intrusions en entreprise : retours d'expériences
DESCRIPTION
Intrusions en entreprise : Retours d'expériences . 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft. Agenda. Bilan des évènements de 2010 Attaques ciblées et maitrisées Aurora MS10-015 Alureon StuxNet Incidents directement traités par CSS Security Vols d’information - PowerPoint PPT PresentationTRANSCRIPT
2
Intrusions en entreprise : Retours d'expériences 10 Février 2011
Jean GautierIngénieur SécuritéMicrosoft
3
AgendaBilan des évènements de 2010
Attaques ciblées et maitriséesAuroraMS10-015 AlureonStuxNetIncidents directement traités par CSS Security
Vols d’informationExtorsion
Leçons clés à tirer de ces expériences…
4
De plus en plus connectés…
5
De plus en plus de risques…• StuxNet - Un 'Cyber Missile' conçu pour attaquer les
installations nucléaires Iraniennes. 100000 machines infectées, principalement en Iran. (Symantec Octobre 2010)
• Des sondes sophistiquées comportent des vulnérabilités exposant le réseau électrique américain. (NYT Avril 2010)
• Des militants Iraquiens ont développé un équipement permettant d'intercepter les flux vidéo des drones américains Predator. Pour un cout estimé de 26$. (WSJ Decembre 2009)
• Des dossiers médicaux de milliers de patients exposés en 2010 (HealthCareITNews Avril 2010).
• Un australien provoque un rejet toxique en s'introduisant dans le système informatique de la décharge. (TheRegister, Octobre 2001)
6
Des risques partout dans le monde
7
Une accélération forte• Le délai patch->exploit diminue:
• Slammer (année)• Blaster (mois)• Zotob (jours)
• 9 Aout – publication• 14 Aout – nouveau malware
• Les process se rôdent:• Attente des publications• Reverse Engineering (outils, partage)• Démonstration de faisabilité (PoC; toolkits,
collaboration) • Les vulnérabilités 0Day explosent
Quelques exemples récents…
8
2010…Les grands évènements de l’année
9
Aurora• Rendue publique en Janvier 2010 par Google
• Une vulnérabilité 0Day dans Internet Explorer• Un exploit ciblant spécifiquement Internet Explorer
6
• Des cibles à haute visibilité:• Google, Adobe, Juniper, Rackspace,
ont admis avoir été attaqués• D’autres noms circulent…
10
Les leçons d’Aurora
1.Des attaques aux enjeux élevés
2.Des browsers obsolètes moins bien protégés
3.Le mail utilisé comme vecteur initial d’attaque
Et pourtant, aucune conséquence immédiate et sérieuse contre l’attaquant
11
Alureon• Publication de MS10-015 le 9 février 2010
• Immédiatement des millions de machines entrent dans un cycle de redémarrages/plantages (BSoD)
• Microsoft arrête alors la distribution de MS10-015.
• Un rootkit responsable.
• Dans les jours qui suivent, une nouvelle version du rootkit est déployée.
12
Les leçons d’Alureon
• Une sophistication encore inégalée
• Un rootkit beaucoup plus répandu qu’anticipé
• Une ingéniosité et un talent évident des auteurs
• Un même rootkit, de multiples malwares
Ce n’est pas parce que tu ne me détectes pas que je n’existe pas (moteurs anti-virus à la traine, technologies inadaptées)
13
StuxNet• Attention Danger!
• On change d’échelle…
• Un malware « immense »• Exploitant plusieurs 0day… (RCE, EoP)
• Cible: les centrifugeuses contrôlées par WinCC (SCADA) opérant à très grande vitesse
14
Les leçons de StuxNet
• Des équipes de plusieurs pays collaborent…
• Des réseaux « ultra protégés » compromis
• Des systèmes « intouchables » touchés
StuxNet est la première « arme » publiquement connue
15
2010…Les incidents majeurs traités ces 6 derniers mois par CSS Security
16
Incident A – Points clés• Emails ciblés témoignant d’un véritable travail de
social engineering• Intrusion sur plus de 6 mois• Élévation progressive de privilège• Fuite d’informations sensibles
• Des attaquants patients et discrets
• Plusieurs Chevaux de Troie utilisés (17), beaucoup d’outils d’administration à distance.
17
Incident A - Leçons• De nouvelles difficultés!
• Comment analyser les milliers de systèmes potentiellement impactés:• Différents malwares, déployés sur quelques systèmes parmi
des milliers
• Reprise de contrôle d’Active Directory• Des dizaines de comptes de service impliqués• Des dizaines d’applications à reconfigurer, tester…• Des milliers de mots de passe à changer
• L’éducation et le partage d’information avec les utilisateurs sont un point clé de la réussite
18
Incident B – Points Clés
• Intrusion via une injection SQL sur une application Web
• Suivie de l’exploration discrète et patiente des réseaux en DMZ puis Corporate (pendant 9 mois)
• Elévation de privilège jusqu’à la compromission d’Active Directory
• Usage de la technique « Pass The Hash »
• Le client reconstruit entièrement sa forêt….
