Malwares La menace de l'intérieur



Documents pareils
Présenté par : Mlle A.DIB

Introduction aux antivirus et présentation de ClamAV

Sécurité des Postes Clients

Installation et mise en sécurité des postes de travail Windows

Pourquoi choisir ESET Business Solutions?

JAB, une backdoor pour réseau Win32 inconnu

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

OSSIR Groupe SécuritS. curité Windows. Réunion du du 9 octobre 2006 EADS. Réunion OSSIR du 09/10/2006. page 1

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Internet Découverte et premiers pas

Document de présentation technique. Blocage du comportement

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Mobilité, quand tout ordinateur peut devenir cheval de Troie

Managed VirusScan et renforce ses services

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Bilan 2008 du Cert-IST sur les failles et attaques

Une nouvelle approche globale de la sécurité des réseaux d entreprises

escan Entreprise Edititon Specialist Computer Distribution

Symantec MessageLabs Web Security.cloud

Sécuriser les achats en ligne par Carte d achat

La sécurité informatique

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Internet Le guide complet

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

La sécurité sur internet

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Cybercriminalité. les tendances pour 2015

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Désinfecte les réseaux lorsqu ils s embrasent

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Notions de sécurités en informatique

Menaces et sécurité préventive

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Les rootkits navigateurs

Congrès national des SDIS 2013

Les risques HERVE SCHAUER HSC

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

PUISSANCE ET SIMPLICITE. Business Suite

Aperçu technique Projet «Internet à l école» (SAI)

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Dr.Web Les Fonctionnalités

NETTOYER ET SECURISER SON PC

La Toile mondiale vous ouvre. Défense de pénétrer dans mon PC! PARE-FEU ET ANTIVIRUS

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Guide de démarrage rapide

La Gestion des Applications la plus efficace du marché

FleXos : Présentation Zscaler

SOPHOS - Endpoint Security and Control.doc

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Feuille de données Outpost Antivirus Pro 2009 Antivirus de haute vitesse qui vous tient à la tête du jeu

NETTOYER ET SECURISER SON PC

Étude des Spywares. Étudiant : Professeur responsable : En collaboration avec : DE SOUSA Bruno LITZISTORF Gérald TRUPHEME Florent Telecom System 2005

Cybercriminalité. les tendances pour 2014

L'écoute des conversations VoIP

Détection d'intrusions et analyse forensique

Trend Micro, leader mondial de la sécurité de contenu. Nicolas Lutz, Responsable Suisse Romande. Tel :

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Guide d évaluation. PureMessage pour Windows/Exchange Tour du produit

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Fiche Technique. Cisco Security Agent

Sécurité Glossaire. Internet > Avancé > Vider le dossier Temporary Internet Files lorsque le navigateur est fermé.

Vulnérabilité des postes clients

Dr.Web : les meilleures technologies pour protéger vos ordinateurs

SECURITE DES DONNES. Comment éviter d irrémédiables dégâts. Dr. Jacques Abbeels

PROCEDURE D INSTALLATION et de CONFIGURATION DU SERVICE PACK2 POUR WINDOWS XP

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Symantec Endpoint Protection

La protection des systèmes Mac et Linux : un besoin réel?

La sécurité des systèmes d information

Vers un nouveau modèle de sécurisation

Appliances et logiciels Security

1. Planification, Implémentation Et Maintenance D une Infrastructure Active Directory Microsoft Windows server 2003

Guide de l utilisateur

Se débarrasser des s indésirables

Faille dans Internet Explorer 7

z Fiche d identité produit

OSSIR Groupe SécuritS. curité Windows. Réunion du du février 2006 EADS. Réunion OSSIR du 13/02/2006. page 1

Les attaques APT Advanced Persistent Threats

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Symantec Endpoint Protection Fiche technique

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Proxy et reverse proxy. Serveurs mandataires et relais inverses

PACK SKeeper Multi = 1 SKeeper et des SKubes

Surveillance de réseau : un élément indispensable de la sécurité informatique

Les menaces informatiques

Mise à jour de sécurité

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Protection Sophos contre les menaces sur les systèmes d extrémité

CIE 1 : Mise en service d un PC, y compris le domaine de la sécurité informatique :

Transcription:

Malwares La menace de l'intérieur Nicolas RUFF (EADS-CCR) nicolas.ruff@eads.net Eric DETOISIEN eric_detoisien@hotmail.com

Plan 1. Introduction 2. Panorama de la menace actuelle 3. Progrès des techniques rencontrées "dans la nature" 4. Analyse des défenses existantes 5. Nouvelles techniques de protection 6. Conclusion 7. Références

Introduction Sécurité depuis toujours limitée au périmètre extérieur du SI (protection des serveurs sur Internet) Pourtant la menace des chevaux de Troie est toute aussi réelle et ancienne mais souvent ciblée Aujourd hui ce danger devient massif et opportuniste au travers des spywares Les malwares sont une réalité, efficaces et en constante évolution ils demandent de nouveaux types de protection

Panorama de la menace actuelle 3 tendances lourdes Explosion de la malveillance informatique Spam/spim, phishing/pharming, vol d'identité, malwares, etc. Profits importants générés par ces activités Absence de solution à l'échelle de l'internet Législations, normes techniques, outils Conclusion : la malveillance organisée sur Internet est une activité durable (car rentable) Note : les spywares qualifiés de "menace de l'an 2005" par les administrateurs mais pas par les décideurs (étude WatchGuard)

