Stuxnet, Duqu, Flame et autres maliciels - ANAJ
Transcription
Stuxnet, Duqu, Flame et autres maliciels - ANAJ
Stuxnet, Duqu, Flame et autres maliciels : nouvelles armes informatiques ? Laurent Heslault – CISSP, CCSK, CPRM Directeur des Stratégies de Sécurité – Symantec Europe du Sud ANAJ-IHEDN 21 mars 2013 1 Agenda 1 Tendances lourdes 2 Outils et Attaques 3 Anatomie d’une attaque ciblée 4 Contre-mesures 5 Questions & réponses Presentation Identifier Goes Here 2 Agenda 1 Tendances lourdes Presentation Identifier Goes Here 3 Symantec Global Intelligence Network Calgary, Alberta San Francisco, CA Mountain View, CA Culver City, CA Dublin, Ireland Tokyo, Japan Chengdu, China Austin, TX Taipei, Taiwan Chennai, India Pune, India Couverture mondiale Vision et échelle globale Surveillance 24x7 Détection rapide Attaques • >240.000 sondes • près de 200 pays Maliciels • 133 M de clients, serveurs, et passerelles • Global coverage Alertes de sécurité Vulnérabilités • > 35000 vulnérabilités • 11.000 éditeurs • 80.000 technologies Protection de l’information Spam/Phishing • 5M de comptes leurres • > 8 Mds de messages/jour • 1 Md de requêtes web/jour Suivi des menaces 4 Quelques chiffres… 5.5 milliards 403 millions 4.597 4.989 8 315 75% Internet Security Threat Report 17 Nombre d’attaques bloquées +81% Variantes uniques de maliciels +41% Attaques Internet par jour +36% Nouvelles vulnérabilités -20% Vulnérabilités Zero-Day -43% Nouvelles vulnérabilités mobiles +93% Taux de spam -34% 5 World Economic Forum 2013 : Presentation Identifier Goes Here 6 WEF Global Risks Landscape 2013 L.Heslault – ANAJ/IDEDN – 21 mars 2013 Presentation Identifier Goes Here 8 Humain Processus Presentation Identifier Goes Here Technologie 9 Le cube des « cyber-attaques » Le cube des « cyber-attaques » I N F R A S T R U C T U R E I N F O R M A T I O N I D E N T I T É Le cube des « cyber-attaques » Le cube des « cyber-attaques » CLOUD P E R S O N N E S P R O C E S S U S T E C H N O L O G I E S MOBILE SOCIAL Agenda 2 Outils et Attaques Presentation Identifier Goes Here 14 Vers une réelle prise de conscience ? Stuxnet www.premierfutbol.com www.todaysfutbol.com 16 Stuxnet, distribution géographique des infections 70,00 Unique IPs Contact C&C Server (%) 60,00 58,31 50,00 40,00 30,00 17,83 20,00 9,96 10,00 3,40 5,15 1,40 1,16 0,89 0,71 0,61 0,57 MALAYSIA USA UZBEKISTAN RUSSIA GREAT BRITAIN 0,00 IRAN INDONESIA INDIA AZERBAIJAN PAKISTAN OTHERS Plus de 40.000 IPs uniques infectées, depuis plus de 115 pays 17 Stuxnet, ce qui le rend unique Maliciel “classique” Stuxnet Vulnérabilités 0-Day aucune 4 Vulnerabilités peu connues aucune 2 Méthodes de propagation 1 ou 2 7 Attaque autonome Très rarement, télécharge plutôt d’autres maliciels Vols de signatures numériques Jamais. Parfois des faux ou des signatures expirées Oui 2 18 “Sofacy” : attaques visant des cibles militaires • Analyse de 2 documents distincts, soumis par plusieurs organisations militaires Européennes. • Ces documents utilisent des “exploits” pour créer des variantes du même maliciel : Infostealer.Sofacy. Ce code est un cheval de Troie voleur d’information comme des noms d’utilisateurs, mots de passe, frappes clavier, copies d’écrans et certificats. Les données sont ensuite exfiltrées par mail ou internet. • Des menaces similaires avaient déjà été interceptées mi-2010. Ces attaques sont évitables par une stratégie de correctifs basique. 19 Attaques « Nitro » : vol de secrets dans l’industrie chimique • Campagne d’attaques ciblant des entreprises privées principalement impliquées dans la recherche, le développement et la fabrication de produits chimiques et matériels de haute technologie. • Collecter de la propriété intellectuelle industrielle telle que documents de design, formules, et procédés de fabrication. • Début des attaques fin janvier 2011, jusqu’à mi-septembre. Cependant, des éléments de la vague d’attaque tels que les serveurs de Command&Control, avaient déjà été identifiés en avril 2011 lors d’attaques ciblant des industries en dehors de la chimie. 