Stuxnet, Duqu, Flame et autres maliciels - ANAJ

Stuxnet, Duqu, Flame et autres maliciels :
nouvelles armes informatiques ?
Laurent Heslault – CISSP, CCSK, CPRM
Directeur des Stratégies de Sécurité – Symantec Europe du Sud
ANAJ-IHEDN 21 mars 2013
1
Agenda
1
Tendances lourdes
2
Outils et Attaques
3
Anatomie d’une attaque ciblée
4
Contre-mesures
5
Questions & réponses
Presentation Identifier Goes Here
2
Agenda
1
Tendances lourdes
Presentation Identifier Goes Here
3
Symantec Global Intelligence Network
Calgary, Alberta
San Francisco, CA
Mountain View, CA
Culver City, CA
Dublin, Ireland
Tokyo, Japan
Chengdu, China
Austin, TX
Taipei, Taiwan
Chennai, India
Pune, India
Couverture mondiale
Vision et échelle globale
Surveillance 24x7
Détection rapide
Attaques
• >240.000 sondes
• près de 200 pays
Maliciels
• 133 M de clients,
serveurs, et passerelles
• Global coverage
Alertes de sécurité
Vulnérabilités
• > 35000 vulnérabilités
• 11.000 éditeurs
• 80.000 technologies
Protection de l’information
Spam/Phishing
• 5M de comptes leurres
• > 8 Mds de messages/jour
• 1 Md de requêtes web/jour
Suivi des menaces
4
Quelques chiffres…
5.5 milliards
403 millions
4.597
4.989
8
315
75%
Internet Security Threat Report 17
Nombre d’attaques bloquées
+81%
Variantes uniques de maliciels
+41%
Attaques Internet par jour
+36%
Nouvelles vulnérabilités
-20%
Vulnérabilités Zero-Day
-43%
Nouvelles vulnérabilités
mobiles
+93%
Taux de spam
-34%
5
World Economic Forum 2013 :
Presentation Identifier Goes Here
6
WEF Global Risks Landscape 2013
L.Heslault – ANAJ/IDEDN – 21 mars 2013
Presentation Identifier Goes Here
8
Humain
Processus
Presentation Identifier Goes Here
Technologie
9
Le cube des « cyber-attaques »
Le cube des « cyber-attaques »
I
N
F
R
A
S
T
R
U
C
T
U
R
E
I
N
F
O
R
M
A
T
I
O
N
I
D
E
N
T
I
T
É
Le cube des « cyber-attaques »
Le cube des « cyber-attaques »
CLOUD
P
E
R
S
O
N
N
E
S
P
R
O
C
E
S
S
U
S
T
E
C
H
N
O
L
O
G
I
E
S
MOBILE
SOCIAL
Agenda
2
Outils et Attaques
Presentation Identifier Goes Here
14
Vers une réelle prise de conscience ?
Stuxnet
www.premierfutbol.com
www.todaysfutbol.com
16
Stuxnet, distribution géographique des infections
70,00
Unique IPs Contact C&C Server (%)
60,00
58,31
50,00
40,00
30,00
17,83
20,00
9,96
10,00
3,40
5,15
1,40
1,16
0,89
0,71
0,61
0,57
MALAYSIA
USA
UZBEKISTAN
RUSSIA
GREAT
BRITAIN
0,00
IRAN
INDONESIA
INDIA
AZERBAIJAN PAKISTAN
OTHERS
Plus de 40.000 IPs uniques infectées, depuis plus de 115 pays
17
Stuxnet, ce qui le rend unique
Maliciel “classique”
Stuxnet
Vulnérabilités 0-Day
aucune
4
Vulnerabilités peu connues
aucune
2
Méthodes de propagation
1 ou 2
7
Attaque autonome
Très rarement,
télécharge plutôt
d’autres maliciels
Vols de signatures numériques
Jamais. Parfois des
faux ou des signatures
expirées
Oui
2
18
“Sofacy” : attaques visant des cibles militaires
• Analyse de 2 documents distincts, soumis par plusieurs organisations militaires
Européennes.
