Laboratoire de Haute Sécurité

Transcription

1 Laboratoire de Haute Sécurité Télescope réseau, sécurité des réseaux et Virologie Frédéric Beck (SED) & Olivier Festor (Madynes) Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre 2011

2 Inria : Institut de recherche en sciences du numérique Sciences informatiques et mathématiques RECHERCHE DEVELOPPEMENT TECHNOLOGIQUE ET EXPERIMENTATION ENSEIGNEMENT ET FORMATION TRANSFERT ET INNOVATION Un institut public à caractère scientifique et technologique sous la double tutelle du ministère de la Recherche et du ministère de l Industrie 2

3 Principaux domaines de recherche 1 Mathématiques appliquées, Calcul et Simulation 2 Algorithmique, Programmation, Logiciels et Architectures 3 Réseaux, Systèmes et Services, Calcul distribué 4 Perception, Cognition, Interaction 5 STIC pour les sciences de la vie et de l environnement 3

4 Centres de recherche Inria Inria LILLE Nord Europe Inria PARIS - Rocquencourt Inria NANCY Grand Est Inria SACLAY Île-de-France Inria RENNES Bretagne Atlantique Inria GRENOBLE Rhône-Alpes Inria BORDEAUX Sud-Ouest Inria SOPHIA ANTIPOLIS Méditerranée 4

5 Laboratoire de Haute Sécurité Plate-forme unique en France et en Europe Objectifs Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...) Défense pro-active contre les programmes malicieux et nouvelles menaces Études, expérimentations à grande échelle et publications Collecte et analyse de données Développement et mise à disposition d'outils et logiciels Valider, valoriser et distribuer les travaux 2 axes principaux Sécurité réseau Télescope réseau Expérimentations et études Virologie 5

6 Laboratoire de Haute Sécurité 6

7 Sécurité réseau (équipe Madynes) Améliorer la sécurité des réseaux et des services Olivier Festor Collecte et analyse de données d'attaque (télescope réseau) Définition et mise en œuvre de mécanismes de protections (logiciels, recommandations) Gestions de vulnérabilités (découverte, protection) Détection des mal-fonctions et des compromissions (monitoring/supervision) Objectifs Définitions et extensions de protocoles et algorithmes Développements et maintenance de solutions logicielles Expérimentations à grande échelle Domaines d'application variés (IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux adhoc, SCADA...) 7

8 Télescope réseau Capture à grande échelle de malwares et de traces réseau Architecture multi-provider 3 ADSL (Orange, SFR, Free) 1 SDSL 2Mbits avec /24 public Architecture virtualisée et cloisonnée 3 environnements distincts Collecte des données Stockage et confinement des données Support aux expérimentations 8

9 Télescope réseau Capture de code et binaires malicieux Émulation de vulnérabilités Permet d'éviter la propagation des attaques ou la compromission des sondes Capture des malwares qui les exploitent Binaires transmis à l'équipe virologie Utilisation de sandbox pour analyser le comportement du malware et l'identifier Capture d'informations supplémentaires sur l'attaquant IP source, localisation géographique, site hébergeant le binaire Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses pro-actives Capture de traces et flux réseau Capture au format PCAP et NetFlow des traces d'attaque Analyse des mécanismes d'infection et de propagation des malwares Objectif Définition de mécanismes de défense périmétrique pro-active Bloquer les attaques à la source 9

10 Honeypots et services émulés Utilisation de honeypots à faible interactions Environ 25 instances déployées à l'heure actuelle Dionaea RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL Amun Émulation de vulnérabilités via plugins python Kippo Brute force SSH toujours un succès et accès à un shell minimaliste Sessions enregistrées pour tracer les activités Leurrecom.org Honeypot project «pots de miels» distribués et répartis dans le monde Dans le passé Nepenthes, ancêtre de Dionaea Hali en collaboration avec l'université du Luxembourg, honeypot SSH type Kippo 10

11 Le télescope en chiffres En fonctionnement depuis le 09 Septembre 2008 Total (au 13/12/2011) attaques Dont attaques malicieuses malwares téléchargés binaires uniques capturés Quotidiennement attaques dont malicieuses + de binaires téléchargés Traces réseau 5,7 To de données PCAP 88 Go de flux NetFlow 6 Go de flux Tor anonymisés 11

12 Détection de vulnérabilités Stateful fuzzing avec feedback + de 50 vulnérabilités trouvées Mécanisme breveté de fingerprinting avec un seul paquet KIF Fuzzing contre les états protocolaires Apprentissage automatique de la machine à états d'après traces correctes Mécanisme de feedback : suivi des données et graphes d'exécution Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur Domaines d'application SIP DNS IPv6 DHCP PDF 12

13 Protection contre les vulnérabilités SecSIP, un framework de protection contre les attaques SIP Première ligne de défense stateful pour le protocole SIP Identification des vulnérabilités avec KIF Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto Génération automatique des règles de prévention D'après la définition de la vulnérabilité avec algorithmes génétiques veto uses SJPhoneDefs begin (ev_invite) -> { if (SIP:headers.Content_Length!@eq "SIP:body.length") drop; } (ev_invite(malformed)) -> drop; veto end 13

