1k likes | 1.18k Views
Connaissez votre ennemi. botnets, spywares, rootkits, phishing…. Jean Gautier PSS Security in EMEA Pascal Sauliere Consultant Principal Sécurité, CISSP, Microsoft France Cyril Voisin Chef de programme Sécurité, Microsoft France. L’Art de la Guerre, Sun Tzu.
E N D
Connaissez votre ennemi botnets, spywares, rootkits, phishing… Jean Gautier PSS Security in EMEA Pascal Sauliere Consultant Principal Sécurité, CISSP, Microsoft France Cyril Voisin Chef de programme Sécurité, Microsoft France
L’Art de la Guerre, Sun Tzu • Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. • Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. • Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats que par tes défaites.
Sommaire • Phishing • Spywares • Botnets • Présentation • Démonstration ! • Rootkits • Définition d’un rootkit • Scénario d’attaque • Fonctionnement d’un rootkit • En mode utilisateur • En mode noyau • Démonstration !
Phishing Usurpation de marque & vol d’informations
Phishing • Usurpation de marque dans le but de voler votre identité (informations personnelles telles que comptes et mot de passe, numéro de carte bleu, informations bancaires…) • Par le biais d’e-mail ou de pop-up • Fréquemment • Alarmiste • Non personnalisé • Lien dans le message • (Fautes d’orthographe / grammaire) • Tout le monde a vu la démo du keynote du 14 juin? (sinon captures d’écran en annexe de ce .ppt)
Adresse trompeuseLe code source révèle la vraie adresse : “href=mailto:accmanager@msn-network.com” Message alarmiste Tentative flagrante de faire croire à une urgence pour obtenir une réponse sans réflexion. En général, il y a aussi des fautes de frappe, d’orthographe, de grammaire Lien trompeurLe code source révèle que l’adresse réelle est : href=http://www.online-msnupdate.com/?sess=qCKWmHUBPPZwT8n4GEMNh7owHDEGt40IHKG5tAGiqGOjNeovRc&cid=betteyost@msn.com La différence entre ces deux URL pourrait être un signe que le message est faux (en outre, si les 2 URL étaient les mêmes, il faudrait quand même rester sur ses gardes.) Message non personnalisé Soignez méfiant(e) si une entreprise avec laquelle vous êtes régulièrement en contact, ne vous appelle pas par votre nom.
Connaissance de la sociétéIci eBay, en général, n’envoie pas d’e-mails contenant des liens de login à ses clients. Regarder dans la barre d’état et constater que le lien ne pointe pas sur le site eBay.com Se méfier des liens dans un e-mail qui s’affichent différemment dans la barre d’état.Dans ce cas, ouvrir un nouveau navigateur et taper soit-même l’URL normale. PHISHING
Regardez attentivement le lien. Vous voyez le signe @ ? C’est un classique pour le phishing. Dans certains navigateurs, ce qui est à gauche du @ n’est pas pris en compte et la connexion a lieu sur ce qui est à droite. PHISHING
Exemple en mai 2005 • Courrier de phishing visant les clients de grandes banques françaises :
Comment ne pas se faire avoir • Se méfier si on vous contacte soudainement pour vous demander des informations personnelles (par e-mail ou pop-up) • Ne pas cliquer sur un lien dans un e-mail qui vous demande des informations personnelles (au besoin, allez vous-même sur le site de l’institution en tapant l’adresse habituelle) • Si quelqu’un vous contacte en vous prétendant que vous avez été victime d’une fraude, vérifiez d’abord son identité avant de lui communiquer la moindre information (valable pour le site auquel vous vous connectez) • NE JAMAIS communiquer d’information personnelle secrète (comme un mot de passe) ou d’information bancaire • Vérifiez régulièrement vos relevés bancaires et de carte de crédit • Signalez les cas suspects aux autorités compétentes
Que sont les logiciels espions ? Comportement Description Exemples Aucun Inoffensif Pas de nuisance potentielle • Notepad • Logiciel supportant de la pub • Pop-ups non autorisés Spyware ou logiciel espion : Programme qui effectue un certain nombre d’opérations sans le consentement approprié de l’utilisateur Publicité Affichage de pub Collecte de données • Barre de recherche autorisée • Collecte de données Collecte de données personnelles Changements de configuration • Utilitaires de paramétrage • Détournement du navigateur Potentiel de nuisance Changements de paramétrages • Contrôle parental • Key-loggers Surveillance Enregistrement des frappes clavier • Logiciel du fournisseur d’accès • Numérotation vers site porno Numérotation Numérotation automatique Utilisation de ressources à distance • Application partage de cycle • Porte dérobée Utilisation de ressources à distance Activité malfaisante Clairement malfaisant (virus, ver, troyen) • Sasser Extrême
Quelques idées de l’ampleur • La cause d’au moins 1/3 de tous les crashes des applications Windows1 • Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell2 • Consommateurs • 91 % des utilisateurs de l’Internet haut débit sont affectés3 • En moyenne : 5+ « spywares » / « adwares » par machine4 • Entreprise 5 • 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spywares » 1Analyses MS Watson/OCA, Jan-Mar 2004 2FTC Workshop, Avril 2004 3,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 2004 5Websense Web@Work Survey, Avril 2004