• Ces documents utilisent des “exploits” pour
créer des variantes du même maliciel :
Infostealer.Sofacy. Ce code est un cheval de
Troie voleur d’information comme des noms
d’utilisateurs, mots de passe, frappes clavier,
copies d’écrans et certificats. Les données sont
ensuite exfiltrées par mail ou internet.
• Des menaces similaires avaient déjà été
interceptées mi-2010. Ces attaques sont
évitables par une stratégie de correctifs basique.
19
Attaques « Nitro » : vol de secrets
dans l’industrie chimique
• Campagne d’attaques ciblant des entreprises
privées principalement impliquées dans la
recherche, le développement et la
fabrication de produits chimiques et
matériels de haute technologie.
• Collecter de la propriété intellectuelle
industrielle telle que documents de design,
formules, et procédés de fabrication.
• Début des attaques fin janvier 2011, jusqu’à
mi-septembre. Cependant, des éléments de
la vague d’attaque tels que les serveurs de
Command&Control, avaient déjà été
identifiés en avril 2011 lors d’attaques
ciblant des industries en dehors de la chimie.
20
Dans la famille Stuxnet, je demande “Duqu”
• Un laboratoire de recherche (Crysys) contacte Symantec pour demander
confirmation de la découverte d’une nouvelle menace : Nous confirmons les
soupçons.
• Cette menace utilise du code de Stuxnet !
• Développé pour la capture d’information :
– Processus systèmes, details de comptes, domaines
– Noms de pilotes, shared drive info, etc
– Copies d’écrans (toutes les 30 secondes) , Frappes claviers, informations réseau…
• L’analyse actuelle ne montre pas de relation avec les systèmes de contrôles
industriels, ou la propagation automatisée
• Des executables trouvés dans un nombre restreint d’organisations (notamment
dans le domaine de la fourniture de systèmes de contrôles industriels)
• Les informations exfiltrées pourraient être utilisées lors d’attaque de type Stuxnet
• A suivre…
21
W32.Flamer en bref…
• Créé pour le vol d’information
• Beaucoup et de tous types (inclus son&vidéo)
• Utilise des vulnérabilités anciennes (et corrigées)
• Propagation de type “ver”, contrôlée à partir de serveurs de
commande&contrôle ainsi que Windows Update
• Fenêtre d’attaque : <2010 – 2012
• Faible nombre d’infections, la plupart en :
Iran, Israel, Syrie, Cisjordanie, Liban, Soudan…
• Très large gamme de fonctionnalités comprises, mais avec possibilités
d’extension
• Du nouveau: Junction points & Bluetooth
• Un long travail d’une équipe très bien organisée, avec notion du “droit
d’en connaître”…
22
Shamoon (W32.Disttrack)
Au moyen-orient, 2 entreprises du secteur de
l’énergie attaquées en très peu de temps
Une attaque préparée :
• Collecte d’information sur le réseau visé
• Acquisition d’identifiants utilisateurs
• Obtention d’accès aux contrôleurs de domaines
• Déploiement sur les machines du réseau
• Déclenchement de la charge destructive
Résultat:
• Exfiltration d’information
• Destruction de 30.000 postes et serveurs
23
Le projet “Elderwood”
• Un groupe à l’origine d’attaques ciblées à grande échelle, actif
depuis au moins 3 ans
• Rendu visible notamment par les attaques visant Google
(Aurora, Hydraq)
• Encore mieux outillé que les autres groupes :
–
–
–
–
Nitro : 1 zero day
Sykipot : 2 zero days
Stuxnet : 4 zero days
Elderwood : 8 zero days!
