Vos sites Webs favoris sont compromis!

Transcription

1 Vos sites Webs favoris sont compromis! Julien Sobrier Senior Security Researcher, Zscaler

2 Introduction Julien Sobrier San Jose, Californie Senior Security Researcher a Zscaler outils gratuits de sécurité, vidéos, présentations, etc. blog sur la sécurité web vérifier si une page est malicieuse

3 Les raisons pour cette présentation 70% des liens malicieux proviennent de sites infectés nouveaux sites malicieux découverts chaque jour 2 Principaux outils de sécurité: Anti-virus (signatures prédéfinies) Blacklists (URLS/domaines prédéfinis) Menace dynamique <-> sécurité statique 1 Sophos, Google, 2012

4 Agenda Comment des sites ont infectés? Failles se sécurité Hébergement compromis Mots de passe volés Victimes célèbres Types de contenu malicieux Exploit kits Campagnes d infection Blackhat SEO Comment se protéger Protéger son site Protéger les utilisateurs

5 Comment des sites ont infectés? Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company

6 Comment des sites ont infectés? Failles de sécurités dans les logiciels populaires (CMS/Blog/ ): Wordpress» 2012: 14 CVEs (Wordpress core) Joomla» 2012: 7 CVEs (core) Drupal» 2012: 20+ CVEs (core) Spip» 2012: 2 CVEs

7 Failles de sécurité Failles de sécurité dans les extensions pour logiciels populaires WordPress 2012: 42 CVE for extensions Vulnérabilités dans les extensions censées sécuriser WordPress!» BulletProof Security, Better WP Security Sites malicieux de thèmes gratuits WordPress + extensions: 323 CVEs Joomla: 613 CVEs Drupal: 506 CVEs

8 Failles de sécurité Failles de sécurité dans les outils d administration PhpMyAdmin» 2012: 5 CVEs» Gemenet (sécurité) compromis» Version malicieux sur SourceForge cpanel» 2012: +50,000 domaines compromis par une attaque Webmin» 2012: 4 CVEs Plesk» 2012: 1 CVE, compromis (exploit vendu $8 000)» 2011: 53 CVEs

9 Failles de sécurité Failles de sécurité dans les services Apache» 2012: 30+ CVEs (core et modules) FTP server BIND» 2012: 6 CVEs Serveur sendmail, postfix, Services ouverts par défaut Memcached, Redis, RabbitMQ Et plus. Un site internet va au-delà du HTML visible Infrastructure peut être partagée, hors du contrôle du webmaster

10 Hébergement compromis DreamHost (Janvier 2012) Accès a la bases de données utilisateurs ServerPro (Février 2012) Serveurs compromis Blackistés par Google Safe Browsing WHMCS (Mai 2012) Fourni plateforme de paiement et support technique pour hébergeurs Bases de données compromises, serveurs compromis, logs détruits

11 Mot de passe volés Mot de passe pour accès FTP/panel d administrations peuvent être voles Malware/Botnet/Keylogger installés sur le PC de l utilisateur Mot de passe utilises sur d autres sites divulgués» Yahoo: » Formspring: » LinkedIn : » Last.fm: millions» (Gawker, 2010) Faiblesses dans le processus de recouvrement d un mot de passe» Exemple d Apple et Amazon

12 Victimes célèbres Grosse majorité des infections est automatisée Découverte de cibles potentielles Compromission du serveur ou de l application Sites de toutes tailles sont compromis Quelques exemples de sites populaires compromis en 2012 Ministère du Budget, avril 2012» Blackhole exploit kit Cleartrip (Booking indien), Juin 2012 Computer World Mexique, Juillet 2012) Majorité du top-1000» Blog.com (#649)» fatakat.com (#699)» Ziddu.com (#802)

13 Victimes célèbres 2011: Mysql.com Geek.com Usps.gov Lenovo Inde Etat du Rajasthan, Inde Universités américaines Sites gouvernementaux de tous pays