Par où viennent-ils ? • Par e-mail ou via des pièces jointes attractives • Faux bulletins de sécurité Microsoft • Non signés bien entendu (comment reconnaître un message authentique : http://www.microsoft.com/security/incident/authenticate_mail.mspx) • Photos • Via des installations de logiciels
Par où viennent-ils ? • Connexion réseau avec absence de correctif et de pare-feu • Téléchargement lors de la navigation • ActiveX camouflé par ex. • IE 6.0SP2 (Windows XP SP2) et ultérieur a une interface plus claire et plus sure pour l’utilisateur • Pop-ups et autres astuces • Bannières, pop-overs
Lutter contre les logiciels non désirés • Utiliser un compte normal (LUA) • Désactiver le contenu actif dans IE • Ceci peut empêcher certains sites de fonctionnement • Par exemple : Windows Update • Fermer les fenêtres par combinaison de touche ou par la croix blanche sur fond rouge • Télécharger seulement depuis des sites de bonne réputation qui certifient que les logiciels sont propres • Utiliser un logiciel antispyware
Microsoft Windows AntiSpyware Corrige les problèmes de ralentissement, de pop-ups, etc. Analyses planifiées pour maintenir sécurité et confidentialité Détecter et supprimer les spywares • Surveillance temps réel de plus de 50 points d'entrées • Alertes personnalisables selon vos préférences Améliorer la sécurité de la navigation sur Internet • Communauté SpyNet™ : identifier les nouveaux spywares • Mise à jour automatique des signatures Stopper les dernières menaces Lutte contre les logiciels espions Aide à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés
Windows AntiSpyware • Plus de 10 millions de téléchargements (en 10 semaines) • Retours positifs et nombreux commentaires constructifs • Signatures anti-spyware mises à jour toutes les semaines • Site Microsoft Anti-spyware http://www.microsoft.com/spyware
Protection “temps réel” de MS Antispyware • MSAS scanne les points de démarrage des spywares toutes les 10s
Blocage avec MS Antispyware • Si une nouvelle entrée apparaît, il fait apparaître une fenêtre de notification • Choisir “block”entraîne la suppression de la nouvelle entrée
Évolution de MS Antispyware • Détection et suppression des logiciels non désirés • Protection en continu • Mise à jour des défense (signatures) • Version de base gratuite (plutôt pour les particuliers mais peut être utilisée en entreprise si on en accepte les limitations) • Version entreprise : • Déploiement centralisé (client et signatures) • Rapports étendus • Options de configuration et contrôle Admin des signatures
Nettoyage manuel • Car un antispyware classique • Repose sur des signatures • Peut être la cible d’un logiciel indésirable • Peut ne pas être installé sur une machine touchée • Des outils comme ceux de www.sysinternals.com peuvent être utiles • Démarche : • Identifier les processus (Process Explorer) • Les suspendre puis les terminer • Identifier les sources de démarrage automatique de ces processus (Autoruns) • Les supprimer • Supprimer les fichiers et répertoires de ces logiciels indésirables (Sigcheck en partie)
Autoruns • Fournit plus d’infos que msconfig de Windows XP • Montre les endroits qui peuvent être configurés pour exécuter du code au démarrage ou à l’ouverture de session • Services • Tâches • Modules additionnels de l’explorateur et d’IE (barres d’outils, Browser Helper Objects, …) • Affiche le chemin complet et la version • Recherche sur le Web facile • Focalisation aisée sur le code non Microsoft (cache les entrées MS signées) • Version en ligne de commande (script, réseau)
Process Explorer • Plus complément que le Gestionnaire de tâches de Windows XP • Permet une exploration approfondie des processus • Arborescence de processus • Ligne de commande • Chemin complet • Information de version • Chaînes • Vérification de signature de code • Chercheur de fenêtre • Recherche sur le Web • Processus suspects : • Pas de description ou de nom d’éditeur • Situés dans %windir% • Pas d’icône • Drôles d’URL dans les chaînes
Signature de code • Le code de Microsoft est signé numériquement • Autoruns et Process Explorer vérifient les signatures • Sigcheck permet d’analyser les signatures des exécutables • Analyser de tout le système (au moins %windir%) • Regarder de près les images non signées
Sigcheck • Ligne de commande pour afficher des informations sur les exécutables non signés : sigcheck -e -u -s c:\
Botnets : terminologie • Bot (robot) • Programme exécutant une action ou un groupe d’action à la demande d’un programme distant. • Installé sur l’ordinateur de la victime (zombie) • Botnet • Réseau de machines zombies formant une armée d’ordinateurs contrôlée à partir d’un point central • Canal de contrôle • Méthode pour communiquer avec les victimes • « Gardien » (pirate, attaquant…) • Gardien des robots, contrôleur, Bot Herder • Possède le canal de contrôle et commande le botnet • Motivations : argent, puissance
Fonctionnalité : vol de données • Documents ou données sur l’ordinateur infecté • Mots de passe, mots de passe IRC • Numéros de comptes bancaires, mots de passe • Comptes Paypal • Données liées aux cartes de crédit • Touches frappées au clavier (keylogger) • Numéros de série de logiciels (Windows, Office, jeux, etc.)