• Et 2 vecteurs d’infection
– “Spear Phishing”
– “Watering hole”
“Spear Phishing”
1
2
L’attaquant envoie
un message
contenant un lien
ou un document
compromis
L’infection s’opère
lorsque
l’utilisateur ouvre
le document ou
clique sur le lien
http://www.beurk.com
3
La porte dérobée
est installée
“Watering Hole”
IFRAME
<html>
<html>
<iframe>
<iframe>
<html>
</html>
<iframe>
</html>
</html>
2
1
Serveur Web infecté
Utilisation en
forte croissance
en 2012
Steps in Attack
3
Serveur Hébergeant le kit
1
L’attaquant pirate une serveur web légitimé et injecte
une “IFRAME” dans les pages
2
L’internaute accède au serveur web
3
Les pages contenant l’IFRAME pointent vers le
serveur hébergeant le kit d’attaque
Cibles et distribution
Les autres cibles sont
des moyens d’atteindre
la cible principale.
Défense
La plupart des cibles font
partie de l’écosystème des
industries de défense…
ONG
Shipping
Finance
Logiciel
Armement
Industrie
Nombres d’infections
détectées par pays
Aeronautique
Energie
Recherche
Electronique
Le groupe et ses motivations
• Les attaquant visent la propriété
intellectuelle
• Ils sont très organisés, très compétents et
bien structurés
• Vu l’échelle et la durée des opérations, les
attaquants sont vraisemblablement bien
financés
• Probablement une organisation criminelle
importante, un groupe supporté par un
état, ou un état lui-même.
Sans oublier…
• Sykipot
– Prendre le contrôle de machines appartenant à des
dirigeants, principalement dans les secteurs Défense,
Télécoms, Chimie, Energie, Gouvernements et
constructeurs de matériels informatique.
– http://www.symantec.com/security_response/writeup.jsp?docid=2010031015-0224-99
• Narilam
– Rechercher des bases de données MS/SQL, puis des
mots clés, dont certains sont en persan. Remplacer
certaines données par des valeurs aléatoires et
suppression de champs. Les attaques visent les
commandes, la comptabilité ou les systèmes de
gestion clientèle de l'entreprises.…
– http://www.symantec.com/security_response/writeup.jsp?docid=2012111516-3751-99
• ETC…
29
Tout chaud : « JOKRA »
• Pays : Corée du Sud
• Cibles :
– 3 chaines de télévision
– 2 banques
– 1 telco
• Effet :
– Défacement de serveurs
– 32.000 machines effacées
• A noter :
– Machines Linux&Unix visées !
• Source ?
http://www.symantec.com/security_response/writeup.jsp?docid=2013-032014-2531-99
30
L’adware globe-trotteur
Etape 2. Seattle, WA
Lors de la navigation sur un site
enregistré pour une société de Seattle,
une vulnérablité connue est exploitée et
un fichier est placé dans le répertoire
racine de la machine.
X
X
X
Etape 4. Kiev, Ukraine
Le script est issu d’un site personnel
Ukrainien. Ce schéma est utilisé pour
protéger le serveur qui délivre les “popups” publicitaires
X
X
X
Etape 7. Yerevan, Arménie
Etape 1. Los Angeles
Le contact du site web n’est pas a
Navigation sur le web avec Internet ExplorerSydney,mais à Yérévan en Arménie ou
sur un système Windows.
la trace est perdue…
Etape 6. Houston, Texas
5. Guatemala City, Guatemala
Le contactEtape
de la companie
Les
“Pop-ups”
commencent
à apparaître.
Guatemaltèque est basé à Houston
au
Les publicités
sont
à Sydney ,
Texas. Des essais
pour joindre
le hébergées
site
par
une
companie
du
Guatemala.
de la personne (basé sur l’adresse
mail), renvoient vers le mêmeEtape 3. Sydney, Australie
hébergeur Australien à Sydney.
Le programme détourne le navigateur
et télécharge un script depuis un site
hébergé en Australie.