20 Dans la famille Stuxnet, je demande “Duqu” • Un laboratoire de recherche (Crysys) contacte Symantec pour demander confirmation de la découverte d’une nouvelle menace : Nous confirmons les soupçons. • Cette menace utilise du code de Stuxnet ! • Développé pour la capture d’information : – Processus systèmes, details de comptes, domaines – Noms de pilotes, shared drive info, etc – Copies d’écrans (toutes les 30 secondes) , Frappes claviers, informations réseau… • L’analyse actuelle ne montre pas de relation avec les systèmes de contrôles industriels, ou la propagation automatisée • Des executables trouvés dans un nombre restreint d’organisations (notamment dans le domaine de la fourniture de systèmes de contrôles industriels) • Les informations exfiltrées pourraient être utilisées lors d’attaque de type Stuxnet • A suivre… 21 W32.Flamer en bref… • Créé pour le vol d’information • Beaucoup et de tous types (inclus son&vidéo) • Utilise des vulnérabilités anciennes (et corrigées) • Propagation de type “ver”, contrôlée à partir de serveurs de commande&contrôle ainsi que Windows Update • Fenêtre d’attaque : <2010 – 2012 • Faible nombre d’infections, la plupart en : Iran, Israel, Syrie, Cisjordanie, Liban, Soudan… • Très large gamme de fonctionnalités comprises, mais avec possibilités d’extension • Du nouveau: Junction points & Bluetooth • Un long travail d’une équipe très bien organisée, avec notion du “droit d’en connaître”… 22 Shamoon (W32.Disttrack) Au moyen-orient, 2 entreprises du secteur de l’énergie attaquées en très peu de temps Une attaque préparée : • Collecte d’information sur le réseau visé • Acquisition d’identifiants utilisateurs • Obtention d’accès aux contrôleurs de domaines • Déploiement sur les machines du réseau • Déclenchement de la charge destructive Résultat: • Exfiltration d’information • Destruction de 30.000 postes et serveurs 23 Le projet “Elderwood” • Un groupe à l’origine d’attaques ciblées à grande échelle, actif depuis au moins 3 ans • Rendu visible notamment par les attaques visant Google (Aurora, Hydraq) • Encore mieux outillé que les autres groupes : – – – – Nitro : 1 zero day Sykipot : 2 zero days Stuxnet : 4 zero days Elderwood : 8 zero days! • Et 2 vecteurs d’infection – “Spear Phishing” – “Watering hole” “Spear Phishing” 1 2 L’attaquant envoie un message contenant un lien ou un document compromis L’infection s’opère lorsque l’utilisateur ouvre le document ou clique sur le lien http://www.beurk.com 3 La porte dérobée est installée “Watering Hole” IFRAME <html> <html> <iframe> <iframe> <html> </html> <iframe> </html> </html> 2 1 Serveur Web infecté Utilisation en forte croissance en 2012 Steps in Attack 3 Serveur Hébergeant le kit 1 L’attaquant pirate une serveur web légitimé et injecte une “IFRAME” dans les pages 2 L’internaute accède au serveur web 3 Les pages contenant l’IFRAME pointent vers le serveur hébergeant le kit d’attaque Cibles et distribution Les autres cibles sont des moyens d’atteindre la cible principale. Défense La plupart des cibles font partie de l’écosystème des industries de défense… ONG Shipping Finance Logiciel Armement Industrie Nombres d’infections détectées par pays Aeronautique Energie Recherche Electronique Le groupe et ses motivations • Les attaquant visent la propriété intellectuelle • Ils sont très organisés, très compétents et bien structurés • Vu l’échelle et la durée des opérations, les attaquants sont vraisemblablement bien financés • Probablement une organisation criminelle importante, un groupe supporté par un état, ou un état lui-même. Sans oublier… • Sykipot – Prendre le contrôle de machines appartenant à des dirigeants, principalement dans les secteurs Défense, Télécoms, Chimie, Energie, Gouvernements et constructeurs de matériels informatique. – http://www.symantec.com/security_response/writeup.jsp?docid=2010031015-0224-99 • Narilam – Rechercher des bases de données MS/SQL, puis des mots clés, dont certains sont en persan. Remplacer certaines données par des valeurs aléatoires et suppression de champs. Les attaques visent les commandes, la comptabilité ou les systèmes de gestion clientèle de l'entreprises.