Progrès des techniques rencontrées "dans la nature" Une idée forte : les activités de recherche sont désormais financées Exemples d'outils et de techniques rencontrées dans la nature "Rootkits" Windows indétectables Hacker Defender "Rootkit Golden" (390 ) EvilEyeSoftware "RAT" (entre $200 et $300) Techniques anti-analyse Initialement : des versions modifiées de UPX Maintenant : protection par des outils spécialisés type ASPACK, détection de VMWare Ex. Mydoom.P, LovGate.AJ, Litmus.AS Virus "professionnels" Ex. collaboration des virus Bagle / Zafi / Netsky http://www.kaspersky.com/news?id=160377972

Progrès des techniques rencontrées "dans la nature" Motivation des attaquants Capturer des données sur le poste En général financières Mots de passe PayPal, banques en ligne, etc. Le vol d'identité est également à la hausse Utiliser le poste en rebond ("bot") Cf. "tracking botnets" du HoneyNet Project DDoS Émission de spam Compromission d'autres machines Manipulation des revenus publicitaires (Adwares et Google AdSense) Manipulation des sondages en ligne

Progrès des techniques rencontrées "dans la nature" Les cibles du vol d'information Courant : Mots de passe applicatifs Keylogging Écoute du trafic réseau (très courant aujourd'hui) Pour contourner le SSL, il est possible d'intercepter l'api Winsock Moins courant : Données de formulaires mémorisées Mot de passe Windows Clés privées des certificats En général lié à une attaque ciblée

Progrès des techniques rencontrées "dans la nature" Démo SSLug Proof of Concept d un malware avancé Man-in-the-Middle SSL transparent pour l utilisateur Développé pour Internet Explorer Utilisation d injection de code par API Hooking Récupération en clair du flux chiffré via HTTPS Présentation à l utilisateur du "vrai" certificat

Analyse des défenses existantes Une panoplie bien rodée Sur le poste de travail Antivirus Antispyware Firewall personnel HIDS/HIPS Aux frontières de l'entreprise Antivirus de passerelle / de messagerie Filtrage d extension Proxy filtrant (par URL ou par contenu)

Analyse des défenses existantes Ces outils "traditionnels" deviennent inefficaces Les techniques à base de signatures ne suivent plus Très forte réactivité des auteurs de malwares (parfois 15 minutes entre 2 mises à jour) Utilisation de "0day" Attaques via des scripts/objets dynamiques dans le navigateur, la machine Java, les plugins Flash/PDF Les "black lists" d'urls ne sont plus suffisantes Utilisation de machines compromises pour relayer des attaques en "phishing" (pas d'adresse IP fixe)

Analyse des défenses existantes Ces outils "traditionnels" deviennent inefficaces (suite) Les canaux cachés se font de plus en plus furtifs vis-à-vis du firewall personnel Utilisation de connexions IE légitimes via scripting OLE Utilisation de Browser Helper Objects (BHO) ou de plugins Les moteurs de détection et/ou les évaluations de risques s'avèrent incomplets Utilisation de nouveaux vecteurs d'attaque (ex. bogue JPEG) Les outils de protection eux-mêmes sont attaqués Ex. nombreux bogues dans les moteurs de décompression LHA / ARJ / ZIP / Ex. Ver Witty

Nouvelles techniques de protection Des évolutions sensibles du marché Frontières de plus en plus floues entre les outils Suites "tout-en-un" Bases de signatures par type de menace (payantes) Détecteurs de rootkits F-Secure, Symantec, SysInternals, Microsoft (projet Strider GhostBuster), etc. Technologies anti-"buffer overflow" et anti-"0 day" McAfee, Cisco, Symantec, etc. Moniteurs comportementaux Entrée de Microsoft dans le jeu Firewall de XP SP2 Analyse des BHO de XP SP2 Outil "Stinger-like" mis à jour tous les mois Rachat de Giant Antispyware Rachat de Antigen et GeCAD (antivirus)

Nouvelles techniques de protection Sur le poste de travail Protections spécifiques des cibles traditionnelles BHO Clés de base de registre "sensibles" Moniteurs de comportements "Profiling" applicatif (avec phase d'apprentissage ou non) Accès à des ports sensibles (ex. TCP/25) Lancement de code depuis des répertoires sensibles (ex. Temporary Internet Files) Détection d'api hooking Etc. Aux frontières Détection des canaux cachés HTTP par analyse comportementale Connections régulières et uniformes dans la journée Ratio upload/download anormal Accès à une URL unique

Nouvelles techniques de protection Outils OpenSource Protection du poste : aucun? Détection aux frontières Cctde (plugin SNORT) Tcpstatflow Outils commerciaux Détection aux frontières BlueCoat WatchGuard Blocage des "0day" McAfee Entercept Symantec Enterprise Firewall Cisco CSA Primary Response (Sana Security) StormShield (SkyRecon) Etc. etc. (un marché vraiment dynamique!)

Conclusion Menace professionnelle donc potentiellement redoutable et très efficace Solutions classiques du marché obsolètes ou du moins insuffisantes Nouvelles solutions à peine émergentes (mais très dynamiques) Une nouvelle menace, dans des cas extrêmes difficile à stopper, mais qui ouvre aussi un nouveau marché bien juteux pour les éditeurs

Références Les directions générales sous-estiment les "spywares" http://www.vulnerabilite.com/actu/20050125102942etude_watchguard_s pywares.html "Covert Channel and Tunneling over the HTTP protocol Detection" http://www.gray-world.net/projects/papers/html/cctde.html TcpStatFlow http://www.geocities.com/fryxar/ Benjamin Caillat - Backdoors en environnement Windows http://benjamin.caillat.free.fr/

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back