Fonctionnalité : DDoS • Quelques centaines de machines peuvent rendre indisponible un site de commerce • Au Kentucky, des sites Internet ont été rendus inaccessibles pendant une semaine ; ils avaient refusé de payer 10.000 $ • Crime organisé : en Angleterre, des casinos en ligne se sont vus proposer une « protection » contre 50.000 $/an
Fonctionnalité : Spam • (en 2004) Entre 70% et 80% du Spam est envoyé à partir de machines zombies • Des botnets sont « loués » pour l’envoi de Spam • Exemples réels : • Entre 2,5 et 6 cents par bot par semaine • Entre 200 et 900 $ par semaine • Machines constamment disponibles : entre 5.000 et 30.000 Septembre 2004 - forums de SpecialHam.com, Spamforum.biz
Fonctionnalités : autres sources de revenus • Installation de Spyware, Adware • Simulation de « clics » sur les publicités de sites web – les annonceurs paient au nombre de clics • …
Fonctionnement Serveur de contrôle
(1) Infecter la 1ère victime Infecter la 1ère victime avec un bot Serveur de contrôle
(2) Connexion au serveur IRC Connexion du bot au serveur IRC Connexion du bot au serveur IRC Serveur de contrôle
(3) Connexion du gardien Connexion du gardien au serveur IRC Serveur de contrôle
(4) Propagation Commande de propagation Serveur de contrôle Botnet
(5) Botnet prêt Commande de propagation Serveur de contrôle Botnet
Canal de contrôle : IRC • Protocole connu depuis presque 25 ans • Un des premiers systèmes de chat décentralisé (channel ~ chat room) • Premiers bots créés pour contrôler ses propres channels, puis pour des fonctions évoluées (jeux, serveurs de fichiers, etc.) • Exemple : solution de repli pour le P2P • Avantages • Outils et connaissance disponibles • Protocole léger et simple à programmer • Jusqu’à 45.000 clients par serveur • Inconvénients • Facilement repérable • Dépendant de l’architecture DNS • Le botnet repose sur un seul serveur
Boîte à outils • Bots disponibles, avec sources (C/C++) et documentation • Certains sont portables : Windows, Linux • Serveurs IRC gratuits (basés sur IRCd) • De plus en plus de serveurs modifiés, adaptés aux volumes et fonctions des botnets • Client IRC • Autres canaux : • HTTP • ICQ
Mais encore ? (à but éducatif uniquement…)
Contre-mesures Les bots se propagent par le réseau • Pare-feu • Mises à jour • Anti-virus • Attention aux nouvelles machines personnelles et à leur 1ère connexion à l’Internet
Rootkit - Définition • Définition : • Un rootkit est un ensemble de composants logiciels modifiant/déroutant le chemin d’exécution du système. Cette modification porte atteinte à l’intégrité de la « Trusted Computing Base » (TCB). • Objectif : • Maintenir la présence malveillante sur un système compromis par l’utilisation de techniques de furtivité.
Rootkit - Capacités • Cacher : • des processus • des fichiers • des pilotes • des ports et des connexions réseau • des clés de registre • Installer des portes dérobées • Ajouter des privilèges à une session • Ajouter des groupes à une session • Manipuler l’observateur d’évènements • Faire tout ce qu’un programme peut faire
Scénarios d’attaque • L’attaquant acquiert des privilèges élevés sur un système • L’attaquant installe le rootkit • Le rootkit se dissimule lui-même ainsi que tout autre composant configuré • L’attaquant peut alors réaliser tous types d’actions sur le système avec peu de risques de détection
Rootkit en mode utilisateur • Modifie les exécutables et libraries • Reroute les APIs : • CreateFile, FindFirstFile, … • RegGetValue, RegEnumKey, … • EnumProcesses, EnumProcessModules, … • …
Rootkit en mode noyau • Modifie les tables/fonctions Kernel: • KiServiceTable • SST/SDT • Déroute l’interruption Int 2E • Modifie les tables Kernel (Direct Kernel Object Manipulation) • EPROCESS FLINK/BLINK – Le système exécute des threads, pas des process. • Ajoute des groupes, des privilèges, etc aux jetons. • Modifie les listes de l’Ordonnanceur • KiWaitInListHead • KiWaitOutListhead • KiDispatcherReadyListHead