Laboratoire de Haute Sécurité Télescope réseau, sécurité des réseaux et Virologie Frédéric Beck (SED) & Olivier Festor (Madynes) Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre 2011
Inria : Institut de recherche en sciences du numérique Sciences informatiques et mathématiques RECHERCHE DEVELOPPEMENT TECHNOLOGIQUE ET EXPERIMENTATION ENSEIGNEMENT ET FORMATION TRANSFERT ET INNOVATION Un institut public à caractère scientifique et technologique sous la double tutelle du ministère de la Recherche et du ministère de l Industrie 2
Principaux domaines de recherche 1 Mathématiques appliquées, Calcul et Simulation 2 Algorithmique, Programmation, Logiciels et Architectures 3 Réseaux, Systèmes et Services, Calcul distribué 4 Perception, Cognition, Interaction 5 STIC pour les sciences de la vie et de l environnement 3
Centres de recherche Inria Inria LILLE Nord Europe Inria PARIS - Rocquencourt Inria NANCY Grand Est Inria SACLAY Île-de-France Inria RENNES Bretagne Atlantique Inria GRENOBLE Rhône-Alpes Inria BORDEAUX Sud-Ouest Inria SOPHIA ANTIPOLIS Méditerranée 4
Laboratoire de Haute Sécurité Plate-forme unique en France et en Europe Objectifs Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...) Défense pro-active contre les programmes malicieux et nouvelles menaces Études, expérimentations à grande échelle et publications Collecte et analyse de données Développement et mise à disposition d'outils et logiciels Valider, valoriser et distribuer les travaux https://lhs.loria.fr 2 axes principaux Sécurité réseau Télescope réseau Expérimentations et études Virologie 5
Laboratoire de Haute Sécurité 6
Sécurité réseau (équipe Madynes) Améliorer la sécurité des réseaux et des services Olivier Festor Collecte et analyse de données d'attaque (télescope réseau) Définition et mise en œuvre de mécanismes de protections (logiciels, recommandations) Gestions de vulnérabilités (découverte, protection) Détection des mal-fonctions et des compromissions (monitoring/supervision) Objectifs Définitions et extensions de protocoles et algorithmes Développements et maintenance de solutions logicielles Expérimentations à grande échelle Domaines d'application variés (IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux adhoc, SCADA...) 7
Télescope réseau Capture à grande échelle de malwares et de traces réseau Architecture multi-provider 3 ADSL (Orange, SFR, Free) 1 SDSL 2Mbits avec /24 public Architecture virtualisée et cloisonnée 3 environnements distincts Collecte des données Stockage et confinement des données Support aux expérimentations 8
Télescope réseau Capture de code et binaires malicieux Émulation de vulnérabilités Permet d'éviter la propagation des attaques ou la compromission des sondes Capture des malwares qui les exploitent Binaires transmis à l'équipe virologie Utilisation de sandbox pour analyser le comportement du malware et l'identifier Capture d'informations supplémentaires sur l'attaquant IP source, localisation géographique, site hébergeant le binaire Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses pro-actives Capture de traces et flux réseau Capture au format PCAP et NetFlow des traces d'attaque Analyse des mécanismes d'infection et de propagation des malwares Objectif Définition de mécanismes de défense périmétrique pro-active Bloquer les attaques à la source 9
Honeypots et services émulés Utilisation de honeypots à faible interactions Environ 25 instances déployées à l'heure actuelle Dionaea RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL Amun Émulation de vulnérabilités via plugins python Kippo Brute force SSH toujours un succès et accès à un shell minimaliste Sessions enregistrées pour tracer les activités Leurrecom.org Honeypot project «pots de miels» distribués et répartis dans le monde Dans le passé Nepenthes, ancêtre de Dionaea Hali en collaboration avec l'université du Luxembourg, honeypot SSH type Kippo 10
Le télescope en chiffres En fonctionnement depuis le 09 Septembre 2008 Total (au 13/12/2011) 415 940 593 attaques Dont 125 915 793 attaques malicieuses 101 445 523 malwares téléchargés 292 599 binaires uniques capturés Quotidiennement 350 000 attaques dont 106 000 malicieuses + de 8 500 binaires téléchargés Traces réseau 5,7 To de données PCAP 88 Go de flux NetFlow 6 Go de flux Tor anonymisés 11
Détection de vulnérabilités Stateful fuzzing avec feedback + de 50 vulnérabilités trouvées Mécanisme breveté de fingerprinting avec un seul paquet KIF Fuzzing contre les états protocolaires Apprentissage automatique de la machine à états d'après traces correctes Mécanisme de feedback : suivi des données et graphes d'exécution Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur Domaines d'application SIP DNS IPv6 DHCP PDF 12
Protection contre les vulnérabilités SecSIP, un framework de protection contre les attaques SIP Première ligne de défense stateful pour le protocole SIP Identification des vulnérabilités avec KIF Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto Génération automatique des règles de prévention D'après la définition de la vulnérabilité avec algorithmes génétiques veto SJPhone_Vul@SJPhone uses SJPhoneDefs begin (ev_invite) -> { if (SIP:headers.Content_Length!@eq "SIP:body.length") drop; } (ev_invite(malformed)) -> drop; veto end 13
