Conférence APT : Advanced Persistent Threat Advanced Persistent Threat ou APT, quels risques pour nos entreprises derrière cet acronyme barbare?

Transcription

1 Advanced Persistent Threat ou APT, quels risques pour nos entreprises derrière cet acronyme barbare? (Version spécifique pour diffusion sur le site d OpenSphere) Session : Conférence OpenSphere / 24 septembre

2 PRÉVENTION / PROTECTION LA GESTION DU RISQUE 2

3 C est quoi la sécurité de l information? Virus Vs. APT Victime aléatoire Objectif : Gain immédiat - Ransomware - Botnet - Vol de données bancaires - Vol de mots de passe Proie ciblée Volonté de rester silencieux Plusieurs attaques simultanées Force de frappe importante Piratage/Espionnage/Sabotage 2.0 Mais pas de révolution 3

4 Synopsis d un C est APT quoi la sécurité de l information? Présentation de FLAME & Darkcomet par Sébastien S.I. Sain Infection par l APT Temps de Gestation Renforcement des accès Mouvements latéraux Exfiltration des données Attaque ou Détection Aftermath / Répercussions Ce que l informatique doit mettre en œuvre : Prévention Protection Présentation de la Sécurité en profondeur Détection Présentation du concept de SIEM par Rémy Gestion d incidents Présentation du Forensique et de la Désinfection par Jean-Nicolas Désinfection Bilan 4

5 Infection 5

6 C est quoi la sécurité de l information? Vecteurs d infections Piratages classiques Vulnérabilité serveur Force brute Wifi BYOD Conférence APT : Advanced Persistent Threat Piratage d un sous-traitant/partenaire Intrusion physique Piégeage des personnes Social Engineering Spear Phishing / Water holing / Virus (exemple récent : RLO)... Zero-Day 6

7 Prévention 7

8 C est quoi la sécurité de l information? Prévention Le nécessaire mais non suffisant : Antivirus complet (couverture 100%, signature 100%, BYOD...) Pare-feu maitrisé (configuration au plus juste, règles claires et connues) Conférence APT : Advanced Persistent Threat Protection physique Revue des accès, gestion des comptes privilégiés Le chiffrement ( Cryptage ) Chiffrement sur le serveur avec contrôle d accès strict Chiffrement des bases de données Chiffrement des équipements nomades... Focus sur 4 mesures de sécurité dans le cas des APT : 8

9 C est quoi la sécurité de l information? Sensibilisation SPAM (Récemment : facture avec macro...) Mot de passe, partage des accès, verrouillage de l ordinateur Configuration standard, bureau propre Attention au Social Engineering, clé usb, sites internet louches Signaler!! + investigation + gestion des incidents 9

10 C est quoi la sécurité de l information? Mise à jour de TOUS les systèmes MàJ des Serveurs / PC Priorité aux systèmes exposés MàJ des OS MàJ des services exposés : Récemment OpenSSL, PHP... MàJ des applications : PDF, Flash, Office, Navigateurs... Conférence APT : Advanced Persistent Threat Une vulnérabilité diffusée est exploitée en quelques jours => Il faut que le process de patch soit de l ordre du jour (Inventaire!) Aide : Pentests / Vulnerability Scanner 10

11 C est quoi la sécurité de l information? Classification des données Catégorisez la donnée : Publique, Interne, Confidentielle Dans les s, documents, noms de fichiers, BDD... Avec une information classifiée, les gens savent se comporter Il est possible d importer la notion de sensibilité des données dans les équipements de sécurité IDS, DLP, SIEM 11

12 C est quoi la sécurité de l information? Prenez du temps pour surveiller votre SI Approfondissez les incidents utilisateurs Ne vous limitez pas à la résolution de problème (cf. conférence 2014) Conférence APT : Advanced Persistent Threat Considérez les alertes techniques Centreon / Nagios Firewall Antivirus Log serveur web Journaux de sécurité des OS serveurs Switchs / Routeurs / Passerelles VPN Ce n est pas du temps perdu Il faut réserver du temps strict à la surveillance du SI Gagnez du temps, utilisez un SIEM 12

13 ANALYSE D UNE APT 13

14 FLAME Histoire du Malware Flame Malware complexe classé dans la catégorie des «backdoors» (portes dérobées) utilisant les fonctionnalités des «Worms» pour se propager. Flame dispose d une vingtaine de modules constituant le kit d attaque ce qui fait de lui le plus gros Malware (en taille) 20 Mo si l on additionne tout ces modules. Certaines versions intègrent l ensemble de ces modules, d autres, moins... En comparaison à «Stuxnet» qui fait seulement 500 Ko et dont l analyse à pris plusieurs mois! Malware size Stuxnet Flame 14