14 Types de contenu malicieux Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company

15 Types de contenu malicieux Exploit kits Infections récurrentes Blackhole, Incognito, Phoenix, Campagnes «ponctuelles» Exploitent une faille particulière Exploitation très rapide sur une courte période Blackhat SEO Ajout de pages Difficiles a détecter par le webmaster

16 Exploit kits Blackhole, le plus connu Exploits PDF, Java, Flash, Internet Explorer V1.0: peu de 0-day V2.0 (quelques semaines): 2 0-day utilisés Estimation: 100 millions sites infectes annuellement» Infection peu dures quelques heures a plusieurs années JavaScript malicieux insérés dans chaque page» Offuscation» Code change un peu régulièrement Exploits et exécutables héberges sur d autres serveurs» Exécutables modifies régulièrement pour rester en avance sur les antivirus

17 Blackhole - dashboard

18 Blackhole JavaScript malicieux

19 Campagnes ponctuelles Lizamoon injection SQL sites infectés Faux antivirus Débute Septembre 2010» Avril 2011: 13/41 antivirus Nikkju (2012) injection SQL sites infectés

20 Blackhat SEO Exploit kits et campagnes d infections affectent les pages existante Blackhat Search Engine Optimization (SEO): créer de nouvelles pages pour attirer des visiteurs de Google/Yahoo/Bing Milliers de sites infectés Centaines de liens crées entre sites infectés (page rank) Nouvelles pages créées chaque jour pour les recherches les plus populaires (Google Hot Trends) Pages de spam apparaissent dans les moteurs de recherches Google/Bing/Yahoo» Utilisateur rediriges vers un autre domaine malicieux (faux antivirus, faux médicaments, faux magasin en ligne, )» Bot (indexeurs et outils de sécurité) reçoivent la page de spam sans contenu malicieux» Search Engine Securite (Firefox/Chrome/Internet Explorer) Infection invisible au webmaster et visiteurs habituels

21 Blackhat SEO Site infecte Spam Utilisateur Malware C&C server

22 Comment se protéger Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company

23 Protéger son site Se protéger contre les failles de sécurité Suivre les mises a jour de tous les logiciels (applications web, service, etc.) et de leur extensions Audit sécurité des extensions avant leur installation Sécuriser les postes de travails ayant aux mises a jour et a la gestion du site, y compris tablettes et smartphones Ne pas exposer les applications de gestion (PhpMyAdmin, Plesk, etc.) Détecter une infection rapidement: Google Webmaster Tools

24 Protéger ses utilisateurs N importe quel site peut être compromis a tout moment, peu import sa taille ou les compétences des administrateurs Outils habituels de sécurité ne sont pas adaptés Antivirus: détection cible les exécutables, dernier maillon de la chaine d infection Exploit kit comme Blackhole inspectent les exécutables crées, les modifie quand ils sont détectés Taux détection faible, ~25% pour Fake AV par exemple Signatures ne peuvent être créées qu apres avoir découvert les exécutables malicieux

25 Protéger ses utilisateurs Accès au code malicieux est souvent protéger IP blacklist (Google et vendeurs sécurité) IP ne peut être vu qu une fois par jour (exécutable change toutes les heures) Détection du navigateur:» JavaScript offusqué, redirection Flash, etc.» User-Agent et Referrer Blacklist Contenu malicieux n est pas envoyé aux scanner Infection peut ne durer que quelques heures Sites populaires souvent exclus

26 Protéger ses utilisateurs Seule solution: analyser la page web telle qu elle est vue par l utilisateur En pratique, beaucoup d efforts mis pour camoufler les exploits et programmes malicieux Code injecté facilement reconnaissable Code injecté change peu souvent Analyse de tous les maillons Code injecté Redirections Exploits Programme téléchargé

27 Conclusion Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company

28 Conclusion TOUS les sites sont potentiellement dangereux Réputation d un site n est plus significative Nombre de sites infectés continue de grandir Protection doit être en temps réel pour détecter les 100 millions de sites infectés Blacklist ne seront jamais a jour Antivirus ne détectent qu un faible nombre de programmes malicieux