Sécurité VoIP Monitoring des services VoIP Identifier les attaques et fraudes Détection d'anomalies dans les logs/traces Développement d'un BotNet VoIP Honeypot VoIP : Artemisa Risk management dans les réseaux VoIP Design et développement d'un IDS VoIP Modélisation du risque dans les infrastructures VoIP Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures Prototype fonctionnel implémenté dans Asterisk 14
Sécurité des réseaux P2P Monitoring et protection du réseau KAD Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD au niveau d'internet Prise de contrôle de l'indexation des ressources par attaque Sybille Logs anonymisés des activités de publication et de recherche Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de mots clés pédophiles Définition d'un système de protection contre les attaques Sybille 15
Sécurité des réseaux de demain Sécurité des réseaux IPv6 NDPMon, Neighbor Discovery Protocol Monitor Version IPv6 d'arpwatch avec fonctionnalités additionnelles Supervision du Neighbor Discovery Protocol (NDP) Nouvelle station, changement d'adresse... Détection d'attaques contre le NDP Usurpation d'identité, DoS, mauvaises annonces réseau... Historique du pairing adresses IPv6 et Ethernet Permet de tracer les stations Windows utilisant IPv6 Alertes configurables 16
Travaux en cours et futurs Modélisation de flux réseaux malicieux Analyse et corrélation des flux et paquets réseaux collectés Classification des malwares selon leurs mécanismes de propagation Mise en œuvre de nouveaux mécanismes de défense périmétrique Extension Snort? Supervision des services : DNS Analyse passive des requêtes DNS récursives Traces du télescope et du réseau de l'inria Nancy Grand Est Anonymisation des adresses Audit des logs pour détecter le trafic malicieux Classification et clustering automatique des domaines malicieux Communications avec contrôleurs de Botnets ou serveurs hébergeant des malwares identifiées «in the wild» Objectif Ouvrir et proposer le service au public 17
Calculabilité, complexité et virologie (équipe Carte) Deux axes thématiques Calculabilité et complexité : calculs analogues, terme de sécurité de réécriture, algorithme robuste et distribuées, théorie des jeux algorithmiques, complexité implicite computationnelle. Jean-Yves Marion Virologie : Détection des codes auto-modifiants Neutralisation d'un botnet Étude morphologique sur les malwares Réalisation d'un antivirus 18
Détection des codes auto-modifiants Mise en évidence des vagues de traitement Représentation des phases d'exécution 19
Détection des codes auto-modifiants 20
Neutralisation du botnet Waledac Wikipédia Waledac est présenté comme l'un des dix plus importants botnets aux État-Unis, mais constitué de centaines de milliers d'ordinateurs infectés à travers le monde. Des ordinateurs zombies principalement utilisés à leur insu pour inonder la planète de spam, à raison de plus de 1,5 milliard de messages par jour! Exploitation d'une erreur de conception La liste des machines à contacter (les protecteurs) était triée par ordre d'importance! 21
Neutralisation du botnet Waledac 22
Neutralisation du botnet Waledac 23
Étude morphologique de malwares Élaboration du graphe de flot de contrôle (CFG) Scan direct du binaire (analyse statique) Exécution du binaire en environnement (analyse dynamique) Application des réductions 24
Étude de malwares par sa morphologie Recherche du sous-graphe dans un autre CFG Le graphe une fois réduit va servir de signature 25
Application aux trojans Stuxnet - Duqu 26
Application aux trojans Stuxnet - Duqu 27
Application aux trojans Stuxnet - Duqu 28
Quelques résultats Allaple.B Allaple.D Allaple.E AutoIt.r Cosmu.abix Kido.bu Kido.ih Obfuscated.gen Virut.av Malwares Texel.k Kido.bj Détection statique Détection dynamique 60000 60000 50000 20000 50000 Echantillons 40000 Signatures Graphe trop petit 30000 Détectés Faux négatifs 20000 10000 10000 0 0 40000 30000 Allaple.B Allaple.E Cosmu.abix Kido.ih Allaple.A Allaple.D AutoIt.r Kido.bu Texel.k Echantillons Signatures Graphe trop petit Détectés Faux négatifs Allaple.B Allaple.E Cosmu.abix Kido.ih Allaple.A Allaple.D AutoIt.r Kido.bu Texel.k 29
Travaux en cours et futurs Améliorations de l'antivirus Au niveau performances (taille de la base de données, vitesse de recherche de sous-graphes, etc.) Le proposer sous forme d'un Service Web («in the cloud») Support des techniques de «dépackage» (unpack) Développer un module Kernel ou interne à l'hyperviseur (virtualisation) pour scanner en permanence la mémoire Prise en compte des techniques anti-débuggage Collection de malwares Capturer ou collecter encore plus d'échantillons de malwares Affiner la base de signatures (suppression des faux positifs) 30
Merci de votre attention Frédéric Beck (SED) & Olivier Festor (Madynes) Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre 2011 31
Contacts Équipe projet Madynes Olivier Festor olivier.festor@inria.fr Isabelle Chrisment isabelle.chrisment@loria.fr http://madynes.loria.fr Équipe projet Carte Jean-Yves Marion jean-yves.marion@loria.fr Guillaume Bonfante guillaume.bonfante@loria.fr Fabrice Sabatier fabrice.sabatier@inria.fr http://carte.loria.fr Service Expérimentations et Développements Frédéric Beck frederic.beck@inria.fr http://lhs.loria.fr https://sed-ncy.inria.fr/ 32