15 FLAME Histoire du Malware Flame Découvert en milieu d année 2012 par Kaspersky. Les fichiers du Malware sont datés de 1992, 1994, 1995, Après analyse il à été considéré que le Malware était beaucoup plus jeune, dès février 2010, avec une probabilité extrêmement élevée de l existence de versions antérieures. Actuellement, il y a trois classes d utilisateurs connus qui développent des Malwares : Les cyber-criminelles, Les hacktivistes, Les états-nations. Flame n est pas conçu pour voler de l argent et il diffère des logiciels malveillants utilisés par les Hacktivistes! 15

16 FLAME Quels sont les objectifs? Recueillir des informations sur les opérations de certains états du Moyen-Orient. Les créateurs de Flame sont à la recherche de tout type de renseignement ( , documents, messages, ). Aucun signe n indique une cible particulière (ex: industrie de l énergie, ). Une boite à outils d attaques avancées conçue à des fins de cyber-espionnage généralisé. Très flexible de par sa conception modulaire, il peut être utilisé pour cibler des dispositifs critiques dans des installations industrielles (SCADA, ICS, ) Supervisory Control and Data Acquisition (SCADA), Industrial control system (ISC). 16

17 FLAME Modus operandi Le principal vecteur de déploiement est inconnu (contrairement à Stuxnet). Kaspersky à supposé une attaque ciblée. Une fois qu un système est infecté Flame déclenche une série d opérations complexe : La persistance (capacité de s exécuter lors du démarrage du système), La capture du trafic réseau (sniffer), L enregistrement des conversations audio, Interception des frappes sur le clavier (keylogger), Enregistrement de captures d ecran, 17

18 DARKCOMET Histoire du RAT (Remote Administration Tools) Darkcomet Jean-Pierre Lesueur est l'archétype du geek sans histoire. Il a 22 ans, il vit en région parisienne et code à longueur de journée en Java pour une société qui vend des billets d'avion. Il aime jouer du piano et l'astrophysicien Stephen Hawking. Mais Jean-Pierre Lesueur a une face cachée. Il est aussi le programmeur qui a créé Dark Comet, un outil permettant de prendre le contrôle d un ordinateur à l insu de son utilisateur. source : 18

19 DARKCOMET Le serveur / configuration de l agent 19

20 DARKCOMET Le client / configuration du C&C 20

21 DARKCOMET Le centre de contrôle 21

22 DARKCOMET Injection dans un processus Pour contourner le Firewall du système Darkcomet utilise une astuce efficace. Il injecte son code dans un processus qui est autorisé à passer au travers du Firewall du système (le navigateur par défaut). Process Hollowing Dynamic forking D autres méthodes plus furtives font leurs apparitions Reflective DLL injection 22

23 DARKCOMET Histoire du RAT (Remote Administration Tools) Darkcomet Malheureusement, les possibilités offertes par ce RAT pouvaient être détournées et c est ce qu il s est passé en Syrie. DarkComet a été exploité par le gouvernement Syrien contre les opposants au régime. Le développement de VertexNET Loader et FrozenTime RAT sont annulés. DarkComet RAT s achève ainsi après des années de recherche et développement. Plusieurs centaines de milliers d utilisateurs de par le monde utilisent cet excellent outil. 23

24 LA GESTION D INCIDENT 24

25 Evolution du nombre d APT détectée par année (kaspersky) 25

26 La gestion d incident Lors d attaques informatiques, les objectifs des pirates sont, au minimum : La persistance Rester le plus longtemps possible sur le poste / le système d information où il se situe L extraction ou la modification des informations Récupérer le maximum de données sensibles de l entreprise et de données concernant le fonctionnement des organismes compromis - qui fait quoi? Dès de la détection d une intrusion il est impératif de savoir quoi faire. Objectifs de la gestion d incident : Réagir rapidement face à l intrusion Proposer des actions précises à appliquer au plus vite 26

27 La gestion d incident Comment réagir? En règle générale (hors cas d investigation pour déterminer la source), dès la détection Cloisonner les machines infectées du reste du réseau Mettre en quarantaine ces machines à des fins d analyse par une équipe d experts en sécurité Les experts en sécurité ont pour objectifs de : Arrêter la propagation de l intrusion Préconiser des actions rapides pour un retour à un fonctionnement normal Récupérer les données encore exploitables et présentes sur les machines infectées Analyser la provenance et les mécanismes de la compromission, afin de s en protéger 27