X
Les organisations de toutes tailles sont ciblées
18%
32
Attaques ciblées par secteur d’activité
Government & Public Sector
Manufacturing
Finance
IT Services
Chemical & Pharmaceutical
Transport & Utilities
Non-Profit
Marketing & Media
Education
Retail
33
Attaques ciblées par fonction
Internet Security Threat Report 17
34
Attaques identifiées
du 1ier au 15 mars…
Presentation Identifier Goes Here
35
Agenda
3
Anatomie d’une attaque ciblée
Presentation Identifier Goes Here
36
Attaques ciblées et/ou “Advanced Persistant Threats” ?
Targeted Attacks
Une “APT” est toujours une
attaque ciblée,
mais une attaque ciblée
n’est pas nécessairement
une APT.
Attaques
ciblées
APTs
37
Définir une “APT” :
Qu’est-ce qu’une “Menace Persistante Avancée” ?
•
•
•
•
Une campagne active, ciblée et long terme
Peut utiliser des techniques de renseignement classiques (écoutes…)
Tente de rester indétectée le plus longtemps possible (low&slow)
Comprend des menaces mulitples et possède plusieurs moyens de
contrôle pour assurer le succés
• Mute et s’adapte pour contourner les détections et mesures de sécurité
Ce que ce n’est pas :
• Une attaque simple (DDoS, drive-by download, SQL injection, etc.)
• Un “raid éclair” de cyber-criminels cherchant l’argent facile
• Pas simplement un maliciel
38
Anatomie d’une attaque ciblée
1
3
2
4
INCURSION
DECOUVERTE
CAPTURE
EXFILTRATION
L’attaquant s’introduit
via un message, un
maliciel spécifique,
des droits usurpés ou
une injection SQL, une
vulnérabilité 0-day…
Cartographie des
réseaux et systèmes
Accès aux données sur
les systèmes vulnérables
Recherche des
données systèmes ou
confidentielles
Installation de maliciels
(rootkits) pour capturer
les données
Les données
confidentielles sont
envoyées vers l’équipe
de cybercriminels, en
clair, chiffrées et/ou
compressées.
39
39
0
Reconnaissance:
40
1
Incursion :
But
Accès aux personnes
et/ou à l’organisation
Attaques ciblées
•Ingéniérie sociale, basée sur
de l’information publique.
• “Spear phishing”, “whaling”
APT :
Création d’une “tête de
pont” d’où lancer les
prochaines “campagnes”
• vulnérabilités connues
Advanced Persistant Threat
Mêmes méthodes, plus:
• Reconnaissance pointue; utilisation de
sources “non publiques”
•Technique d’ingéniérie sociales
innovantes
• kits d’attaque
•Des vulnérabilités 0-day
• automatisation possible
•Jamais automatisé
Contre-mesures :
•Éducation des personnes à risque
•Surveillance de sources externes
•Évaluation du niveau de vulnérabilité
•Application des correctifs
•Détection de maliciels « uniques »
41
2
Découverte :
But
Attaques ciblées
Identifier les systèmes,
localiser les informations,
éviter la détection
APT :
S’assurer du succès de
l’opération
• Exploiter les données
systèmes exposées à tort
• Tirer parti des réseaux
non ou mal contrôlés
•Ainsi que des mots de
passe trop faibles…
Advanced Persistant Threat
Mêmes méthodes, plus :
•Examen en profondeur des systèmes
infectés
•Exploitation de vulnérabilités
•Récupération de mots de passe et autres
références
• Déploiement de plusieurs menaces et
“chaines de commande”
• Enracinement et furtivité
Contre-mesures :
•Surveillance des sources internes
•Validation des politiques de sécurité (mots de passe, ACL…)
•Détection des incidents de sécurité récurrents
•Corrélation et remédiation
42
3
Capture :
But
Attaques ciblées
Sélectionner les cibles en se
basant sur la valeur des
données et les mesures de
sécurité en place
• Exploitation de données
confidentielles stockées de
manière inappropriée ou
sans contrôle en place
Advanced Persistant Threat
Mêmes méthodes, plus :
•Évaluation et capture permanente
•Analyse manuelle des données
APT :
•Occupation à long terme
•Perturbation d’opérations
physiques
Contre-mesures :
•Localisation et classification de l’information sensible
•Chiffrement (conditionnel)
•Détection des maliciels “uniques”
•Elimination des “rootkits”
43
4
Exfiltration :
But
Attaques ciblées
Extraire rapidement les
données de l’organisation
visée
APT:
Maintenir le contrôle
jusqu’à la fin de la “mission”
•Messagerie
•FTP
•Réseaux P2P
•Périphériques USB
•“Clear text”
•Wifi
Advanced Persistant Threat
Mêmes méthodes, plus :
•Applications de type TOR
•Chiffrement
•Stéganographie
Contre-mesures :
•Surveillance/blocage des
communications sortantes
•Détection des flux atypiques
•Filtrage des contenus sortants
44
Agenda
4
Contre-mesures
Presentation Identifier Goes Here
45
Tout approche doit adresser les 3 dimensions :
PERSONNE
PROCESSUS
TECHNOLOGIE
Besoin de formation, de gestion des incidents, technologies
adaptées, et d’une vision globale du fonctionnement.
