Menaces de type logiciels malveillants

Transcription

1 Menaces de type logiciels malveillants Laurent Butti - Orange 1 of 22

2 Agenda Introduction Historique Quelques logiciels malveillants marquants Motivations Conclusions 2 of 22

3 Introduction Virus Un logiciel malveillant (en anglais, malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l utilisateur infecté. (source : Wikipedia) A computer virus is a type of malware that, when executed, replicates by inserting copies of itself (possibly modified) into other computer programs, data files, or the boot sector of the hard drive; when this replication succeeds, the affected areas are then said to be infected. (source : Wikipedia) Worm A computer worm is a standalone malware computer program that replicates itself in order to spread to other computers. Often, it uses a computer network to spread itself, relying on security failures on the target computer to access it. Unlike a computer virus, it does not need to attach itself to an existing program. (source : Wikipedia) 3 of 22

4 (Quelques) catégories de malwares 4 of 22

5 Vecteurs d infection Vecteurs d infection actuels les plus probables (source : Kaspersky Labs) social engineering (phishing) visite d un site Web compromis ou malveillant installation d un logiciel embarquant un logiciel malveillant 5 of 22

6 Historique Beginning in 1949, Von Neumann s design for a self-reproducing computer program is considered the world s first computer virus, and he is considered to be the theoretical father of computer virology. (source : Wikipedia) 1971 : Creeper, premier programme capable de se répliquer 1972 : premier article décrivant le développement d un virus informatique (Veith Risak) 1987 : Fred Cohen démontre l impossibilité de détecter parfaitement tous les virus possibles Historique des principaux logiciels malveillants 6 of 22

7 Morris Worm (1988) Développé par un étudiant américain (Robert T. Morris) Propagation par l exploitation de failles connues fingerd, sendmail rsh/rexec mots de passe faibles Ne comporte pas de charge malveillante, uniquement destiné à se propager Erreur de conception induisant un déni de service 10% de l Internet plantées (~ machines) 7 of 22

8 I Love You (2000) Propagation par avec le sujet ILOVEYOU vise les clients mail Microsoft Outlook ~ 50 millions d infections, soit 10% des stations bureautiques de l époque L ouverture de la pièce jointe (VBscript) exécute le script qui lance la propagation vers tous les contacts du carnet d adresse se réplique sur certains types de fichiers locaux (écrasement de fichiers) 8 of 22

9 Slammer (2003) Découvert le 25 janvier 2003 vise les serveurs Microsoft SQL exploitait une faille publiée en juillet 2002 ~ infections visibles Ver le plus rapide de l histoire de l Internet infection de plus de 90% des stations vulnérables en moins de 10 minutes 9 of 22

10 StormWorm (2007) Découvert le 17 janvier 2007 propagation par mail et tromperie utilisateur représentait ~ 8% du total des infections (à l époque) estimation entre 1 et 10 millions de machines infectés (septembre 2007) Effets conçu pour constituer un botnet (envoi de courrier non sollicité (SPAM) ) Marque un virage vers de plus en plus de professionalisme difficile à analyser (couches de chiffrement ) premier à utiliser les technologies Peer-to-Peer (P2P) partitionnement du botnet (possibilité de location tout ou partie ) 10 of 22

11 Zeus (2007) Découvert en 2007 propagation principale par phishing, sites Web compromis et mail ~ 3 à 4 millions d infections aux U.S. Effets vol de login/password (comptes mail, sites sociaux, sites bancaires ) Code source maintenant disponible sur GitHub (mai 2013) 11 of 22

12 Zeus (2007) 12 of 22

13 Stuxnet (2010) Découvert en juin 2010 vise un logiciel de pilotage industriel Siemens sous Windows Effets conçu pour ralentir le programme nucléaire iranien Les motivations et les fonctionnalités de Stuxnet donnent des indices développé par les États-Unis et Israël 13 of 22

14 Stuxnet (2010) 14 of 22

15 Flame (2012) Découvert en mai 2012 (détecté sur des ordinateurs d un ministère iranien) Probablement conçu vers 2007 et opère depuis début 2010 Fonctionnalités inhabituelles (conçu en vue espionnage local physique) support d une fonction suicide (Flame malware makers send suicide code) infection limitée à un nombre faible de machines Flame is certainly the most sophisticated malware we encountered during our practice; arguably, it is the most complex malware ever found (source : CrySyS) The Washington Post - U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say 15 of 22

16 Flame (2012) 16 of 22

17 Opération Olympic Games 17 of 22

18 Nouvelles cibles Terminaux mobiles de plus en plus le seul équipement informatique (smartphone, tablette) centre de la vie de l utilisateur (mail, navigation, opérations bancaires ) Les objets communiquants ( Internet of Things ) les téléviseurs, la domotique ou autres sont autant de cibles attrayantes souvent connectés 24/24 Les routeurs domestiques (boxes et setop boxes) point de passage obligé des communications à son domicile souvent connectés 24/24 La prise de contrôle de ces équipements représente un intérêt certain! 18 of 22

19 Exemple de malware sur terminaux mobiles 19 of 22

20 Contournement des antivirus Metasploit Framework générateur de charges et bien d autres choses Veil Framework générateur de charges couches de protection : obfuscation, chiffrement, polymorphisme PEScrambler chiffrement VirusTotal 20 of 22

21 Comment se protéger? Guide hygiène sécurité de l ANSSI sensibilisation et formation durcissement des systèmes d exploitation et de leur configuration mise à jour des systèmes d exploitation et des applications surveillance du système d information gestion d incidents En tant que particulier ou petite entreprise la sensibilisation est primordiale! 21 of 22

22 Conclusions La période des logiciels malveillants challenge technique est révolue Place aux logiciels malveillants avec intérêts ciblés business : retour sur investissement étatiques : intérêts nationaux activisme : selon les cas! Les techniques implémentées évoluent en fonction des objectifs de l argent mis dans le développement de ces logiciels Attention, ce n est que la partie visible de l iceberg! nombreux logiciels malveillants découverts plusieurs années après Les nouvelles technologies sont une cible évidente pour les logiciels malveillants 22 of 22