420 likes | 546 Views
Intrusions en entreprise : Retours d'expériences . 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft. Agenda. Bilan des évènements de 2010 Attaques ciblées et maitrisées Aurora MS10-015 Alureon StuxNet Incidents directement traités par CSS Security Vols d’information
E N D
Intrusions en entreprise : Retours d'expériences 10 Février 2011Jean GautierIngénieur SécuritéMicrosoft
Agenda • Bilan des évènements de 2010 • Attaques ciblées et maitrisées • Aurora • MS10-015 Alureon • StuxNet • Incidents directement traités par CSS Security • Vols d’information • Extorsion • Leçons clés à tirer de ces expériences…
De plus en plus de risques… • StuxNet- Un 'Cyber Missile' conçu pour attaquer les installations nucléaires Iraniennes. 100000 machines infectées, principalement en Iran. (Symantec Octobre 2010) • Des sondes sophistiquées comportent des vulnérabilités exposant le réseau électrique américain. (NYT Avril 2010) • Des militants Iraquiens ont développé un équipement permettant d'intercepter les flux vidéo des drones américains Predator. Pour un cout estimé de 26$. (WSJ Decembre 2009) • Des dossiers médicaux de milliers de patients exposés en 2010 (HealthCareITNews Avril 2010). • Un australien provoque un rejet toxique en s'introduisant dans le système informatique de la décharge. (TheRegister, Octobre 2001)
Une accélération forte • Le délai patch->exploit diminue: • Slammer (année) • Blaster (mois) • Zotob (jours) • 9 Aout – publication • 14 Aout – nouveau malware • Les process se rôdent: • Attente des publications • Reverse Engineering (outils, partage) • Démonstration de faisabilité (PoC; toolkits, collaboration) • Les vulnérabilités 0Day explosent Quelques exemples récents…
2010… Les grands évènements de l’année
Aurora • Rendue publique en Janvier 2010 par Google • Une vulnérabilité 0Day dans Internet Explorer • Un exploit ciblant spécifiquement Internet Explorer 6 • Des cibles à haute visibilité: • Google, Adobe, Juniper, Rackspace,ont admis avoir été attaqués • D’autres noms circulent…
Les leçons d’Aurora • Des attaques aux enjeux élevés • Des browsers obsolètes moins bien protégés • Le mail utilisé comme vecteur initial d’attaque Et pourtant, aucune conséquence immédiate et sérieuse contre l’attaquant
Alureon • Publication de MS10-015 le 9 février 2010 • Immédiatement des millions de machines entrent dans un cycle de redémarrages/plantages (BSoD) • Microsoft arrête alors la distribution de MS10-015. • Un rootkitresponsable. • Dans les jours qui suivent, une nouvelle version du rootkitest déployée.
Les leçons d’Alureon • Une sophistication encore inégalée • Un rootkit beaucoup plus répandu qu’anticipé • Une ingéniosité et un talent évident des auteurs • Un même rootkit, de multiples malwares Ce n’est pas parce que tu ne me détectes pas que je n’existe pas (moteurs anti-virus à la traine, technologies inadaptées)
StuxNet • Attention Danger! • On change d’échelle… • Un malware « immense » • Exploitant plusieurs 0day… (RCE, EoP) • Cible: les centrifugeuses contrôlées par WinCC (SCADA) opérant à très grande vitesse
Les leçons de StuxNet • Des équipes de plusieurs pays collaborent… • Des réseaux « ultra protégés » compromis • Des systèmes « intouchables » touchés StuxNet est la première « arme » publiquement connue
2010… Les incidents majeurs traités ces 6 derniers mois par CSS Security
Incident A – Points clés • Emails ciblés témoignant d’un véritable travail de social engineering • Intrusion sur plus de 6 mois • Élévation progressive de privilège • Fuite d’informations sensibles • Des attaquants patients et discrets • Plusieurs Chevaux de Troie utilisés (17), beaucoup d’outils d’administration à distance.
