Stuxnet et Duqu : une histoire de codes malveillants mutants



Documents pareils
Introduction aux antivirus et présentation de ClamAV

Notions de sécurités en informatique

Lamia Oukid, Ounas Asfari, Fadila Bentayeb, Nadjia Benblidia, Omar Boussaid. 14 Juin 2013

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Get Instant Access to ebook Cest Maintenant PDF at Our Huge Library CEST MAINTENANT PDF. ==> Download: CEST MAINTENANT PDF

«Obad.a» : le malware Android le plus perfectionné à ce jour

APPENDIX 6 BONUS RING FORMAT

Exercices sur SQL server 2000

Application Form/ Formulaire de demande

Instructions Mozilla Thunderbird Page 1

INSTRUMENTS DE MESURE SOFTWARE. Management software for remote and/or local monitoring networks

THÈSE. présentée à TÉLÉCOM PARISTECH. pour obtenir le grade de. DOCTEUR de TÉLÉCOM PARISTECH. Mention Informatique et Réseaux. par.

STUXNET DE LA VULNÉRABILITÉ LNK AU SABOTAGE INDUSTRIEL

EN UNE PAGE PLAN STRATÉGIQUE

THE EVOLUTION OF CONTENT CONSUMPTION ON MOBILE AND TABLETS

Génération de code binaire pour application multimedia : une approche au vol

Flottes privatives Une gestion maîtrisée Fleet management The management expert

Introduction à la Sécurité Informatique

Plateforme Technologique Innovante. Innovation Center for equipment& materials

AUDIT COMMITTEE: TERMS OF REFERENCE

Logiciel Libre & qualité. Présentation

Le BYOD, risque majeur pour la sécurité des entreprises

Face Recognition Performance: Man vs. Machine

Pourquoi choisir ESET Business Solutions?

Netdays Comprendre et prévenir les risques liés aux codes malicieux

MANUEL MARKETING ET SURVIE PDF

PACKZ System Requirements. Version: Version: Copyright 2015, PACKZ Software GmbH. 1

sur le réseau de distribution

CEST POUR MIEUX PLACER MES PDF

1.The pronouns me, te, nous, and vous are object pronouns.

Interest Rate for Customs Purposes Regulations. Règlement sur le taux d intérêt aux fins des douanes CONSOLIDATION CODIFICATION

Antivirus : les Français, rois du gratuit, les Russes, rois du payant

POLICY: FREE MILK PROGRAM CODE: CS-4

Stratégie DataCenters Société Générale Enjeux, objectifs et rôle d un partenaire comme Data4

Information Security Management Lifecycle of the supplier s relation

NOM ENTREPRISE. Document : Plan Qualité Spécifique du Projet / Project Specific Quality Plan

Le passé composé. C'est le passé! Tout ça c'est du passé! That's the past! All that's in the past!

Cisco Identity Services Engine

PIB : Définition : mesure de l activité économique réalisée à l échelle d une nation sur une période donnée.

Exemple PLS avec SAS

RAPID Prenez le contrôle sur vos données

François Louesse Comment rédiger un bon projet de R&D européen? Bien choisir son programme

Managed VirusScan et renforce ses services

GAME CONTENTS CONTENU DU JEU OBJECT OF THE GAME BUT DU JEU

Installation et mise en sécurité des postes de travail Windows

Editing and managing Systems engineering processes at Snecma

Practice Direction. Class Proceedings

Tex: The book of which I'm the author is an historical novel.

escan Entreprise Edititon Specialist Computer Distribution

Protection rapprochée contre les Cyber-Attaques de nouvelle génération

Rootkit pour Windows Mobile 6

Software and Hardware Datasheet / Fiche technique du logiciel et du matériel

CETTE FOIS CEST DIFFERENT PDF

Etat de l art des malwares

Windows Server Chapitre 1: Découvrir Windows Server 2008

Relions les hommes à l entreprise Linking people to companies

TARIFS PIETONS SAISON PEDESTRIAN RATES SEASON 2014/2015 TARIFS ASSURANCE CARRE NEIGE CARRE NEIGE INSURANCE RATES 2014/2015

calls.paris-neuroscience.fr Tutoriel pour Candidatures en ligne *** Online Applications Tutorial

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Public and European Business Law - Droit public et européen des affaires. Master I Law Level

I>~I.J 4j1.bJ1UlJ ~..;W:i 1U

Notice Technique / Technical Manual

Acquisition de matériels informatiques

Cloud Computing: de la technologie à l usage final. Patrick CRASSON Oracle Thomas RULMONT WDC/CloudSphere Thibault van der Auwermeulen Expopolis

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

MapReduce. Malo Jaffré, Pablo Rauzy. 16 avril 2010 ENS. Malo Jaffré, Pablo Rauzy (ENS) MapReduce 16 avril / 15

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

Bulletin d information d ISA-France

Cyber-sécurité SI Industriels (SCADA)

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

France SMS+ MT Premium Description

Forthcoming Database

Title Text. Gestion de données de mobilité Mobility data management

LE NOUVEAU CHAMP DE BATAILLE : LES ATTAQUES DE TYPE «ZERO DAY»

Module de sécurité Antivirus, anti-spam, anti-phishing,

Formulaire de candidature pour les bourses de mobilité internationale niveau Master/ Application Form for International Master Scholarship Programme

Appointment or Deployment of Alternates Regulations. Règlement sur la nomination ou la mutation de remplaçants CONSOLIDATION CODIFICATION

ETABLISSEMENT D ENSEIGNEMENT OU ORGANISME DE FORMATION / UNIVERSITY OR COLLEGE:

Calculation of Interest Regulations. Règlement sur le calcul des intérêts CONSOLIDATION CODIFICATION. Current to August 4, 2015 À jour au 4 août 2015

Dans une agence de location immobilière...

