Attaques APT appliquées aux environnements bancaires & SCADA Conférence présentée par Vincent LECLERC Responsable service consulting et avant-vente Kaspersky Lab France et Afrique du Nord Cette conférence vous est offerte par l Association Algérienne de la Sécurité des Systèmes d Information Rejoigniez-nous www.aassi.dz
Environnements bancaires Slide 2
TYUPKIN Manipulation d un ATM via un malware Slide 3
Particularités Tlemcen 17 19 mars 2015 50 ATMs touchés en Russie Fabricant ATM : NCR fonctionnant sous Windows 32 bits Malware installé via un CD de boot Fonctionnement : Actif entre 1h et 5h du matin Utilisation d un code pour accéder à l ATM Menu permettant de choisir le bac de billet Récupération de 40 billets Slide 4
Commandes Tlemcen 17 19 mars 2015 111111 affichage de la fenêtre de menu du malware 333333 suppression à l aide d un fichier batch 5555555 extension de l activation de 01:00 AM à 10:00 AM 000000 fermeture du menu Utilisation d un code de session «challenge/response» Slide 5
Slide 6
CARBANAK Slide 7
Résumé Tlemcen 17 19 mars 2015 100 banques touchées (Russie, USA, Allemagne, Chine et Ukraine) Des pirates situés en Russie et en Chine 1 Milliard $ volés Entre 2,5 et 10 Millions $ par cible Durée des opérations entre 2 et 4 mois Slide 8
Méthodes d infection (Etape 1) Tlemcen 17 19 mars 2015 Utilisation du spear phishing Exploitation de vulnérabilités Microsoft Office Installation d une Backdoor (basée sur Carberp) Recherche des cibles avec accès aux systèmes critiques financiers Exploits utilisés: Microsoft Office (CVE- 2012-0158),CVE-2013-3906) et Microsoft Word (CVE- 2014-1761). Copie %system32%\com avec le nom svchost.exe + création service <ServiceName>Sys.bin créé dans %COMMON_APPDATA%\Mozilla Récupération configuration proxy registre Windows ou config Firefox RAT: Ammyy Admin, Backdoor SSH, Metasploit, PsExec or Mimikatz Slide 9
Etude de la banque (Etape 2) Tlemcen 17 19 mars 2015 Contrôle à distance Enregistreurs de frappes Outils de capture d écran Etude pas à pas des outils financiers Formation en ligne ou transfert de compétence Slide 10
Vol (étape 3) Tlemcen 17 19 mars 2015 Transfert d argent via le réseau SWIFT Manipulation des BD : Création de faux comptes bancaires Utilisation de l équilibrage des comptes Commande à distance DAB Slide 11
Slide 12
GREAT TEAM Sergey Golovanov et Sergey Lozhkin Tlemcen 17 19 mars 2015 Slide 13
Environnements industriels Slide 14
Types d incidents Tlemcen 17 19 mars 2015 Infections accidentelles par malware traditionnel Action interne Attaques ciblées (incluant les APT) Slide 15
Energetic Bear / Crouching Yeti GREAT Team Nicolas BRULEZ Slide 16
Campagne APT depuis 2010, 2800+ victimes Energie, usines pharmaceutiques, fabrications Propagations : Emails + Adobe Flash exploit (CVE-2011-0611) Sites webs légitimes infectés (watering hole) Paquets d installation légitimes infectés Sites webs légitimes compromis agissant comme C2C Outils : trojans (Havex), backdoors and exploit packs Slide 17
Exemples paquets infectés : ewon Développeur de logiciels et d équipements réseau SCADA (Belgique) MB Connect Line GmbH Développeur de logiciel de contrôle à distance PLC (Allemagne) "MESA Imaging AG" Fabricant de caméras 3D ultra-rapides et sondes (Suisse) Slide 18
Watering hole Tlemcen 17 19 mars 2015 gse.com.ge - Georgian State Electrosystem gamyba.le.lt entreprise d électricité en Lituanie chariotoilandgas.com - Chariot Oil and Gas Ltd - Exploration longreachoilandgas.com - Longreach Oil & Gas Ltd Exploration vitogaz.com Distributeur, fournisseur et développeur de gaz en France Slide 19
Slide 20
List des ports utilisés pour découvrir les serveurs OPC : 502 - Modbus 102 - Siemens PLC 11234 - Measuresoft ScadaPro 12401-7-Technologies IGSS SCADA 44818 - Rockwell Rslinx / FactoryTalk Slide 21
