Le contournement de produits de sécurité

Le contournement de produits de sécurité
Jean-Baptiste Bédrune
Sogeti / ESEC
jean-baptiste.bedrune(at)sogeti.com
Yoann Guillot
Sogeti / ESEC
yoann.guillot(at)sogeti.com
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
2/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Les produits de sécurité
Répondent à un besoin :
Nous protègent de l’Internet hostile
Assurent l’intégrité, la confidentialité et l’authenticité des
données critiques
Contrent les pirates, les virus, les botnets, le spam et les
zero-day
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
3/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
4/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Anti-virus
Reconnaissent les programmes malicieux
Virus connus
Base de signatures
Virus inconnus
Analyse spectrale
Émulation
Analyse comportementale
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
5/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Contournement de détection par signature
Isolement de la signature
Mutation de la partie reconnue
Métamorphisme
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
6/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Isolement de la signature
Mutation de chaque octet du virus détecté
Scan de tous les fichiers générés
Extraction de la signature en fonction des nouveaux
fichiers détectés
Pas détecté : la signature n’est plus présente
Méthode facile à automatiser
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
7/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Backdoor.Win32.Imort
Section de code
complète
Signature = section de code
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
8/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Worm.Win32.Small.f
label c: hacked
keygen.exe
Signature = deux chaı̂nes de caractères
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
9/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Analyse comportementale
Utilisée quand les autres méthodes ne donnent rien
Problème de l’analyse insoluble
Contournement
Intégrer les actions malveillantes au milieu d’actions
bénignes
Espacer les actions malveillantes
Partager la tache malveillante entre plusieurs processus
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
10/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
11/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Détection d’intrusion
Scanner réseau
Détection de signatures sur le trafic
Analyse statistique du trafic
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
12/43
NIDS
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Détection d’intrusion
Peut être contourné par :
Chiffrement de flux
Flux trop important
Protocole trop complexe
Ambigüité de la gestion d’erreurs
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
14/43
Désynchro
Désynchro
Désynchro
Désynchro
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
En-tête HTTP malformé
Le trafic
POST /bla HTTP/1.1
Content-length : 1337
Content-length : 28
blablabla to fill 28 bytes
POST /vuln HTTP/1.1
Content-length : 127
\x6b\x69\x6b\x6f\x6f\x6c\x6f\x6c/bin/sh
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
19/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
En-tête HTTP malformé
Le trafic
POST /bla HTTP/1.1
Content-length : 1337
Content-length : 28
blablabla to fill 28 bytes
POST /vuln HTTP/1.1
Content-length : 127
\x6b\x69\x6b\x6f\x6f\x6c\x6f\x6c/bin/sh
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
20/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
En-tête HTTP malformé
Le trafic
POST /bla HTTP/1.1
Content-length : 1337
Content-length : 28
blablabla to fill 28 bytes
POST /vuln HTTP/1.1
Content-length : 127
\x6b\x69\x6b\x6f\x6f\x6c\x6f\x6c/bin/sh
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
21/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
22/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Protection du poste local
Protection contre les zero-days
Hook de certaines API
Hook du noyau
Détection de shellcode par examen de l’adresse de retour
Protection contre les chevaux de Troie
Restriction des capacités du compte Administrateur
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
23/43
Camouflage de l’adresse de retour - original
Camouflage de l’adresse de retour - ret to ret
Camouflage de l’adresse - chained ret to ret
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Restrictions de l’administrateur
Le système d’exploitation est complexe
Accès au registre
Accès à la mémoire physique / au fichier de swap
Accès aux fichiers contenant les drivers
Accès natif au disque dur
...
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
27/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
28/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
FileVault
Chiffrement des données utilisateur natif OS X
Algorithme : AES
Spécifications non disponibles
Clé dérivée du mot de passe utilisateur
Apparu sous OS X 10.3 (Panther)
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
29/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Stockage du mot de passe
Avec Directory Services
Informations sur la machine
... et sur les utilisateurs locaux
$ dscl . -read /Users/yoann GeneratedUID
GeneratedUID: 333572AE-A643-4CC0-BD0F-B31D4688CD2E
Hashes stockés dans le fichier
/var/db/shadow/hash/<UID>
Nécessite les droits root
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
30/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Format des fichiers shadow
NTLM
Si partage SMB activé
SHA1
Sel de 4 octets
D7A42B50E80402C82B0E7D611590DA3E
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
000000001F76CE03D95933366B55DC03
A43E73E09E6C81A700735B4700000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000......
Bruteforce sur le SHA-1
Rainbow tables sur le NTLM
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
31/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Mots de passe en clair ?
Ouverture de session : loginwindow.app
Mot de passe utilisateur persistant dans la mémoire du
processus
Ecrit sur le disque lors de la mise en hibernation
/var/vm/sleepimage
Lecture du fichier d’hibernation (droits root)
Récupération du mot de passe de l’utilisateur loggé
. . . et d’autres utilisateurs
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
32/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Récupération du mot de passe
$ strings /var/vm/sleepimage | grep -A 4 longname
longname
managedUser
password
y0ann ;S3cuR3pasSwoRD !*
shell
-longname
managedUser
password
jbjb
shell
-J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
33/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Que faire ?
Désactiver l’hibernation
Chiffrer le fichier d’hibernation
· · · mais clés de chiffrement dans le fichier
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
34/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
35/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Carte à puce
Code PIN
3 codes PIN faux ⇒ blocage
Deux méthodes de déblocage :
Code PUK de la carte
Déblocage par défi / réponse (usage unique)
⇒ Un nouveau code PIN est demandé
3 codes de déblocage faux ⇒ blocage définitif
Clés d’administration
Réduction de l’entropie de 128 à 16 bits, puis recherche
exhaustive
⇒ blocage au bout de 30 essais
⇒ Impossibilité de casser les clés par recherche exhaustive
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
36/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Déblocage de la carte
Fonction de déblocage par code PUK
Deux paramètres :
Le numéro de série de la carte
Un code client (16 bits), commun à toutes les cartes de
l’entreprise
Seconde méthode : fonctionnement identique, avec un sel
aléatoire pour un usage unique du code de déblocage
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
37/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Calcul du code PUK
Données
Clés
Code client
Numéro de série
3-DES
3-DES
Code PUK
Clé fixe
⇒ Calcul du code client à partir d’un couple numéro de série /
PUK
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
38/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Scénario d’attaque
Le code client se calcule :
à partir d’un défi/réponse
à partir d’une combinaison numéro de série / code PUK
Un attaquant bloque sa carte, et demande un code de
déblocage
⇒ Un attaquant est en mesure de débloquer n’importe quelle
carte du parc, et d’en changer le code PIN
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
39/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Roadmap
1
Introduction
2
Anti-virus
3
IDS
4
HIPS
5
Chiffrement de fichiers
6
Authentification forte
7
Conclusion
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
40/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Failles de sécurité introduites
Ces produits complexes peuvent introduire de nouvelles failles
Faille d’implémentation
Erreur de configuration
Leur nature commerciale peut amener d’autres problèmes
SonicWall et son serveur de license
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
41/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Conclusion
Contournement des produits
Question de :
temps
moyens
Produits de sécurité
Utiles face aux attaques génériques
Souvent inefficaces lors d’une attaque ciblée
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
Le contournement de produits de sécurité
42/43
Introduction
Anti-virus
IDS
HIPS
Chiffrement de fichiers
Authentification forte
Conclusion
Des questions ?
J.B. Bédrune & Y. Guillot (Sogeti/ESEC)
?
Le contournement de produits de sécurité
43/43