Attaques APT appliquées aux environnements bancaires & SCADA

Transcription

1 Attaques APT appliquées aux environnements bancaires & SCADA Conférence présentée par Vincent LECLERC Responsable service consulting et avant-vente Kaspersky Lab France et Afrique du Nord Cette conférence vous est offerte par l Association Algérienne de la Sécurité des Systèmes d Information Rejoigniez-nous

2 Environnements bancaires Slide 2

3 TYUPKIN Manipulation d un ATM via un malware Slide 3

4 Particularités Tlemcen mars ATMs touchés en Russie Fabricant ATM : NCR fonctionnant sous Windows 32 bits Malware installé via un CD de boot Fonctionnement : Actif entre 1h et 5h du matin Utilisation d un code pour accéder à l ATM Menu permettant de choisir le bac de billet Récupération de 40 billets Slide 4

5 Commandes Tlemcen mars affichage de la fenêtre de menu du malware suppression à l aide d un fichier batch extension de l activation de 01:00 AM à 10:00 AM fermeture du menu Utilisation d un code de session «challenge/response» Slide 5

6 Slide 6

7 CARBANAK Slide 7

8 Résumé Tlemcen mars banques touchées (Russie, USA, Allemagne, Chine et Ukraine) Des pirates situés en Russie et en Chine 1 Milliard $ volés Entre 2,5 et 10 Millions $ par cible Durée des opérations entre 2 et 4 mois Slide 8

9 Méthodes d infection (Etape 1) Tlemcen mars 2015 Utilisation du spear phishing Exploitation de vulnérabilités Microsoft Office Installation d une Backdoor (basée sur Carberp) Recherche des cibles avec accès aux systèmes critiques financiers Exploits utilisés: Microsoft Office (CVE ),CVE ) et Microsoft Word (CVE ). Copie %system32%\com avec le nom svchost.exe + création service <ServiceName>Sys.bin créé dans %COMMON_APPDATA%\Mozilla Récupération configuration proxy registre Windows ou config Firefox RAT: Ammyy Admin, Backdoor SSH, Metasploit, PsExec or Mimikatz Slide 9

10 Etude de la banque (Etape 2) Tlemcen mars 2015 Contrôle à distance Enregistreurs de frappes Outils de capture d écran Etude pas à pas des outils financiers Formation en ligne ou transfert de compétence Slide 10

11 Vol (étape 3) Tlemcen mars 2015 Transfert d argent via le réseau SWIFT Manipulation des BD : Création de faux comptes bancaires Utilisation de l équilibrage des comptes Commande à distance DAB Slide 11

12 Slide 12

13 GREAT TEAM Sergey Golovanov et Sergey Lozhkin Tlemcen mars 2015 Slide 13

14 Environnements industriels Slide 14

15 Types d incidents Tlemcen mars 2015 Infections accidentelles par malware traditionnel Action interne Attaques ciblées (incluant les APT) Slide 15

16 Energetic Bear / Crouching Yeti GREAT Team Nicolas BRULEZ Slide 16

17 Campagne APT depuis 2010, victimes Energie, usines pharmaceutiques, fabrications Propagations : s + Adobe Flash exploit (CVE ) Sites webs légitimes infectés (watering hole) Paquets d installation légitimes infectés Sites webs légitimes compromis agissant comme C2C Outils : trojans (Havex), backdoors and exploit packs Slide 17

18 Exemples paquets infectés : ewon Développeur de logiciels et d équipements réseau SCADA (Belgique) MB Connect Line GmbH Développeur de logiciel de contrôle à distance PLC (Allemagne) "MESA Imaging AG" Fabricant de caméras 3D ultra-rapides et sondes (Suisse) Slide 18

19 Watering hole Tlemcen mars 2015 gse.com.ge - Georgian State Electrosystem gamyba.le.lt entreprise d électricité en Lituanie chariotoilandgas.com - Chariot Oil and Gas Ltd - Exploration longreachoilandgas.com - Longreach Oil & Gas Ltd Exploration vitogaz.com Distributeur, fournisseur et développeur de gaz en France Slide 19

