyse des mécanismes d'infection et de propagation des malwares• Objectif
• Définition de mécanismes de défense périmétrique pro-active• Bloquer les attaques à la source
9
Honeypots et services émulés
Utilisation de honeypots à faible interactions• Environ 25 instances déployées à l'heure actuelle• Dionaea
• RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL• Amun
• Émulation de vulnérabilités via plugins python• Kippo
• Brute force SSH toujours un succès et accès à un shell minimaliste• Sessions enregistrées pour tracer les activités
• Leurrecom.org Honeypot project• « pots de miels » distribués et répartis dans le monde
• Dans le passé• Nepenthes, ancêtre de Dionaea• Hali en collaboration avec l'université du Luxembourg, honeypot SSH type
Kippo
10
Le télescope en chiffres
En fonctionnement depuis le 09 Septembre 2008
Total (au 13/12/2011)• 415 940 593 attaques • Dont 125 915 793 attaques malicieuses• 101 445 523 malwares téléchargés• 292 599 binaires uniques capturés
Quotidiennement• 350 000 attaques dont 106 000 malicieuses• + de 8 500 binaires téléchargés
Traces réseau• 5,7 To de données PCAP• 88 Go de flux NetFlow• 6 Go de flux Tor anonymisés
11
Détection de vulnérabilitésStateful fuzzing avec feedback• + de 50 vulnérabilités trouvées• Mécanisme breveté de fingerprinting avec un seul paquet• KIF
• Fuzzing contre les états protocolaires• Apprentissage automatique de la machine à états d'après traces correctes• Mécanisme de feedback : suivi des données et graphes d'exécution• Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur
• Domaines d'application• SIP• DNS• IPv6• DHCP• PDF
12
Protection contre les vulnérabilitésSecSIP, un framework de protection contre les attaques SIP• Première ligne de défense stateful pour le protocole SIP• Identification des vulnérabilités avec KIF• Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto• Génération automatique des règles de prévention
• D'après la définition de la vulnérabilité avec algorithmes génétiques
13
veto SJPhone_Vul@SJPhone uses SJPhoneDefs begin
(ev_INVITE) -> { if (SIP:headers.Content_Length !@eq
"SIP:body.length") drop;}
(ev_INVITE(Malformed)) -> drop;
veto end
Sécurité VoIPMonitoring des services VoIP• Identifier les attaques et fraudes • Détection d'anomalies dans les logs/traces• Développement d'un BotNet VoIP • Honeypot VoIP : Artemisa
Risk management dans les réseaux VoIP• Design et développement d'un IDS VoIP• Modélisation du risque dans les infrastructures VoIP• Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures • Prototype fonctionnel implémenté dans Asterisk
14
Sécurité des réseaux P2P
Monitoring et protection du réseau KAD• Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD
au niveau d'Internet• Prise de contrôle de l'indexation des ressources par attaque Sybille• Logs anonymisés des activités de publication et de recherche• Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de
mots clés pédophiles• Définition d'un système de protection contre les attaques Sybille
15
Sécurité des réseaux de demainSécurité des réseaux IPv6
• NDPMon, Neighbor Discovery Protocol Monitor
• Version IPv6 d'ArpWatch avec fonctionnalités additionnelles
• Supervision du Neighbor Discovery Protocol (NDP)
• Nouvelle station, changement d'adresse...
• Détection d'attaques contre le NDP
• Usurpation d'identité, DoS, mauvaises annonces réseau...
• Historique du pairing adresses IPv6 et Ethernet
• Permet de tracer les stations Windows utilisant IPv6
• Alertes configurables
16
Travaux en cours et futurs
Modélisation de flux réseaux malicieux• Analyse et corrélation des flux et paquets réseaux collectés• Classification des malwares selon leurs mécanismes de propagation• Mise en œuvre de nouveaux mécanismes de défense périmétrique
• Extension Snort ?