… – http://www.symantec.com/security_response/writeup.jsp?docid=2012111516-3751-99 • ETC… 29 Tout chaud : « JOKRA » • Pays : Corée du Sud • Cibles : – 3 chaines de télévision – 2 banques – 1 telco • Effet : – Défacement de serveurs – 32.000 machines effacées • A noter : – Machines Linux&Unix visées ! • Source ? http://www.symantec.com/security_response/writeup.jsp?docid=2013-032014-2531-99 30 L’adware globe-trotteur Etape 2. Seattle, WA Lors de la navigation sur un site enregistré pour une société de Seattle, une vulnérablité connue est exploitée et un fichier est placé dans le répertoire racine de la machine. X X X Etape 4. Kiev, Ukraine Le script est issu d’un site personnel Ukrainien. Ce schéma est utilisé pour protéger le serveur qui délivre les “popups” publicitaires X X X Etape 7. Yerevan, Arménie Etape 1. Los Angeles Le contact du site web n’est pas a Navigation sur le web avec Internet ExplorerSydney,mais à Yérévan en Arménie ou sur un système Windows. la trace est perdue… Etape 6. Houston, Texas 5. Guatemala City, Guatemala Le contactEtape de la companie Les “Pop-ups” commencent à apparaître. Guatemaltèque est basé à Houston au Les publicités sont à Sydney , Texas. Des essais pour joindre le hébergées site par une companie du Guatemala. de la personne (basé sur l’adresse mail), renvoient vers le mêmeEtape 3. Sydney, Australie hébergeur Australien à Sydney. Le programme détourne le navigateur et télécharge un script depuis un site hébergé en Australie. X Les organisations de toutes tailles sont ciblées 18% 32 Attaques ciblées par secteur d’activité Government & Public Sector Manufacturing Finance IT Services Chemical & Pharmaceutical Transport & Utilities Non-Profit Marketing & Media Education Retail 33 Attaques ciblées par fonction Internet Security Threat Report 17 34 Attaques identifiées du 1ier au 15 mars… Presentation Identifier Goes Here 35 Agenda 3 Anatomie d’une attaque ciblée Presentation Identifier Goes Here 36 Attaques ciblées et/ou “Advanced Persistant Threats” ? Targeted Attacks Une “APT” est toujours une attaque ciblée, mais une attaque ciblée n’est pas nécessairement une APT. Attaques ciblées APTs 37 Définir une “APT” : Qu’est-ce qu’une “Menace Persistante Avancée” ? • • • • Une campagne active, ciblée et long terme Peut utiliser des techniques de renseignement classiques (écoutes…) Tente de rester indétectée le plus longtemps possible (low&slow) Comprend des menaces mulitples et possède plusieurs moyens de contrôle pour assurer le succés • Mute et s’adapte pour contourner les détections et mesures de sécurité Ce que ce n’est pas : • Une attaque simple (DDoS, drive-by download, SQL injection, etc.) • Un “raid éclair” de cyber-criminels cherchant l’argent facile • Pas simplement un maliciel 38 Anatomie d’une attaque ciblée 1 3 2 4 INCURSION DECOUVERTE CAPTURE EXFILTRATION L’attaquant s’introduit via un message, un maliciel spécifique, des droits usurpés ou une injection SQL, une vulnérabilité 0-day… Cartographie des réseaux et systèmes Accès aux données sur les systèmes vulnérables Recherche des données systèmes ou confidentielles Installation de maliciels (rootkits) pour capturer les données Les données confidentielles sont envoyées vers l’équipe de cybercriminels, en clair, chiffrées et/ou compressées. 39 39 0 Reconnaissance: 40 1 Incursion : But Accès aux personnes et/ou à l’organisation Attaques ciblées •Ingéniérie sociale, basée sur de l’information publique. • “Spear phishing”, “whaling” APT : Création d’une “tête de pont” d’où lancer les prochaines “campagnes” • vulnérabilités connues Advanced Persistant Threat Mêmes méthodes, plus: • Reconnaissance pointue; utilisation de sources “non publiques” •Technique d’ingéniérie sociales innovantes • kits d’attaque •Des vulnérabilités 0-day • automatisation possible •Jamais automatisé Contre-mesures : •Éducation des personnes à risque •Surveillance de sources externes •Évaluation du niveau de vulnérabilité •Application des correctifs •Détection de maliciels « uniques » 41 2 Découverte : But Attaques ciblées Identifier les systèmes, localiser les informations, éviter la détection APT : S’assurer du succès de l’opération • Exploiter les données systèmes exposées à tort • Tirer parti des réseaux non ou mal contrôlés •Ainsi que des mots de passe trop faibles… Advanced Persistant Threat Mêmes