Slide 22
List des ports utilisés pour découvrir les serveurs OPC : 502 - Modbus 102 - Siemens PLC 11234 - Measuresoft ScadaPro 12401-7-Technologies IGSS SCADA 44818 - Rockwell Rslinx / FactoryTalk Slide 23
US ICS-CERT report (ICSA-14-178-01) Tlemcen 17 19 mars 2015 In particular, the payload gathers server information that includes CLSID, server name, Program ID, OPC version, vendor information, running state, group count, and server bandwidth. In addition to more generic OPC server information, the Havex payload also has the capability of enumerating OPC tags. ICS-CERT testing has determined that the Havex payload has caused multiple common OPC platforms to intermittently crash. This could cause a denial of service effect on applications reliant on OPC communications. ping of death Slide 24
Miancha GREAT Team
Monju Nuclear Power Plant Tlemcen 17 19 mars 2015 2 janvier 2014 : Multiples connections de l un des 8 PC du centre de contrôle Installation de lecteur GOM Media Player (5 jours avant) 42,000+ mails et documents compromis. Slide 26
BlackEnergy 2 GREAT Team
Slide 28
Windows plugins Tlemcen 17 19 mars 2015 fs File search, network and system ps Password collector (stealer) ss Screenshot maker vsnet Network spreading via RDP rd Remote desctop scan Port Scan jn File infector cert Digital certificate stealer grc Backup communication channel via plus.google.com sn Network traffic credential (login:password )extractor usb USB drives information collector Slide 29
Modules Linux Tlemcen 17 19 mars 2015 Slide 30
Slide 31
CnC Server <plugins> <plugin> <name>plugin_win</name> <version>3</version> </plugin> <plugin> <name>plugin_mps</name> <version>1</version> </plugin> </plugins> Slide 32
Slide 33
Scénario d attaque: espionnage Tlemcen 17 19 mars 2015
Infiltrations: Réseau entreprise Employés Sous-traitant Ressources : Hacker Ingénieur Développeur logiciel SCADA Matériel Temps Slide 35
Slide 36
Slide 37
Slide 38
Red October / Cloud Atlas Tlemcen 17 19 mars 2015 Slide 39
FANNY Equation group
Même exploit CVE-2010-2568 que Stuxnet Utilisé en 2008 OS: Windows NT 4.0 Windows 2000 Windows XP Windows 2003 Windows Vista, 2008 Slide 41
Slide 42
Rootkit shelldoc.dll Slide 43
Hexdump de la partition du disque Tlemcen 17 19 mars 2015 Slide 44
Module nls_933w.dll Tlemcen 17 19 mars 2015 HDD/SSD firmware operation Slide 45
Great Team : Igor Sumenkov, Sergery Mineev, Vitaliy Kamlyuk, Costin Raiu. Slide 46
Principales découvertes Tlemcen 17 19 mars 2015 https://apt.securelist.com Slide 47
Conclusions Comment se protéger Slide 48
Exemple d une attaque Principe de base Tlemcen 17 19 mars 2015 Watering hole Sites web légitimes Employé O-Day Exploit Pirate Réseaux sociaux Lien Social engineering Slide 49
Réseau entreprise Système attaqué HIPS-IPS FIREWALL HIPS-IPS FIREWALL PROTECTION Tlemcen 17 19 mars 2015 Lien Contrôle Web Serveur de contrôle et commandes Infos sensibles IPS Infos sensibles HIPS AEP Exploit Shellcode Navigateur web IExplorer.exe Lien Code Client-serveur Contrôle d application Backdoor, RAT, Trojan-Spy, NetScanner IPS IPS IPS Slide 50
Scanners de vulnérabilités & Gestion des correctifs Listes blanches applications Sondes IPS/IDS Host IPS Réputation fichiers et web Contrôle des périphériques Segmentation des réseaux SIEM Mots de passe Changer / masquer les en-têtes des services Pen Testing Slide 51
Formation et sensibilisation Slide 52
NIST Cybersecurity Framework (02/2014): http://www.nist.gov/itl/csd/launch-cybersecurity-framework-021214.cfm PCI-DSS : https://fr.pcisecuritystandards.org/minisite/en/pci-dss-v3-0.php Kill chain Slide 53
Merci! Vincent LECLERC Responsable Service Consulting et Avant-Vente Kaspersky Lab France et Afrique du Nord Slide 54