Supervision des services : DNS• Analyse passive des requêtes DNS récursives
• Traces du télescope et du réseau de l'Inria Nancy – Grand Est• Anonymisation des adresses• Audit des logs pour détecter le trafic malicieux
• Classification et clustering automatique des domaines malicieux• Communications avec contrôleurs de Botnets ou serveurs hébergeant des
malwares identifiées « in the wild »• Objectif
• Ouvrir et proposer le service au public
17
Calculabilité, complexité et virologie (équipe Carte)
Deux axes thématiques• Calculabilité et complexité :
• calculs analogues, • terme de sécurité de réécriture, • algorithme robuste et distribuées, • théorie des jeux algorithmiques, • complexité implicite computationnelle.
• Virologie :• Détection des codes auto-modifiants• Neutralisation d'un botnet• Étude morphologique sur les malwares• Réalisation d'un antivirus
18
Jean-Yves Marion
Détection des codes auto-modifiants
Mise en évidence des vagues de traitement• Représentation des phases d'exécution
19
Détection des codes auto-modifiants
20
Neutralisation du botnet Waledac
Wikipédia• Waledac est présenté comme l'un des dix plus
importants botnets aux État-Unis, mais constitué de centaines de milliers d'ordinateurs infectés à travers le monde. Des ordinateurs zombies principalement utilisés à leur insu pour inonder la planète de spam, à raison de plus de 1,5 milliard de messages par jour !
Exploitation d'une erreur de conception• La liste des machines à contacter (les protecteurs) était
triée par ordre d'importance !
21
Neutralisation du botnet Waledac
22
Neutralisation du botnet Waledac
23
Étude morphologique de malwares
Élaboration du graphe de flot de contrôle (CFG) • Scan direct du binaire (analyse statique)• Exécution du binaire en environnement (analyse
dynamique)• Application des réductions
24
Étude de malwares par sa morphologie
Recherche du sous-graphe dans un autre CFG • Le graphe une fois réduit va servir de signature
25
Application aux trojans Stuxnet - Duqu
26
Application aux trojans Stuxnet - Duqu
27
Application aux trojans Stuxnet - Duqu
28
Quelques résultats
29
Allaple.AAllaple.B
Allaple.DAllaple.E
AutoIt.rCosmu.abix
Kido.buKido.ih
Texel.k
0
10000
20000
30000
40000
50000
60000
Détection statique
EchantillonsSignaturesGraphe trop petitDétectésFaux négatifs
Allaple.AAllaple.B
Allaple.DAllaple.E
AutoIt.rCosmu.abix
Kido.buKido.ih
Texel.k
0
10000
20000
30000
40000
50000
60000
Détection dynamique
EchantillonsSignaturesGraphe trop petitDétectésFaux négatifs
Allaple.BAllaple.DAllaple.EAutoIt.rCosmu.abixKido.buKido.ihObfuscated.genVirut.avMalwaresTexel.kKido.bj
Travaux en cours et futurs
Améliorations de l'antivirus• Au niveau performances (taille de la base de données, vitesse de recherche de
sous-graphes, etc.)• Le proposer sous forme d'un Service Web (« in the cloud »)• Support des techniques de « dépackage » (unpack)• Développer un module Kernel ou interne à l'hyperviseur (virtualisation) pour scanner
en permanence la mémoire• Prise en compte des techniques anti-débuggage
Collection de malwares• Capturer ou collecter encore plus d'échantillons de malwares• Affiner la base de signatures (suppression des faux positifs)
30
Merci de votre attention
31Frédéric Beck (SED) & Olivier Festor (Madynes)Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre 2011
Contacts
Équipe projet Madynes• Olivier Festor – [email protected]• Isabelle Chrisment – [email protected]• http://madynes.loria.fr
Équipe projet Carte• Jean-Yves Marion – [email protected]• Guillaume Bonfante – [email protected]• Fabrice Sabatier – [email protected]• http://carte.loria.fr
Service Expérimentations et Développements• Frédéric Beck – [email protected]• http://lhs.loria.fr• https://sed-ncy.inria.fr/
32