14 Sécurité VoIP Monitoring des services VoIP Identifier les attaques et fraudes Détection d'anomalies dans les logs/traces Développement d'un BotNet VoIP Honeypot VoIP : Artemisa Risk management dans les réseaux VoIP Design et développement d'un IDS VoIP Modélisation du risque dans les infrastructures VoIP Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures Prototype fonctionnel implémenté dans Asterisk 14

15 Sécurité des réseaux P2P Monitoring et protection du réseau KAD Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD au niveau d'internet Prise de contrôle de l'indexation des ressources par attaque Sybille Logs anonymisés des activités de publication et de recherche Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de mots clés pédophiles Définition d'un système de protection contre les attaques Sybille 15

16 Sécurité des réseaux de demain Sécurité des réseaux IPv6 NDPMon, Neighbor Discovery Protocol Monitor Version IPv6 d'arpwatch avec fonctionnalités additionnelles Supervision du Neighbor Discovery Protocol (NDP) Nouvelle station, changement d'adresse... Détection d'attaques contre le NDP Usurpation d'identité, DoS, mauvaises annonces réseau... Historique du pairing adresses IPv6 et Ethernet Permet de tracer les stations Windows utilisant IPv6 Alertes configurables 16

17 Travaux en cours et futurs Modélisation de flux réseaux malicieux Analyse et corrélation des flux et paquets réseaux collectés Classification des malwares selon leurs mécanismes de propagation Mise en œuvre de nouveaux mécanismes de défense périmétrique Extension Snort? Supervision des services : DNS Analyse passive des requêtes DNS récursives Traces du télescope et du réseau de l'inria Nancy Grand Est Anonymisation des adresses Audit des logs pour détecter le trafic malicieux Classification et clustering automatique des domaines malicieux Communications avec contrôleurs de Botnets ou serveurs hébergeant des malwares identifiées «in the wild» Objectif Ouvrir et proposer le service au public 17

18 Calculabilité, complexité et virologie (équipe Carte) Deux axes thématiques Calculabilité et complexité : calculs analogues, terme de sécurité de réécriture, algorithme robuste et distribuées, théorie des jeux algorithmiques, complexité implicite computationnelle. Jean-Yves Marion Virologie : Détection des codes auto-modifiants Neutralisation d'un botnet Étude morphologique sur les malwares Réalisation d'un antivirus 18

19 Détection des codes auto-modifiants Mise en évidence des vagues de traitement Représentation des phases d'exécution 19

20 Détection des codes auto-modifiants 20

21 Neutralisation du botnet Waledac Wikipédia Waledac est présenté comme l'un des dix plus importants botnets aux État-Unis, mais constitué de centaines de milliers d'ordinateurs infectés à travers le monde. Des ordinateurs zombies principalement utilisés à leur insu pour inonder la planète de spam, à raison de plus de 1,5 milliard de messages par jour! Exploitation d'une erreur de conception La liste des machines à contacter (les protecteurs) était triée par ordre d'importance! 21

22 Neutralisation du botnet Waledac 22

23 Neutralisation du botnet Waledac 23

24 Étude morphologique de malwares Élaboration du graphe de flot de contrôle (CFG) Scan direct du binaire (analyse statique) Exécution du binaire en environnement (analyse dynamique) Application des réductions 24

25 Étude de malwares par sa morphologie Recherche du sous-graphe dans un autre CFG Le graphe une fois réduit va servir de signature 25

26 Application aux trojans Stuxnet - Duqu 26

27 Application aux trojans Stuxnet - Duqu 27

28 Application aux trojans Stuxnet - Duqu 28

29 Quelques résultats Allaple.B Allaple.D Allaple.E AutoIt.r Cosmu.abix Kido.bu Kido.ih Obfuscated.gen Virut.av Malwares Texel.k Kido.bj Détection statique Détection dynamique Echantillons Signatures Graphe trop petit Détectés Faux négatifs Allaple.B Allaple.E Cosmu.abix Kido.ih Allaple.A Allaple.D AutoIt.r Kido.bu Texel.k Echantillons Signatures Graphe trop petit Détectés Faux négatifs Allaple.B Allaple.E Cosmu.abix Kido.ih Allaple.A Allaple.D AutoIt.r Kido.bu Texel.k 29

30 Travaux en cours et futurs Améliorations de l'antivirus Au niveau performances (taille de la base de données, vitesse de recherche de sous-graphes, etc.) Le proposer sous forme d'un Service Web («in the cloud») Support des techniques de «dépackage» (unpack) Développer un module Kernel ou interne à l'hyperviseur (virtualisation) pour scanner en permanence la mémoire Prise en compte des techniques anti-débuggage Collection de malwares Capturer ou collecter encore plus d'échantillons de malwares Affiner la base de signatures (suppression des faux positifs) 30

31 Merci de votre attention Frédéric Beck (SED) & Olivier Festor (Madynes) Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre

32 Contacts Équipe projet Madynes Olivier Festor Isabelle Chrisment Équipe projet Carte Jean-Yves Marion Guillaume Bonfante Fabrice Sabatier Service Expérimentations et Développements Frédéric Beck