prévention et analyse de cyber-attaques › img › pdf › conf-julien-bachmann... · prévention...
TRANSCRIPT
![Page 1: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/1.jpg)
Prévention et analyse de cyber-attaquesimport-module IncidentResponse
Julien Bachmann / Sylvain Pionchon
SCRT
![Page 2: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/2.jpg)
Agenda
● Problématque● Reconnaissance● Ataques sur les machines● Post-Exploitaton● Conclusion
2
![Page 3: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/3.jpg)
Bio
● Julien● CISSP● Ingénieur sécurité @ SCRT
● Sylvain● Ingénieur sécurité @ SCRT
3
![Page 4: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/4.jpg)
Agenda
Problématque
Reconnaissance
Ataques sur les machines
Post-Exploitaton
Conclusion
4
![Page 5: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/5.jpg)
problématque | constat
● Défenses actuelles– Périmétriques
– Antvirus
– IDS ?
5
![Page 6: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/6.jpg)
problématque | constat
● Ataques actuelles– “80 % des ataques utlisent les collaborateurs”
– 0day
– Ataques supposées avancées et persistantes
– “advanced atackers != advanced atacks”
6
![Page 7: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/7.jpg)
problématque | constat
● Détecton
– Cas #1 : pas ou peu de politque de logs
– Cas #2 : Pokemon de la sécurité● En résumé
– Détecton lors d'un impact sur le business
– Manque de données pour tracer un incident
7
![Page 8: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/8.jpg)
problématque | une soluton
● Tour de garde de la sécurité
● Utlisaton des journaux d’événements
– Calquer les actons de l'ataquant sur des événements à détecter
● Problème
– Besoin de ressources pour trier
– Connaître les événements suspicieux
– Uniquement Windows sera traité ici
8
![Page 9: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/9.jpg)
Agenda
Problématque
Reconnaissance
Ataques sur les machines
Post-Exploitaton
Conclusion
9
![Page 10: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/10.jpg)
reconnaissance | intro
● Première étape d'un ataquant
– Connaître les machines actves
– Services accessibles● Principe
– Scan de ports
– Sessions anonymes
10
![Page 11: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/11.jpg)
reconnaissance | scan de ports
● Firewalls sur le réseau interne
– Traitement des logs● Windows
– Firewall intégré
– Sur les serveurs critques
– Mais pas de détecton scan de ports
11
![Page 12: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/12.jpg)
reconnaissance | scan de ports
● Détecton basique
– Par défaut trois profls de frewall
– Stockage dans le journal d'évènements du frewall
– 5157 (tcp), 5152 (ip)
12
![Page 13: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/13.jpg)
reconnaissance | scan de ports
● Détecton basique
– Possibilité d'enregistrer dans un fchier les évènements (DROP-ALLOW) du Firewall
Date | Time | action | proto | src-ip | dst-ip | size | src-port | dst-port
– En Powershell 3.0 :
Set-NetFirewallProfile -All -DefaultInboundAction Block -DefaultOutboundAction Allow -LogFileName mylog.log
13
![Page 14: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/14.jpg)
reconnaissance | scan de ports
● Détecton basique
– Analyse des logs en Powershell
14
IP Source Port Destination
![Page 15: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/15.jpg)
reconnaissance | null sessions
● Principe
– Connexion sans compte
– En réalité, NT Authority\Anonymous Logon
– Plus d'actualité sur les environnements pré-2008
– Apparait également si la délégaton n'est plus autorisée pour des comptes critques
15
![Page 16: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/16.jpg)
reconnaissance | null sessions
● Détecton
– Lecture du journal d’événements Windows via cmdlet Powershell Get-EventLog
– Possibilité de fltrer les recherches :
● InstanceId : 528 / 529 (Success / Failure) ● Username : NT AUTHORITY\Anonymous Logon
– Exemple Powershell :
Get-EventLog -Logname 'Security' -InstanceId 528 -username 'NT AUTHORITY\Anonymous Logon'
16
![Page 17: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/17.jpg)
Agenda
Problématque
Reconnaissance
Ataques sur les machines
Post-Exploitaton
Conclusion
17
![Page 18: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/18.jpg)
ataques | mots de passe
● Recherchés par ataquant
- Permetent de gagner des accès
● Méthodes
- Brute-force
- Extracton des condensats
- Extracton des clairs depuis la mémoire
18
![Page 19: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/19.jpg)
ataques | mots de passe
● Extracton
- Rejoint la détecton d'outls
● Brute-force
- Tentatves d'authentfcaton échouées
- Événement logon failure
- Événement user account locked out
19
![Page 20: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/20.jpg)
ataques | mots de passe
● Brute-force online
- Génère beaucoup de bruit
● Fail2ban en powershell
20
![Page 21: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/21.jpg)
ataques | exploitaton
● Exécuton de code
- Exploitaton d'une vulnérabilité logicielle
- Contexte d'une applicaton théoriquement autorisée
21
![Page 22: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/22.jpg)
ataques | exploitaton
● Détecton difcile
- Tant que l'applicaton ne plante pas
● Crash
- Échec de l'exploitaton
- Événements générés par chaque applicaton dans Applicatons and Services Logs
- Requête WER
22
![Page 23: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/23.jpg)
ataques | exploitaton
● Exemple de Crash
23
● Crash de Internet Explorer
● Le chargement de icucnv36.dll génère une erreur
● Injecton de code
● Exploit CVE-2010-3654
![Page 24: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/24.jpg)
ataques | exploitaton
● Détecton avancée avec EMET
● EMET Notfer enregistre les évènements dans le journal Windows
24
![Page 25: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/25.jpg)
ataques | exploitaton
● Détecton avancée avec EMET
- event id 1 ou 2 dans le journal d’événements Windows
25
![Page 26: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/26.jpg)
ataques | exploitaton
● Détecton avancée avec EMET
- Filtrage via l'émeteur du log
Get-Eventlog -Log application -EntryType error -InstanceId 1,2 -Source emet
26
![Page 27: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/27.jpg)
Agenda
Problématque
Reconnaissance
Ataques sur les machines
Post-Exploitaton
Conclusion
27
![Page 28: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/28.jpg)
post-exploitaton | intro
● Pour arriver à ses fns
– Besoin de privilèges spécifques
– Garder un accès
– Exfltraton de données● Résultantes
– Utlisaton d'outls, droits spécifques
– Créaton/modifcatons de comptes
– Connexions vers l'extérieur
28
![Page 29: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/29.jpg)
post-exploitaton | acton privilégiée
● Sensitve Privilege use
- 7 privilèges dangereux
• SeDebugPrivilege• SeCreateTokenPrivilege• …
- Créer beaucoup d'évènements !