Incident A - Leçons • De nouvelles difficultés! • Comment analyser les milliers de systèmes potentiellement impactés: • Différents malwares, déployés sur quelques systèmes parmi des milliers • Reprise de contrôle d’Active Directory • Des dizaines de comptes de service impliqués • Des dizaines d’applications à reconfigurer, tester… • Des milliers de mots de passe à changer • L’éducation et le partage d’information avec les utilisateurs sont un point clé de la réussite
Incident B – Points Clés • Intrusion via une injection SQL sur une application Web • Suivie de l’exploration discrète et patiente des réseaux en DMZ puis Corporate (pendant 9 mois) • Elévation de privilège jusqu’à la compromission d’Active Directory • Usage de la technique « Pass The Hash » • Le client reconstruit entièrement sa forêt….
Incident B – Leçons • Les DMZs ne sont pas (plus) étanches, la segmentation réseau a ses limites • Attention aux machines ET aux réseaux sur lesquels des comptes privilégiés sont utilisés • La vigilance est importante pour détecter les anomalies
Incident C&D – Points clés • Infection de type drive-by exploitant une vulnérabilité corrigée depuis des mois dans une runtime • Attaque ciblée par mail, véritable bijou de social engineering
Incident C&D - Leçons • Attention aux mises à jour des applications et run-time. • C’est plus long, plus difficile que les mises à jour d’OS mais plus que jamais nécessaire… • Les filtres de mail ne sont pas efficaces. • Le social engineering quand il est: • Personnel • Placé dans le temps • Contextuel est imparable…
Méthodologies Advanced Persistent Threats
APTs: Advanced Persistent Threats Méthode APTs : • Etude des cibles • Footprinting, Scanning • Réseaux sociaux, social engineering le + Facile • Entrer: infection via Zero Day, SPAM, … • Contrôle – Backdoors • Etendre – Outils de vol de mots de passe, • Vol d’information - via des serveurs dédiés • Persistance - Rootkits, Mises à jour régulières
Advanced: Utilisation d’un large spectre de techniques: SPAM, 0day, drive by, … tout dépend de la “posture” de la cible • Persistent : Les objectifs sont clairement définis Pas des opportunités découvertes “au hasard” L’attaque passe par différentes phases, elle n’est pas constante en intensité et profondeur. • Threat: Des hommes sont derrière ces attaques: expérimentés, motivés, financés. Il ne s’agit pas d’attaques automatisées via des malwares “opportunistes” Source: http://en.wikipedia.org/wiki/Advanced_Persistent_Threat
Le laptop “Corporate” • Employé le jour, consommateur la nuit: • Infecté le soir à la maison • Ramené le matin dans le réseau d’entreprise • Le Cheval de Troie est désormais dans le périmètre • Et si ce laptop est celui d’un administrateur…
Evolution des contrôles • La protection doit se déplacer vers les terminaisons et sur les données • Le réseau n’est plus le point central de l’application de la politiquede sécurité Evolving Security Controls Data Self-Protection Mesures de sécurité Host People and Process Network Temps
Défense en profondeur... Que faire? Politique, Procédures, & Education Sécurité physique ACL, chiffrement Données Application Durcissementd’application, antivirus Durcissement de l’OS, patch management, authentification, HIDS Machine Réseau interne Segmentation, IPSec, NIDS Firewalls, VPN quarantaine Périmètre Gardes, serrures, … Education, formation La protection est inutile sans la détection!! Le contrôle du trafic en sortie est essentiel
MSDN et TechNet: l’essentiel des ressources techniques à portée de clic • Portail administration et infrastructure pour informaticiens • Portail de ressources technique pour développeurs http://technet.com http://msdn.com
Couleurs • Palette de couleurs à utiliser • Liens : http://www.microsoft.com (#fce62f RVB 252 230 47) #fce62f RVB 252 230 47 #35ddfd RVB 53 212 253 #ff4e00 RVB 255 78 0 #fc2feb RVB 252 47 235 #5afd35 RVB 90 253 53 #ffffff RVB 255 255 255 #000000 RVB 0 0 0 #999999 RVB 153 153 153 #dddddd RVB 221 221221 #0f53a0 RVB 15 83 160 #5b12b5 RVB 91 18 181 #ffa71c RVB 255 167 28 Pour fond blanc : Puces :
Titre de la diapositive Titre du bloc 1 Texte sans puce • Texte avec puce Titre du bloc 2 Texte sans puce • Texte avec puce
Vidéo Titre de la vidéo
Démo Titre de la démo
Annonce Titre de l’annonce
Titre de la diapositive (code) • Fond blanc pour slide de code