Vos sites Webs favoris sont compromis! Julien Sobrier Senior Security Researcher, Zscaler
Introduction Julien Sobrier jsobrier@zscaler.com San Jose, Californie Senior Security Researcher a Zscaler http://threatlabz.com/: outils gratuits de sécurité, vidéos, présentations, etc. http://research.zscaler.com/: blog sur la sécurité web http://zulu.zscaler.com/: vérifier si une page est malicieuse
Les raisons pour cette présentation 70% des liens malicieux proviennent de sites infectés 1 9 500 nouveaux sites malicieux découverts chaque jour 2 Principaux outils de sécurité: Anti-virus (signatures prédéfinies) Blacklists (URLS/domaines prédéfinis) Menace dynamique <-> sécurité statique 1 Sophos, 2011 2 Google, 2012
Agenda Comment des sites ont infectés? Failles se sécurité Hébergement compromis Mots de passe volés Victimes célèbres Types de contenu malicieux Exploit kits Campagnes d infection Blackhat SEO Comment se protéger Protéger son site Protéger les utilisateurs
Comment des sites ont infectés? Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company
Comment des sites ont infectés? Failles de sécurités dans les logiciels populaires (CMS/Blog/ ): Wordpress» 2012: 14 CVEs (Wordpress core) Joomla» 2012: 7 CVEs (core) Drupal» 2012: 20+ CVEs (core) Spip» 2012: 2 CVEs
Failles de sécurité Failles de sécurité dans les extensions pour logiciels populaires WordPress 2012: 42 CVE for extensions Vulnérabilités dans les extensions censées sécuriser WordPress!» BulletProof Security, Better WP Security Sites malicieux de thèmes gratuits WordPress + extensions: 323 CVEs Joomla: 613 CVEs Drupal: 506 CVEs
Failles de sécurité Failles de sécurité dans les outils d administration PhpMyAdmin» 2012: 5 CVEs» Gemenet (sécurité) compromis» Version malicieux sur SourceForge cpanel» 2012: +50,000 domaines compromis par une attaque Webmin» 2012: 4 CVEs Plesk» 2012: 1 CVE, +50 000 compromis (exploit vendu $8 000)» 2011: 53 CVEs
Failles de sécurité Failles de sécurité dans les services Apache» 2012: 30+ CVEs (core et modules) FTP server BIND» 2012: 6 CVEs Serveur e-mail: sendmail, postfix, Services ouverts par défaut Memcached, Redis, RabbitMQ Et plus. Un site internet va au-delà du HTML visible Infrastructure peut être partagée, hors du contrôle du webmaster
Hébergement compromis DreamHost (Janvier 2012) Accès a la bases de données utilisateurs ServerPro (Février 2012) Serveurs compromis Blackistés par Google Safe Browsing WHMCS (Mai 2012) Fourni plateforme de paiement et support technique pour hébergeurs Bases de données compromises, serveurs compromis, logs détruits
Mot de passe volés Mot de passe pour accès FTP/panel d administrations peuvent être voles Malware/Botnet/Keylogger installés sur le PC de l utilisateur Mot de passe utilises sur d autres sites divulgués» Yahoo: 450 000» Formspring: 420 000» LinkedIn : 6 460 000» Last.fm: millions» (Gawker, 2010) Faiblesses dans le processus de recouvrement d un mot de passe» Exemple d Apple et Amazon
Victimes célèbres Grosse majorité des infections est automatisée Découverte de cibles potentielles Compromission du serveur ou de l application Sites de toutes tailles sont compromis Quelques exemples de sites populaires compromis en 2012 Ministère du Budget, avril 2012» www.performance-publique.budget.gouv.fr» Blackhole exploit kit Cleartrip (Booking indien), Juin 2012 Computer World Mexique, Juillet 2012) Majorité du top-1000» Blog.com (#649)» fatakat.com (#699)» Ziddu.com (#802)
Victimes célèbres 2011: Mysql.com Geek.com Usps.gov Lenovo Inde Etat du Rajasthan, Inde Universités américaines Sites gouvernementaux de tous pays
Types de contenu malicieux Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company
Types de contenu malicieux Exploit kits Infections récurrentes Blackhole, Incognito, Phoenix, Campagnes «ponctuelles» Exploitent une faille particulière Exploitation très rapide sur une courte période Blackhat SEO Ajout de pages Difficiles a détecter par le webmaster