28 La gestion d incident Que font les spécialistes qui interviennent lors de la gestion d incident? Tracer l activité des machines infectées, avec des outils spécialisés Avant l infection : vecteur d infection Pendant l infection : fonctionnement et objectifs du malware Après l infection : méthode de propagation Préconiser les actions rapides à entreprendre pour limiter la compromission Récupérer les données En fonction du type de malware, certaines données peuvent être récupérées 28

29 La gestion d incident Etapes d infection par le malware bancaire Dridex* *Dridex : - Evolution du malware Zeus - Infection via de faux documents word via plus de s par jour Les machines infectées font partie d un botnet Vol les informations bancaires des machines infectées 29

30 La gestion d incident Retour d expérience En 2015, les consultants sécurité OpenSphere sont intervenus chez plusieurs clients à la réunion Dans 60% des cas, des malware de type cryptolocker ont été découverts. Principe du cryptolocker : Infection d une machine Chiffrement de tous les fichiers accessibles Demande de rançon pouvoir obtenir le mot de passe de déchiffrement Tarif constaté : 1 à 2 bitcoins (~ 500 euros) Dans 1 cas sur 2, OpenSphere a pu récupérer les données de ses clients Dans les autres cas, OpenSphere a identifié précisément la première machine infectée et le mode d infection et a préconiser des actions pour un retour à un fonctionnement normal en moins d une journée 30

31 La gestion d incident Avantages de la gestion d incident Permet de revenir au plus vite à un état de fonctionnement normal du système d information Indique les premières recommandations d amélioration de la sécurité Identifie et récupère les données non infectées Inconvénients La réaction se fait après l incident, les machines ont déjà été compromises Le mal est déjà fait, l activité est ralentie ou arrêtée Dans les cas d APT les plus avancées, certains malwares restent non détectés plusieurs années* * 243 jours en moyenne selon mtrends 31

32 DÉTECTER UNE APT LE SIEM 32

33 Définition d un SIEM SIEM : Security Information and Event Management C est un «LogManager» (centralisation des fichiers de journalisation) Un «LogManager» avec un focus sur la sécurité 33

34 Evolution du SIEM Le SIEM dit «classique» : Un LogManager pour certaines informations liées à la Sécurité Le dashboard Le SIEM dit «moderne», inclut plus de fonctionnalité et est «cloud ready» : Collection : Récupérations des informations (même non liées à la sécurité directement) Normalisation : Mise en forme des informations Agrégation : Mise en commun des informations possédant des similitudes Corrélation : Ajout qualitatif à l information Reporting : Dashboard Archivage Big Data 34

35 Cycle d analyse Collection Récupération des informations de sources hétéroclites Analyse des alertes remontées et des données collectées Analyse Détection Détection automatique de comportement considéré comme anormal 35

36 Les sources d informations Quelles sont les sources d informations à utiliser pour alimenter le SIEM: Réseau Fichiers de journalisation IDS: Système de détection d intrusions 36

37 Les sources d informations Metadata provenant du réseau: Sonde TCP/IP IDS, Intrusion Detection System (Système de détections d intrusions): La version réseau, NIDS La version machine, HIDS S appuie sur des règles ou des signatures connues Matériel réseau et système (Firewall, WAF, SYSLOG ): Fichier de journalisation Résultat de scan de vulnérabilité automatique: Rapport de scan 37

38 Fonctionnement simplifié Evènements enregistrés par les pare-feu et les machines Alertes générées par les sondes Regroupement des informations Une interface d analyse 38

39 Informations brutes 39

40 Visualisation 40

41 Intégration de veille journalière (threat intelligence) Pour être sur un pied d égalité avec les attaquants. Pour les analystes, utilisation de centres d alertes comme le CERT, ou encore les canaux de communication des constructeurs. Possibilité d ajouter des informations provenant d une veille sur des canaux moins communs : Forum fermé Deep/Dark Web IRC 41

42 Détection des comportements malveillants La détection automatique va couvrir la plus grande partie des résultats, elle s appuie sur les alertes remontées par les différentes sondes : Alerte basée sur la signature ou le comportement L autre partie des résultats va s appuyer sur l analyse manuelle effectuée par les analystes : Analyse des informations de toutes les sources Plus approfondie L étape suivante dans la détection s appuie, dans le cas de SIEM très avancé, sur la détection prédictive: Grand nombre de comportements enregistrés Prédiction de comportement anormal 42

43 Conclusion L utilisation d un SIEM aidera à détecter une infection avant que celle-ci ne devienne persistante. Réduire le temps de découverte d une attaque, qui s appuie sur des vulnérabilités encore inconnues. Aider dans la gestion d incident et de forensique. 43