20 Slide 20

21 List des ports utilisés pour découvrir les serveurs OPC : Modbus Siemens PLC Measuresoft ScadaPro Technologies IGSS SCADA Rockwell Rslinx / FactoryTalk Slide 21

22 Slide 22

23 List des ports utilisés pour découvrir les serveurs OPC : Modbus Siemens PLC Measuresoft ScadaPro Technologies IGSS SCADA Rockwell Rslinx / FactoryTalk Slide 23

24 US ICS-CERT report (ICSA ) Tlemcen mars 2015 In particular, the payload gathers server information that includes CLSID, server name, Program ID, OPC version, vendor information, running state, group count, and server bandwidth. In addition to more generic OPC server information, the Havex payload also has the capability of enumerating OPC tags. ICS-CERT testing has determined that the Havex payload has caused multiple common OPC platforms to intermittently crash. This could cause a denial of service effect on applications reliant on OPC communications. ping of death Slide 24

25 Miancha GREAT Team

26 Monju Nuclear Power Plant Tlemcen mars janvier 2014 : Multiples connections de l un des 8 PC du centre de contrôle Installation de lecteur GOM Media Player (5 jours avant) 42,000+ mails et documents compromis. Slide 26

27 BlackEnergy 2 GREAT Team

28 Slide 28

29 Windows plugins Tlemcen mars 2015 fs File search, network and system ps Password collector (stealer) ss Screenshot maker vsnet Network spreading via RDP rd Remote desctop scan Port Scan jn File infector cert Digital certificate stealer grc Backup communication channel via plus.google.com sn Network traffic credential (login:password )extractor usb USB drives information collector Slide 29

30 Modules Linux Tlemcen mars 2015 Slide 30

31 Slide 31

32 CnC Server <plugins> <plugin> <name>plugin_win</name> <version>3</version> </plugin> <plugin> <name>plugin_mps</name> <version>1</version> </plugin> </plugins> Slide 32

33 Slide 33

34 Scénario d attaque: espionnage Tlemcen mars 2015

35 Infiltrations: Réseau entreprise Employés Sous-traitant Ressources : Hacker Ingénieur Développeur logiciel SCADA Matériel Temps Slide 35

36 Slide 36

37 Slide 37

38 Slide 38

39 Red October / Cloud Atlas Tlemcen mars 2015 Slide 39

40 FANNY Equation group

41 Même exploit CVE que Stuxnet Utilisé en 2008 OS: Windows NT 4.0 Windows 2000 Windows XP Windows 2003 Windows Vista, 2008 Slide 41

42 Slide 42

43 Rootkit shelldoc.dll Slide 43

44 Hexdump de la partition du disque Tlemcen mars 2015 Slide 44

45 Module nls_933w.dll Tlemcen mars 2015 HDD/SSD firmware operation Slide 45

46 Great Team : Igor Sumenkov, Sergery Mineev, Vitaliy Kamlyuk, Costin Raiu. Slide 46

47 Principales découvertes Tlemcen mars Slide 47

48 Conclusions Comment se protéger Slide 48

49 Exemple d une attaque Principe de base Tlemcen mars 2015 Watering hole Sites web légitimes Employé O-Day Exploit Pirate Réseaux sociaux Lien Social engineering Slide 49

50 Réseau entreprise Système attaqué HIPS-IPS FIREWALL HIPS-IPS FIREWALL PROTECTION Tlemcen mars 2015 Lien Contrôle Web Serveur de contrôle et commandes Infos sensibles IPS Infos sensibles HIPS AEP Exploit Shellcode Navigateur web IExplorer.exe Lien Code Client-serveur Contrôle d application Backdoor, RAT, Trojan-Spy, NetScanner IPS IPS IPS Slide 50

51 Scanners de vulnérabilités & Gestion des correctifs Listes blanches applications Sondes IPS/IDS Host IPS Réputation fichiers et web Contrôle des périphériques Segmentation des réseaux SIEM Mots de passe Changer / masquer les en-têtes des services Pen Testing Slide 51

52 Formation et sensibilisation Slide 52

53 NIST Cybersecurity Framework (02/2014): PCI-DSS : Kill chain Slide 53

54 Merci! Vincent LECLERC Responsable Service Consulting et Avant-Vente Kaspersky Lab France et Afrique du Nord Slide 54