méthodes, plus : •Examen en profondeur des systèmes infectés •Exploitation de vulnérabilités •Récupération de mots de passe et autres références • Déploiement de plusieurs menaces et “chaines de commande” • Enracinement et furtivité Contre-mesures : •Surveillance des sources internes •Validation des politiques de sécurité (mots de passe, ACL…) •Détection des incidents de sécurité récurrents •Corrélation et remédiation 42 3 Capture : But Attaques ciblées Sélectionner les cibles en se basant sur la valeur des données et les mesures de sécurité en place • Exploitation de données confidentielles stockées de manière inappropriée ou sans contrôle en place Advanced Persistant Threat Mêmes méthodes, plus : •Évaluation et capture permanente •Analyse manuelle des données APT : •Occupation à long terme •Perturbation d’opérations physiques Contre-mesures : •Localisation et classification de l’information sensible •Chiffrement (conditionnel) •Détection des maliciels “uniques” •Elimination des “rootkits” 43 4 Exfiltration : But Attaques ciblées Extraire rapidement les données de l’organisation visée APT: Maintenir le contrôle jusqu’à la fin de la “mission” •Messagerie •FTP •Réseaux P2P •Périphériques USB •“Clear text” •Wifi Advanced Persistant Threat Mêmes méthodes, plus : •Applications de type TOR •Chiffrement •Stéganographie Contre-mesures : •Surveillance/blocage des communications sortantes •Détection des flux atypiques •Filtrage des contenus sortants 44 Agenda 4 Contre-mesures Presentation Identifier Goes Here 45 Tout approche doit adresser les 3 dimensions : PERSONNE PROCESSUS TECHNOLOGIE Besoin de formation, de gestion des incidents, technologies adaptées, et d’une vision globale du fonctionnement. 46 Se défendre contre les APTs : Mythes et réalité ??? ! MYTHE RÉALITÉ • Ce qui a fonctionné par le passé peut bloquer une APT • Une seule technologie peut arrêter une APT • Se défendre contre les maliciels inconnus stoppe les APTs • L’éducation des collaborateurs est suffisant • La défense en profondeur est clé – pas de miracle… • Le maliciel est juste une composante d’une APT • Les individus seront toujours le maillon faible 47 En résumé 1 3 2 4 INCURSION DECOUVERTE CAPTURE EXFILTRATION •Éducation des personnes à risque •Surveillance des sources internes •Localisation et classification de l’information sensible •Conformité des règles de communication •Surveillance de sources externes •Validation des politiques de sécurité (mots de passe, ACL…) •Évaluation du niveau de vulnérabilité •Application des correctifs •Détection de maliciels « uniques » •Détection des incidents de sécurité récurrents •Corrélation et remédiation •Chiffrement (conditionnel) •Surveillance/blocage des communications sortantes •Détection des maliciels “uniques” •Détection des flux atypiques •Détection et élimination des “rootkits” •Filtrage des contenus sortants 48 Fonctions de Lutte Informatique Défensive© Fonctions Humain (qui) Technologie (quoi) Processus (comment) Intelligence Rechercher Etudier Publier Trouver/capturer Catégoriser/stocker Aggreger/correler Collecter Analyser Cartographier Prévention Recruter Former Entraîner Définir Concevoir Maintenir Evaluer les intérêts vitaux Analyser les risques Définir/appliquer les politiques Détection Rechercher Identifier Renseigner Surveiller Analyser Alerter Orienter Informer Décider Réaction Appliquer Rendre compte Justifier Stopper Remédier Restaurer Communiquer Suivre la situation Evaluer les impacts Contrôle Aptitude Performance Fiabilité Homologation Tests Audits Conformité Validité Amélioration 49 Littérature… 50 De nombreuses informations sont disponibles… L.Heslault – ANAJ/IDEDN – 21 mars 2013 51 A surveiller… • VoIP • Réseaux sociaux • « Dark» Clouds • Virtualisation • Identité (certificats) • SSL/TLS • IPv6 • BGP (Border Gateway Protocol) • SCADA • Smart Grid • Stéganographie • IP-BX • BYOD • Monnaies Mobiles • AppStore ou Marketplace • APK, IPA… • MEAP • Firmware • Objets connectés • QR codes • Toolkits •… 52 Agenda 5 Questions & réponses Presentation Identifier Goes Here 53 Merci de votre attention ! [email protected] @helloblog Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 54