- Filtrage sur le champ Privileges sur eventID 578 (2003) ou 4674 (2008+)
29
![Page 30: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/30.jpg)
post-exploitaton | outls
● Outls pour collecter de l'informaton
- Keylogger
- Trojan
- Extracteur mot de passe
● L'ataquant utlise toujours ce type d'outls pour gagner du temps
30
![Page 31: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/31.jpg)
post-exploitaton | outls
● Comparaison hash de l'exécutable avec une base
- Online : Jot, VirusTotal, Eureca
- Locale : NIST (good), OWASP (bad)
● Récupératon des exécutables par date
Get-ChildItem -Recurse -Path "C:\" -Include *.exe | Where-Object { $_.CreationTime -ge "03/01/2013" -and $_.CreationTime -le "03/13/2013" }
31
![Page 32: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/32.jpg)
post-exploitaton | outls
● AppLocker
– Bloquer/Détecter l'exécuton de programmes non autorisés
– Actvable via GPO
– Trois types de règles
– Chemin d'accès
– Hash
– Signature
32
![Page 33: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/33.jpg)
post-exploitaton | outls
33
![Page 34: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/34.jpg)
post-exploitaton | outls
● AppLocker
– Deux modes de fonctonnement
– Audit only
– Enforce rules
– Récupérer les logs via cmdlet PowershellGet-AppLockerFileInformation –EventLog –Logname
"Microsoft-Windows-AppLocker\EXE and DLL" –EventType Audited –Statistics
34
![Page 35: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/35.jpg)
post-exploitaton | comptes
● Créaton d'un compte « backdoor» pour pérenniser l’accès
● L'ataquant n'est pas obligé de connaître le mot de passe/hash administrateur pour créer le compte
- utlisaton token delegate et WinRM
- pass-the-hash
35
![Page 36: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/36.jpg)
post-exploitaton | comptes
● Points à surveiller dans l'AD
- Créaton d'un compte
- Ajout dans un groupe privilégié/intéressant
- ex : r&d
- Compte qui n'expire jamais
- Compte verrouillé, déverrouillé, supprimé
36
![Page 37: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/37.jpg)
post-exploitaton | comptes
● Powershell est notre ami :)
- Journal d’événements Windows
- Search-ADAccount du module Actve Directory
37
![Page 38: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/38.jpg)
post-exploitaton | connexions
● Exfltraton de données
- Centralisaton du contrôle des postes
- Encapsulaton des commandes
- DNS, HTTP, SMTP, IRC
- Utlisaton de cryptographie
38
![Page 39: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/39.jpg)
post-exploitaton | connexions
● Déterminer les connexions vers l'extérieur
– netstat -ano
● Log des requêtes DNS
- Actvaton depuis Debug Logging
- System32\dns\Dns.log
39
![Page 40: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/40.jpg)
post-exploitaton | connexions
● DNS/IP Blacklist
– Nombreuses bases en ligne
● drone.abuse.ch● b.barracudacentral.org● alienvault
– Recherche DNS via IP.drone.abuse.ch
40
![Page 41: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/41.jpg)
post-exploitaton | connexions
● Sinkhole / Blackhole
- Rediriger tous les domaines suspicieux vers une IP
- Monitoring des requêtes
• htp• fp• irc• smtp
41
![Page 42: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/42.jpg)
Agenda
Problématque
Reconnaissance
Ataques sur les machines
Post-Exploitaton
Conclusion
42
![Page 43: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/43.jpg)
Conclusion
● Utilisation de différentes technologies indispensables
● Automatiser la première étape● Threat intelligence● Outils de corrélation ● Ressources humaine nécessaires● Ne pas oublier la protection
43
![Page 44: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/44.jpg)
Outls
● Module Powershell avec les différentes fonctions présentées aujourd'hui
● Certains scripts sont exécutés périodiquement via le Task Scheduler Windows
● Coming soon ... sur notre site web www.scrt.ch et blog.scrt.ch
44
![Page 45: Prévention et analyse de cyber-attaques › IMG › pdf › conf-julien-bachmann... · Prévention et analyse de cyber-attaques import-module IncidentResponse Julien Bachmann / Sylvain](https://reader033.vdocuments.pub/reader033/viewer/2022042407/5f223f372a7e0b1409381e35/html5/thumbnails/45.jpg)
Questons?
45