19
Incident B – Leçons
• Les DMZs ne sont pas (plus) étanches, la segmentation réseau a ses limites
• Attention aux machines ET aux réseaux sur lesquels des comptes privilégiés sont utilisés
• La vigilance est importante pour détecter les anomalies
20
Incident C&D – Points clés
• Infection de type drive-by exploitant une vulnérabilité corrigée depuis des mois dans une runtime
• Attaque ciblée par mail, véritable bijou de social engineering
21
Incident C&D - Leçons
• Attention aux mises à jour des applications et run-time.
• C’est plus long, plus difficile que les mises à jour d’OS mais plus que jamais nécessaire…
• Les filtres de mail ne sont pas efficaces.• Le social engineering quand il est:
• Personnel• Placé dans le temps• Contextuelest imparable…
22
MéthodologiesAdvanced Persistent Threats
23
APTs: Advanced Persistent Threats
Méthode APTs :a. Etude des cibles
– Footprinting, Scanning– Réseaux sociaux, social engineering le + Facile
b. Entrer: infection via Zero Day, SPAM, …c. Contrôle – Backdoorsd. Etendre – Outils de vol de mots de passe,e. Vol d’information - via des serveurs dédiésf. Persistance - Rootkits, Mises à jour régulières
24
•Advanced:Utilisation d’un large spectre de techniques:SPAM, 0day, drive by, … tout dépend de la “posture” de la cible
•Persistent :Les objectifs sont clairement définisPas des opportunités découvertes “au hasard”L’attaque passe par différentes phases, elle n’est pas constante en intensité et profondeur.
•Threat:Des hommes sont derrière ces attaques: expérimentés, motivés, financés. Il ne s’agit pas d’attaques automatisées via des malwares “opportunistes”
Source: http://en.wikipedia.org/wiki/Advanced_Persistent_Threat
25
La méthode dite “Chinoise”
26
La malédiction du laptop d’entreprise
27
Le laptop “Corporate”• Employé le jour, consommateur la nuit:
• Infecté le soir à la maison• Ramené le matin dans le réseau d’entreprise• Le Cheval de Troie est désormais dans le
périmètre• Et si ce laptop est celui d’un administrateur…
28
Mes
ures
de
sécu
rité
Network
Data Self-Protection
People and Process
Temps
Host
• La protection doit se déplacer vers les terminaisons et sur les données
• Le réseau n’est plus le point central de l’application de la politiquede sécurité
Evolution des contrôles
29
Que faire?
Politique, Procédures, & Education
Durcissement de l’OS, patch management, authentification, HIDS
Firewalls, VPN quarantaineGardes, serrures, …
Segmentation, IPSec, NIDS
Durcissement d’application, antivirus
ACL, chiffrement
Education, formation
Sécurité physiquePérimètre
Réseau interneMachine
ApplicationDonnées
• Défense en profondeur...
La protection est inutile sans la détection!! Le contrôle du trafic en sortie est essentiel
30
MSDN et TechNet : l’essentiel des ressources techniques à portée de clic
http://technet.com http://msdn.com
Portail administration et infrastructure pour informaticiens
Portail de ressources technique pour développeurs
32
A BotNet
33
BotNet Networks
34
CouleursPalette de couleurs à utiliser
Liens : http://www.microsoft.com (#fce62f RVB 252 230 47)
#fce62f RVB 252 230 47 #35ddfd RVB 53 212 253 #ff4e00 RVB 255 78 0
#fc2feb RVB 252 47 235 #5afd35 RVB 90 253 53 #ffffff RVB 255 255 255
#000000 RVB 0 0 0 #999999 RVB 153 153 153 #dddddd RVB 221 221 221
#0f53a0 RVB 15 83 160 #5b12b5 RVB 91 18 181 #ffa71c RVB 255 167 28
Pour fond blanc :
Puces :
35
Titre de la diapositive
Titre du bloc 1Texte sans puce
Texte avec puce
Titre du bloc 2Texte sans puce
Texte avec puce
36
VidéoTitre de la vidéo
37
DémoTitre de la démo
38
AnnonceTitre de l’annonce
Titre de la diapositive (code)
Fond blanc pour slide de code
40
Tableau
Titre du tableauColonne 1 Colonne 2 Colonne 3 Colonne 4 Colonne 5
41
Graphique
Category 1 Category 2 Category 3 Category 4
4.3
2.53.5
4.5
2.4
4.4
1.82.8
2 23
5
Chart TitleSeries 1 Series 2 Series 3
42
Camembert
59%
23%
10%9%
Titre du graphique
1st Qtr2nd Qtr3rd Qtr4th Qtr