Le contournement de produits de sécurité
Transcription
Le contournement de produits de sécurité
Le contournement de produits de sécurité Jean-Baptiste Bédrune Sogeti / ESEC jean-baptiste.bedrune(at)sogeti.com Yoann Guillot Sogeti / ESEC yoann.guillot(at)sogeti.com Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 2/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Les produits de sécurité Répondent à un besoin : Nous protègent de l’Internet hostile Assurent l’intégrité, la confidentialité et l’authenticité des données critiques Contrent les pirates, les virus, les botnets, le spam et les zero-day J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 3/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 4/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Anti-virus Reconnaissent les programmes malicieux Virus connus Base de signatures Virus inconnus Analyse spectrale Émulation Analyse comportementale J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 5/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Contournement de détection par signature Isolement de la signature Mutation de la partie reconnue Métamorphisme J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 6/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Isolement de la signature Mutation de chaque octet du virus détecté Scan de tous les fichiers générés Extraction de la signature en fonction des nouveaux fichiers détectés Pas détecté : la signature n’est plus présente Méthode facile à automatiser J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 7/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Backdoor.Win32.Imort Section de code complète Signature = section de code J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 8/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Worm.Win32.Small.f label c: hacked keygen.exe Signature = deux chaı̂nes de caractères J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 9/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Analyse comportementale Utilisée quand les autres méthodes ne donnent rien Problème de l’analyse insoluble Contournement Intégrer les actions malveillantes au milieu d’actions bénignes Espacer les actions malveillantes Partager la tache malveillante entre plusieurs processus J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 10/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 11/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Détection d’intrusion Scanner réseau Détection de signatures sur le trafic Analyse statistique du trafic J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 12/43 NIDS Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Détection d’intrusion Peut être contourné par : Chiffrement de flux Flux trop important Protocole trop complexe Ambigüité de la gestion d’erreurs J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 14/43 Désynchro Désynchro Désynchro Désynchro Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion En-tête HTTP malformé Le trafic POST /bla HTTP/1.1 Content-length : 1337 Content-length : 28 blablabla to fill 28 bytes POST /vuln HTTP/1.1 Content-length : 127 \x6b\x69\x6b\x6f\x6f\x6c\x6f\x6c/bin/sh J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 19/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion En-tête HTTP malformé Le trafic POST /bla HTTP/1.1 Content-length : 1337 Content-length : 28 blablabla to fill 28 bytes POST /vuln HTTP/1.1 Content-length : 127 \x6b\x69\x6b\x6f\x6f\x6c\x6f\x6c/bin/sh J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 20/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion En-tête HTTP malformé Le trafic POST /bla HTTP/1.1 Content-length : 1337 Content-length : 28 blablabla to fill 28 bytes POST /vuln HTTP/1.1 Content-length : 127 \x6b\x69\x6b\x6f\x6f\x6c\x6f\x6c/bin/sh J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 21/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 22/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Protection du poste local Protection contre les zero-days Hook de certaines API Hook du noyau Détection de shellcode par examen de l’adresse de retour Protection contre les chevaux de Troie Restriction des capacités du compte Administrateur J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 23/43 Camouflage de l’adresse de retour - original Camouflage de l’adresse de retour - ret to ret Camouflage de l’adresse - chained ret to ret Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Restrictions de l’administrateur Le système d’exploitation est complexe Accès au registre Accès à la mémoire physique / au fichier de swap Accès aux fichiers contenant les drivers Accès natif au disque dur ... J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 27/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 28/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion FileVault Chiffrement des données utilisateur natif OS X Algorithme : AES Spécifications non disponibles Clé dérivée du mot de passe utilisateur Apparu sous OS X 10.3 (Panther) J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 29/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Stockage du mot de passe Avec Directory Services Informations sur la machine ... et sur les utilisateurs locaux $ dscl . -read /Users/yoann GeneratedUID GeneratedUID: 333572AE-A643-4CC0-BD0F-B31D4688CD2E Hashes stockés dans le fichier /var/db/shadow/hash/<UID> Nécessite les droits root J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 30/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Format des fichiers shadow NTLM Si partage SMB activé SHA1 Sel de 4 octets D7A42B50E80402C82B0E7D611590DA3E 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 000000001F76CE03D95933366B55DC03 A43E73E09E6C81A700735B4700000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000...... Bruteforce sur le SHA-1 Rainbow tables sur le NTLM J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 31/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Mots de passe en clair ? Ouverture de session : loginwindow.app Mot de passe utilisateur persistant dans la mémoire du processus Ecrit sur le disque lors de la mise en hibernation /var/vm/sleepimage Lecture du fichier d’hibernation (droits root) Récupération du mot de passe de l’utilisateur loggé . . . et d’autres utilisateurs J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 32/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Récupération du mot de passe $ strings /var/vm/sleepimage | grep -A 4 longname longname managedUser password y0ann ;S3cuR3pasSwoRD !* shell -longname managedUser password jbjb shell -J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 33/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Que faire ? Désactiver l’hibernation Chiffrer le fichier d’hibernation · · · mais clés de chiffrement dans le fichier J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 34/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 35/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Carte à puce Code PIN 3 codes PIN faux ⇒ blocage Deux méthodes de déblocage : Code PUK de la carte Déblocage par défi / réponse (usage unique) ⇒ Un nouveau code PIN est demandé 3 codes de déblocage faux ⇒ blocage définitif Clés d’administration Réduction de l’entropie de 128 à 16 bits, puis recherche exhaustive ⇒ blocage au bout de 30 essais ⇒ Impossibilité de casser les clés par recherche exhaustive J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 36/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Déblocage de la carte Fonction de déblocage par code PUK Deux paramètres : Le numéro de série de la carte Un code client (16 bits), commun à toutes les cartes de l’entreprise Seconde méthode : fonctionnement identique, avec un sel aléatoire pour un usage unique du code de déblocage J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 37/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Calcul du code PUK Données Clés Code client Numéro de série 3-DES 3-DES Code PUK Clé fixe ⇒ Calcul du code client à partir d’un couple numéro de série / PUK J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 38/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Scénario d’attaque Le code client se calcule : à partir d’un défi/réponse à partir d’une combinaison numéro de série / code PUK Un attaquant bloque sa carte, et demande un code de déblocage ⇒ Un attaquant est en mesure de débloquer n’importe quelle carte du parc, et d’en changer le code PIN J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 39/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Roadmap 1 Introduction 2 Anti-virus 3 IDS 4 HIPS 5 Chiffrement de fichiers 6 Authentification forte 7 Conclusion J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 40/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Failles de sécurité introduites Ces produits complexes peuvent introduire de nouvelles failles Faille d’implémentation Erreur de configuration Leur nature commerciale peut amener d’autres problèmes SonicWall et son serveur de license J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 41/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Conclusion Contournement des produits Question de : temps moyens Produits de sécurité Utiles face aux attaques génériques Souvent inefficaces lors d’une attaque ciblée J.B. Bédrune & Y. Guillot (Sogeti/ESEC) Le contournement de produits de sécurité 42/43 Introduction Anti-virus IDS HIPS Chiffrement de fichiers Authentification forte Conclusion Des questions ? J.B. Bédrune & Y. Guillot (Sogeti/ESEC) ? Le contournement de produits de sécurité 43/43