docJuillet 2009
download 
Plainte Transcription
Juillet 2009
Tendances et défenses Connaissances au profit de l`entreprise Jean-Francois Gignac Spécialistes sécurité – TIC – Marchés Affaires 514 870-7846 Agenda 1. Tendances Sécurité • • Juillet 2009 – Un mois d`attaques cybernétiques Tendances des cyber crimes 2. Pourquoi votre SPI (IPS) est probablement vulnérable Page 2 | Préparation en cas de pandémie | PUBLIC Survol des attaques cybernétiques de Juillet 2009 (Mydoom.EA or Dozer) CONFIDENTIAL Répendre les maliciels ``Bot`` par courriel PolluPosteurs ``Spammer`` “Annonceurs” Victime Victime CONFIDENTIAL Victime Activation du réseau des maliciels ``Bot`` Serveur de controle et d`activation o ati og n err Int les b i c es n d r ti o u a v jo cti -aa e s et Mi Victime 1ere 1ere Attaque Attaque :: MYDOOM.EA MYDOOM.EA Characteristiques Characteristiques des des ``Bot`` ``Bot`` Serveur de controle Bot •• ~20,000 ~20,000 ordinateurs ordinateurs zombies zombies •• Attaques Attaques diversifiées: diversifiées: •• HTTP HTTP page page flood flood •• SYN SYN flood flood avec avec anomalies anomalies de de paquets paquets •• UDP UDP flood flood •• ICMP ICMP flood flood •• Destinations Destinations aux aux États-Unis États-Unis et et Corée Corée du du Sud Sud •• ~~ 1-2 1-2 Gbps Gbps traffic traffic entrant entrant (200K-500K (200K-500K Pps) Pps) GET Commandes au réseau BOT /… H T TP GET /… Bot /1.0 Serveurs web publiques HTTP/1 .0 Internet Attaquant .0 HTTP/1 … / T E G T GE Bot /… P/ HTT 1.0 Bot Usager légitime 2eme 2eme Attaque Attaque :: MYDOOM.EA MYDOOM.EA Characteristiques Characteristiques des des ``Bot`` ``Bot`` Serveur de controle Bot •• ~50,000 ~50,000 ordinateurs ordinateurs zombies zombies •• Attaques Attaques diversifiées: diversifiées: •• HTTP HTTP page page flood flood •• SYN SYN flood flood avec avec anomalies anomalies de de paquets paquets •• UDP UDP flood flood •• ICMP ICMP flood flood •• Destinations Destinations aux aux États-Unis États-Unis et et Corée Corée du du Sud Sud •• ~~ 6-7 6-7 Gbps Gbps traffic traffic entrant entrant (>2 (>2 millions millions Pps) Pps) GET Commandes au réseau BOT /… H T TP GET /… Bot /1.0 Serveurs web publiques HTTP/1 .0 Internet Attaquant .0 HTTP/1 … / T E G T GE Bot /… P/ HTT 1.0 Bot Usager légitime Attaques cybernétiques de Juillet 2009 2eme Attaque (7 Juillet 2009) Cibles aux E-U et Corée du Sud Plus de 25 sites 1ere Attaque 3eme Attaque (5 Juillet 2009) (8 au 9 Juillet 2009) Cibles aux E-U: Gouvernement, Media & Commerce Electronique Cibles aux E-U et Corée du Sud Plus de 45 sites 4eme Attaque (9 au 10 Juillet 2009) Cibles aux E-U et Corée du Sud Plus de 60 sites • 1ere attaque – sites aux E-U – – – – – – – – • www.whitehouse.gov www.nyse.com www.nasdaq.com finance.yahoo.com www.amazon..com www.usbank.com www.washingtonpost.com www.state.gov 2eme attaque – sites en Corée du Sud – – – – – – – – – – – www.usauctionslive.com – 5 Juillet 2009 • www.president.go.kr www.mofat.go.kr www.assembly.go.kr banking.nonghyup.com ezbank.shinhan.com ebank.keb.co.kr www.hannara.or.kr www.chosun.com www.auction.co.kr Activé 7-8 Juillet 2009 3eme et 4eme attaques – Divers sites aux E-U et Corée du Sud – 8-10 Juillet 2009 En En 2009, 2009, les les attaques attaques de de juillet juillet furent furent une une série série de de cyber-attaques cyber-attaques coordonnées coordonnées contre contre des des gouvernements gouvernements majeurs, majeurs, les les médias, médias, et et les les sites sites financiers financiers américains américains et et de de Corée Corée du du Sud. Sud. Les Les attaques attaques ont ont émis émis l'activation l'activation d'un d'un réseau réseau de de botnet botnet constitué constitué de de 20,000 20,000 àà 40,000 40,000 ordinateurs ordinateurs infectés infectés par par des des logiciels logiciels malveillants. malveillants. Mydoom.EA Mydoom.EA fut fut une une attaque attaque inondant inondant des des sites sites Web Web causant causant des des surcharges surcharges sur sur les les serveurs serveurs en en raison raison de de l'afflux l'afflux de de trafic trafic -- une une attaque attaque DDoS. DDoS. (Distributed (Distributed Denial Denial of of Service) Service) La La liste liste des des cibles cibles inclus inclus aux aux E-U; E-U; la la CIA, CIA, Département Département d'Etat d'Etat américain, américain, NASDAQ, NASDAQ, US US Bank, Bank, US US Auctions Auctions Live. Live. Assurément, Assurément, ces ces sites sites ont ont investi investi dans dans la la sécurité sécurité réseau réseau -- cependant cependant ils ils n`ont n`ont toujours toujours pas pas réussi réussi àà atténuer atténuer une une attaque attaque relativement relativement simple simple -- une une variante variante de de Mydoom, Mydoom, connue connue depuis depuis 2004 2004 Cyber Attaques de Juillet - Comprendre le défi Outils d`attaque tres dynamique Le ``bot`` télécharge des fichiers “.exe” qui peuvent non seulement ajouter des fonctionalités mais également fournir