Afin de valider votre inscription merci de bien veiller à :

Improving the breakdown of the Central Credit Register data by category of enterprises

La protection des systèmes Mac et Linux : un besoin réel?

Master4Light. Caractérisation Optique et Electrique des Sources Lumineuses. Equipement 2-en-1 : source de courant et spectrophotomètre

RISK-BASED TRANSPORTATION PLANNING PRACTICE: OVERALL METIIODOLOGY AND A CASE EXAMPLE"' RESUME

Gestion des prestations Volontaire

Microsoft Security Essentials

Comment Repérer les Faux Logiciels Antivirus Par l équipe FortiGuard Labs de Fortinet.

physicien diplômé EPFZ originaire de France présentée acceptée sur proposition Thèse no. 7178

Contents Windows

INVESTMENT REGULATIONS R In force October 1, RÈGLEMENT SUR LES INVESTISSEMENTS R En vigueur le 1 er octobre 2001

If you understand the roles nouns (and their accompanying baggage) play in a sentence...

THE FRENCH EXPERIENCE 1

Nouveautés printemps 2013

Nouvelle génération, plus performante

that the child(ren) was/were in need of protection under Part III of the Child and Family Services Act, and the court made an order on

Présenté par : Mlle A.DIB

Les attaques APT Advanced Persistent Threats

Package Contents. System Requirements. Before You Begin

Transcription:

Stuxnet et Duqu : une histoire de codes malveillants mutants Jean-Yves Marion LORIA Université de Lorraine Jean-Yves.Marion@loria.fr Laboratoire de Haute Sécurité (LHS) 1

Stuxnet Ingénierie Sociale Communication vol d informations mise à jour... Infection attaque ciblée propagation vol de certificats The Target: - PLC CPUs 6ES7-417, 6ES7-315-2 At least 33 Frequency Converters, Operating between 807Hz and 1,210Hz. 0-day exploit Faille de sécurité, i.e. un bug Historique Début en Juin 2009 Activité Mars et Avril 2010 Connaissance en Juillet 2010 Cascaded Centrifuges 9 Vacon + Local Iranian PLC 2

Les attaquants, les cibles, et les défenses Attaquants : malware Botnet Virus, vers... Spyware Cibles : Systèmes d information site web email pdf smartphone Systèmes industriels Défenses : Pare-feux et Anti-virus Identification (signature) syntaxique Opérationnel Pro Cons Sensible aux mutations/ obfuscations Inefficace face aux nouvelles attaques 3

Duqu Ingénierie Sociale: email attaque ciblée vol d informations NGC 6745 JPG picture referenced in Duqu Infection propagation vol d un certificat 21 0-day exploit Faille de sécurité de Word Historique Début Juin 2010? Découverte en Sept. 2011 par Crysys (Budapest) Rapport de Symantec (confirmé par Kaspersky, Mc Afee,...) : Duqu est similaire à Stuxnet Même mécanisme d infection et de propagation Mais les anti-virus n ont rien détecté avant Septembre 2011 Aucun des 43 anti-virus de VirusTotal n a détecté Duqu connaissant Stuxnet. 4

Et pourtant Détection de codes malveillants par analyse morphologique Anti-virus développé au LHS, Loria Architecture partagée avec les anti-virus actuels Identification (Signature) différente Prototype avancé 5

Détection de Duqu Export functions Numbers of Number of Ratio Time in nodes in the nodes match- ms MA-signature of ing Stuxnet Duqu MA-signature 1 959 605 63.09% 0.06 2 1458 796 54.60% 0.09 3 692 476 68.79% 0.04 4 1212 655 54.04% 0.08 5 2879 1397 48.52% 0.24 6 937 613 65.42% 0.07 7 1998 1079 54.00% 0.14 8 959 605 63.09% 0.06 Dll EntryPoint 1248 945 75.72% 0.10 Table 1: Summary of our results on Intel c Core TM i5 CPU M560 2.67GHz Alarme Duqu est détecté à partir de Stuxnet par notre anti-virus Scan de la mémoire The ratio between both provides a similarity measure between Duqu entries and Stuxnet codes. The time for each computation is also given. It is Détection veryd une short, less mutation than one millisecond. inconnue (Duqu) à partir de son ancêtre (Stuxnet) The rate of common nodes is very high compared to normal levels. The lowest rate is 48% and it goes up to 75%. It indicates that the amount of Faible taux de faux positifs Reconnaissance code shared between des briques Duqu and Stuxnet logicielles is significant. de même To confirm fonctionnalité our results, the next section is devoted to a manual inspection to check that matches found correspond well to common codes or similar obfuscated codes. 6 On structural code alignment Jean-Yves From Marion a comparison - Laboratoire of Duqu s de DLL Haute NETP191.PNF Sécurité (LHS) and Stuxnet s main DLL Oem7a.pnf MA-signatures, we are able to establish a structural code alignment between both malware. The structural code alignment process is com- 6

Ré-alignement du code 7

Conclusion Les anti-virus connaissaient Stuxnet, et pourtant, ils n ont pas détecté Duqu. Nous savons détecter Duqu par Analyse Morphologique à partir de Stuxnet Nécessité d une recherche indépendante Analyse de programmes binaires est difficile: - Nécessité d une recherche fondamentale - Besoin d un cadre pour expérimenter : Laboratoire de haute Sécurité - Prototype à rendre opérationnel 8