Les Codes Malicieux par François THILL

1
Netdays 2004
Comprendre et prévenir les risques
liés aux codes malicieux
2
Comprendre et prévenir les risques liés aux codes malicieux
- Motivations
- Les principaux types de codes malicieux
- Les principales vulnérabilités exploitées
- Le Blaster worm
- Les contre-mesures nécessaires
3
Motivations
pourquoi
Pourquoi se préoccuper des codes malicieux ?
3. Intérêt personnel
Chaque personne a l’intérêt de protéger ses ressources pour
préserver :
• confidentialité
• intégrité
• disponibilité
8. Obligation légale
Chaque personne a l’obligation de veiller de ne nuire à
personne suite à des négligences graves.
Procéder à une analyse des risques basée sur
Risque = f(Menaces , Vulnérabilités , Impacts)
4
Motivation
par ou commencer
Procéder à une analyse des risques basée sur
Risque = f(Menace,Vulnérabilité,Impact)
4. Analyser les menaces potentielles
Qui peut mettre en péril la disponibilité, l’intégrité ou la
confidentialité de mes ressources ?
5. Analyser les vulnérabilités existantes
Quelles sont mes vulnérabilités qui peuvent être
exploitées par des menaces ?
6. Évaluer les impacts possibles
À quels impacts puis-je m’attendre si une menace
spécifique exploite une vulnérabilité spécifique ?
7. Choisir des contre-mesures
Quelles contre-mesures font sens dans mon cas ?
5
Motivation
comment commencer
Restons pragmatiques, analysons les principales menaces :
3.
Les menaces techniques (ici : codes malicieux)
Quels sont les codes malicieux les plus fréquents,
comment agissent-ils, quelles vulnérabilités
exploitent-ils, comment me protéger ?
4.
Les menaces humaines
Quelles menaces humaines sont les plus fréquentes,
comment agissent-elles, quelles vulnérabilités
exploitent-elles, comment me protéger ?
• Les menaces humaines non intentionnelles:
• erreurs humaines
• négligences
…
•
• Les menaces humaines intentionnelles
• script kiddies
• …
6
Principaux types de codes malicieux
Une classification
Classification pragmatique des codes malicieux :
1. Virus
Un virus est un logiciel qui s’est incrusté dans un hôte
(généralement un fichier exécutable). Lorsque le hôte est
lancé, le virus commence son travail :
• il recherche de nouveaux hôtes,
• infecte avec ou sans transformation les hôtes,
• se répand via des réseaux, e-mail ou supports,
• il lance le « payload »
Existent depuis 1982 et travaillent toujours de la même façon :
• exploitent surtout des vulnérabilités humaines mais
aussi techniques
7
Principaux types de codes malicieux
Une classification
Classification pragmatique des codes malicieux :
2. Vers
Contrairement au virus, le ver est un logiciel exécutable à part
entière. Il n’a pas besoin d’un hôte pour se propager.
• il recherche de nouvelles victimes
• infecte avec ou sans transformation les victimes
• se répand via des réseaux, e-mail ou supports
• il lance le « payload »
Existent depuis 1988 (1978) et travaillent généralement de la
même façon:
• exploitent surtout des vulnérabilités techniques mais
aussi humaines
8
Principaux types de codes malicieux
Une classification
Classification pragmatique des codes malicieux :
3. Cheval de Troie
Un cheval de Troie est un logiciel malicieux « déguisé » en
logiciel bénéfique. Il ne peut pas se répliquer comme un ver ou
un virus.
Un cheval de Troie a donc besoin d’une interaction humaine
pour être lancé. Généralement utilisé pour ouvrir des accès
illicites aux ordinateurs.
Travaillent généralement de la même façon :
• exploitent surtout des vulnérabilités humaines mais
aussi techniques
9
Principales vulnérabilités exploitées
Une revue
Revue des vulnérabilités classiques (impardonnables) :
1. Les vulnérabilités humaines
• absence de sensibilisation,
• curiosité,
• naïveté,
• négligence,
• omission des procédures de sécurité
Les virus et les chevaux de Troie ont besoin d’une interaction
humaine pour pouvoir devenir actifs:
• lancer des pièces jointes inconnues,
• utiliser des supports non-contrôlés,
• téléchargement de fichiers
•…
10
Principales vulnérabilités exploitées
Une revue
Revue des vulnérabilités classiques (impardonnables) suite:
2. Les vulnérabilités techniques
• vulnérabilités dans les systèmes d’exploitation,
• vulnérabilités dans les applications,
• vulnérabilités dans la gestion des droits,
• vulnérabilités dans les systèmes de protection
11
Exemble
Blaster worm
Blaster Worm
La vulnérabilité exploitée:
Remote Procedure Call (RPC) is a protocol used by the Windows
operating system. RPC provides an inter-process
communication mechanism that allows a program running on
one computer to seamlessly access services on another
computer. The protocol itself is derived from the Open Software
Foundation (OSF) RPC protocol, but with the addition of some
Microsoft specific extensions.
Impact :
An attacker who successfully exploited these vulnerabilities
could be able to run code with Local System privileges (parfait
pour un ver)
Timeline:
Vulnérabilité publiée
Patch disponible dès
Ver découvert
le 16 juillet 2003
le 16 juillet 2003
le 11 août 2003
12
Exemble
Blaster worm
Blaster Worm
Fonctionnement :
• il infecte la victime :
• se met dans la liste des logiciels qui sont lancés au
démarrage
• il recherche de nouvelles victimes
• génère des adresses IP « aléatoires »
• essaye d’exploiter la vulnérabilité via le port 135
• écoute au port 69 si des machines contactées sont
vulnérables et envoie le ver msblast.exe
• il a comme mission de :
• installer un back-door sur le port 4444
• préparer une DoS sur Microsoft Update via port 80
13
Les contre-mesures nécessaires
Le minimum
Comment se protéger contre les codes malicieux:
3. Aspects humains
• Ne pas ouvrir les pièces jointes suspectes (non attendues).
• Rester vigilant.
8. Aspects techniques
• Appliquer les mises à jour des systèmes d’exploitation et des
logiciels
• Utiliser un logiciel anti-virus constamment tenu à jour
• Utiliser un firewall personnel
• Éteindre l’ordinateur si non utilisé
• Si connecté à Internet, travailler avec un compte « faible de
droits »
14
Les contre-mesures nécessaires
Appliquez les mises à jour
Les mises à jour servent à :
• corriger des erreurs (exploitables ou non)
• augmenter les fonctionnalités
Au cas du ver blaster cette contre-mesure aurait été suffisante,
les personnes concernées avaient 26 jours pour appliquer le
patch !!!
15
Les contre-mesures nécessaires
Utilisez un anti-virus mis à jour
L’anti-virus sert à :
• contrôler (au moins) les exécutables qui entrent,
• défendre l’accès aux exécutables infectés,
• activez la protection temps réel
TESTEZ votre anti-virus : www.eicar.org
16
Les contre-mesures nécessaires
Utilisez un firewall
Le firewall sert à :
• contrôler les communications entrantes et sortantes
TESTEZ votre firewall
Dans le cas du ver blaster, le firewall aurait défendu l’accès au
port 135 et n’aurait pas envoyé l’exploit sur votre machine.
17
WWW.CASES.LU
Protégez-vous
Restez vigilant,
informez vous,
protégez vous,
ce n’est pas si difficile
WWW.CASES.LU
Merci pour votre attention
François Thill
[email protected]
18