46
Se défendre contre les APTs : Mythes et réalité
???
!
MYTHE
RÉALITÉ
• Ce qui a fonctionné par le passé peut bloquer une
APT
• Une seule technologie peut arrêter une APT
• Se défendre contre les maliciels inconnus stoppe
les APTs
• L’éducation des collaborateurs est suffisant
• La défense en profondeur est clé – pas de
miracle…
• Le maliciel est juste une composante d’une APT
• Les individus seront toujours le maillon faible
47
En résumé
1
3
2
4
INCURSION
DECOUVERTE
CAPTURE
EXFILTRATION
•Éducation des
personnes à risque
•Surveillance des
sources internes
•Localisation et
classification de
l’information sensible
•Conformité des règles
de communication
•Surveillance de
sources externes
•Validation des
politiques de sécurité
(mots de passe, ACL…)
•Évaluation du niveau
de vulnérabilité
•Application des
correctifs
•Détection de
maliciels « uniques »
•Détection des
incidents de sécurité
récurrents
•Corrélation et
remédiation
•Chiffrement
(conditionnel)
•Surveillance/blocage
des communications
sortantes
•Détection des maliciels
“uniques”
•Détection des flux
atypiques
•Détection et
élimination des
“rootkits”
•Filtrage des contenus
sortants
48
Fonctions de Lutte Informatique Défensive©
Fonctions
Humain
(qui)
Technologie
(quoi)
Processus
(comment)
Intelligence
Rechercher
Etudier
Publier
Trouver/capturer
Catégoriser/stocker
Aggreger/correler
Collecter
Analyser
Cartographier
Prévention
Recruter
Former
Entraîner
Définir
Concevoir
Maintenir
Evaluer les intérêts vitaux
Analyser les risques
Définir/appliquer les politiques
Détection
Rechercher
Identifier
Renseigner
Surveiller
Analyser
Alerter
Orienter
Informer
Décider
Réaction
Appliquer
Rendre compte
Justifier
Stopper
Remédier
Restaurer
Communiquer
Suivre la situation
Evaluer les impacts
Contrôle
Aptitude
Performance
Fiabilité
Homologation
Tests
Audits
Conformité
Validité
Amélioration
49
Littérature…
50
De nombreuses informations sont disponibles…
L.Heslault – ANAJ/IDEDN – 21 mars 2013
51
A surveiller…
• VoIP
• Réseaux sociaux
• « Dark» Clouds
• Virtualisation
• Identité (certificats)
• SSL/TLS
• IPv6
• BGP (Border Gateway
Protocol)
• SCADA
• Smart Grid
• Stéganographie
• IP-BX
• BYOD
• Monnaies Mobiles
• AppStore ou Marketplace
• APK, IPA…
• MEAP
• Firmware
• Objets connectés
• QR codes
• Toolkits
•…
52
Agenda
5
Questions & réponses
Presentation Identifier Goes Here
53
Merci de votre attention !
[email protected]
@helloblog
Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
54