de nouvelles cibles Les attaques sont diversifées : HTTP page flood SYN flood UDP flood ICMP flood Des attaques de natures fausses (spoofed - DDoS) and réels (HTTP flood) Attaques hautement distribuées: 20,000-40,000 sources Deni de service du aux HTTP flood targets qui paralisent les pages principales des sites web victimes. Toutes méthodes de limitation du nombre d`utilisateurs bloque completement l`acces au site Débit d`attaque tres elevés Le débit des attaques ont atteint jusqu`a 5-6 Gbps de traffic HTTP entrant en Corée du Sud Cybercrime Trends Hackers motivation change From vandalism to financially-motivated Botnets are the main tool against businesses Organized crime manages cybercrime activities, targeting: Extortion of online businesses Financial fraud Emerging network attacks Attacks that misuse applications and services: Non-vulnerability based attacks Uses legitimate application services for malicious activity Each attack session behaves like a legitimate user transaction Cannot be detected through a static signature because the attack does not exploit a vulnerability in the application Examples: DDoS, HTTP page floods, brute force, application vulnerability scanning… Hackers’ Change in Motivation Vandalism and publicity “Hacktivism” CodeRed (Defacing IIS web servers) Blaster 2001 (Attacking Microsoft web site) Nimda (Installed Trojan) 2001 Storm (Botnet) 2007 Kracken Srizbi (Botnet) (Botnet) 2008 Rustock 2007 (Botnet) 2007 July 2009 Cyber Attacks US & Korea 2003 Agobot Slammer (DoS Botnet) (Attacking SQL websites) 2003 Republican website DoS 2004 2001 Financially motivated 2005 Estonia’s Web Sites DoS 2007 Georgia Web sites DoS 2008 2009 Cyber Crime Organizational Chart Criminal Boss Botnet Crimeware Operator Campaign Managers Flooder Extortion Activism Phishing Spammer Stock Scams Advertisers Data Theft Dump Resellers Your IPS is Vulnerable Page 16 Les services d`un ``IPS`` standard Detection par Signature •• Protection Protection contre contre les les vulnaribilités vulnaribilités applicatives applicatives connues connues •• Exemples: Exemples: Worms, Worms, Trojans, Trojans, vulnérabilités vulnérabilités web web et et courriel, courriel, IPS Standard Feature VoIP, VoIP, etc. etc. Mise-a-jour des Signatures ignatures périodiquement périodiquement •• Afin Afin de de contrer contrer les les nouvelles nouvelles vulnérabilités vulnérabilités découvertes. découvertes. Set Internet Routeur ``In-line`` ``In-line`` IPS Firewall L2/L3 Switch Serveurs web Méchanisme Méchanisme de de Surcharge Surcharge •• Contre Contre les les conditions conditions de de charges charges élevées élevées Page 17 Attaque de déni distribuée (DDoS) typique Command & Control DoS Bot (Infected host) Characteristique de l`attaque BOT Command •• Taux Taux élevé élevé de de Paquets Paquets par par sec. sec. (PPS) (PPS) •• Taux Taux élevé élevé de de connexions connexions par par sec. sec. (CPS) (CPS) •• Paquets en Paquets faible faible en taille taille Scenario Bot-enabled Attack DoS Bot (Infected host) Attacker Interne t Public Server DoS Bot (Infected host) DoS Bot (Infected host) Legitimate User Page 18 Defenses mal adaptées aux nouvelles attaques Pack ension im d d n o c et p er s e DDoS Traffic Max PPS Capacity [PPS] WhyCPU Your IPS is Vulnerable CPU 10%-50% 100% Access Network Security Device Firewal IPS Router l L2/L3 Switch Web Servers ension im d ) s p b ut (G Throughp Your IPS is Vulnerable DDoS Tr affic Max throughput Any can paralyze your network Intrusion Any LBotnet Botnet can paralyze your network Traff ic capacity [Gbps] egitimate Tra ffic Blend protections! protections! Page 19 IPS overload condition: •• Device Device DROPS DROPS packets packets randomly randomly •• Increased Increased latency latency •• Sessions Sessions blocked blocked IPS Vulnerability Threat: Blocking Users CPU 100% Access Network Security Device Firewal IPS Router l L2/L3 Switch Web Servers Your IPS Blocks Users Page 20 • “I was told that the IPS overload mechanism will resolve cases of high volume IPStraffic” Vulnerability Threats: CPU CPU 10%-50% 100% No Network Protection Intrusion the • “But now I understand it simply allows Server Cracking DDoS flux in…” Network Security Device Firewal IPS Web Servers Access Router L2/L3 Switch l – Data Center manager, SafeHosting.com Ltd. IPS overload condition: •• Device Device falls falls into into L2 L2 BYPASS BYPASS mode mode •• All All traffic traffic forwarded! forwarded! •• Signature Signature engine engine bypassed bypassed No network protection! Attacks evade into your network without inspection Page 21 IPS Vulnerability Threat: Summary Block legitimate users • DDoS attacks threatens the on-line industry: – – – • • Dismantle your network protections eCommerce Government Critical infrastructure Existing IPS vendors force you to make compromises that are not acceptable When your network is under attack you need to choose between: Page 22 Conclusion Questions? Page 23