Exploit kits Blackhole, le plus connu Exploits PDF, Java, Flash, Internet Explorer V1.0: peu de 0-day V2.0 (quelques semaines): 2 0-day utilisés Estimation: 100 millions sites infectes annuellement» Infection peu dures quelques heures a plusieurs années JavaScript malicieux insérés dans chaque page» Offuscation» Code change un peu régulièrement Exploits et exécutables héberges sur d autres serveurs» Exécutables modifies régulièrement pour rester en avance sur les antivirus
Blackhole - dashboard
Blackhole JavaScript malicieux
Campagnes ponctuelles Lizamoon injection SQL +1 500 000 sites infectés Faux antivirus Débute Septembre 2010» Avril 2011: 13/41 antivirus Nikkju (2012) injection SQL +200 000 sites infectés
Blackhat SEO Exploit kits et campagnes d infections affectent les pages existante Blackhat Search Engine Optimization (SEO): créer de nouvelles pages pour attirer des visiteurs de Google/Yahoo/Bing Milliers de sites infectés Centaines de liens crées entre sites infectés (page rank) Nouvelles pages créées chaque jour pour les recherches les plus populaires (Google Hot Trends) Pages de spam apparaissent dans les moteurs de recherches Google/Bing/Yahoo» Utilisateur rediriges vers un autre domaine malicieux (faux antivirus, faux médicaments, faux magasin en ligne, )» Bot (indexeurs et outils de sécurité) reçoivent la page de spam sans contenu malicieux» Search Engine Securite (Firefox/Chrome/Internet Explorer) Infection invisible au webmaster et visiteurs habituels
Blackhat SEO Site infecte Spam Utilisateur Malware C&C server
Comment se protéger Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company
Protéger son site Se protéger contre les failles de sécurité Suivre les mises a jour de tous les logiciels (applications web, service, etc.) et de leur extensions Audit sécurité des extensions avant leur installation Sécuriser les postes de travails ayant aux mises a jour et a la gestion du site, y compris tablettes et smartphones Ne pas exposer les applications de gestion (PhpMyAdmin, Plesk, etc.) Détecter une infection rapidement: Google Webmaster Tools
Protéger ses utilisateurs N importe quel site peut être compromis a tout moment, peu import sa taille ou les compétences des administrateurs Outils habituels de sécurité ne sont pas adaptés Antivirus: détection cible les exécutables, dernier maillon de la chaine d infection Exploit kit comme Blackhole inspectent les exécutables crées, les modifie quand ils sont détectés Taux détection faible, ~25% pour Fake AV par exemple Signatures ne peuvent être créées qu apres avoir découvert les exécutables malicieux
Protéger ses utilisateurs Accès au code malicieux est souvent protéger IP blacklist (Google et vendeurs sécurité) IP ne peut être vu qu une fois par jour (exécutable change toutes les heures) Détection du navigateur:» JavaScript offusqué, redirection Flash, etc.» User-Agent et Referrer Blacklist Contenu malicieux n est pas envoyé aux scanner Infection peut ne durer que quelques heures Sites populaires souvent exclus
Protéger ses utilisateurs Seule solution: analyser la page web telle qu elle est vue par l utilisateur En pratique, beaucoup d efforts mis pour camoufler les exploits et programmes malicieux Code injecté facilement reconnaissable Code injecté change peu souvent Analyse de tous les maillons Code injecté Redirections Exploits Programme téléchargé
Conclusion Safe Internet Clean Pipes 2112 The Zscaller, Cloud Inc. All Security rights reserved. Company
Conclusion TOUS les sites sont potentiellement dangereux Réputation d un site n est plus significative Nombre de sites infectés continue de grandir Protection doit être en temps réel pour détecter les 100 millions de sites infectés Blacklist ne seront jamais a jour Antivirus ne détectent qu un faible nombre de programmes malicieux