Se préparer pour l inforensique en direct

Gendarmerie Royale du Canada Royal Canadian Mounted Police Se préparer pour l inforensique en direct Sébastien Bourdon-Richard GRC Groupe Intégré de la Criminalité Technologique Martin Salois RDDC Valcartier Groupe Robustesse et analyse des logiciels (NON-CONTROLLED GOODS) DMC A REVIEW: GCEC APRIL 2011 3-4 octobre 2011 Entretiens Jacques Cartier Colloque sur la sécurité informatique, l inforensique et la lutte contre la cybercriminalité Université Concordia, Montréal, Québec Canada

Techniques permettant de collecter, de conserver et d analyser les données contemporaines d un système opérationnel 2 Ces données recueillies correspondent à l état du système à un moment précis L exécution de ces techniques doivent respecter certaines procédures afin d être plus facilement présentées à la cour

Plan de match 3 Motivation: Pourquoi l inforensique en direct? 1 ère partie: Enquête criminelle Critères de validité/volatilité Outils testés Outils à tester 2 ème partie: Réponse aux cyber incidents «Quiconque veut entrer entre» Outils d inforensique traditionnels déficients pour ce genre d analyse Exemple réel Préparation pour la réponse aux incidents en direct Produits prometteurs Conclusions

PARTIE I Enquête criminelle 4

Présentation du projet 1) Validation des outils d acquisition de données volatiles et de la mémoire vive 2) Validation des outils d analyse de la mémoire vive 3) Cas appliqués: extraction de données de la mémoire vive Objectifs du projet Solution d acquisition et d analyse des données volatiles Solution scientifiquement reproductible preuves numériques volatiles admissibles à la cour Solution facilement utilisable par tous les enquêteurs des crimes technologiques au Canada 5

Collaboration Entente de 3 ans signée entre la GRC et RDDC Valcartier Soutenue par le Centre Canadien de Recherches Policières Les techniques développées dans le projet sont enseignées au Collège Canadien de Police 6

Motivations Inforensique en direct Mise hors tension et analyse post-mortem Ordinateur suspect opérationnel Données perdues lors de la mise hors tension Procédures actuelles orientées disque dur Limitations d une investigation post-mortem contournées Systèmes/fichiers chiffrés Connexions réseau/stockage en ligne (cloud) Clavardage sans sauvegarde Réponse plus rapide aux incidents (maliciels actifs) 7

L inforensique en direct L inforensique en direct Collecte des données volatiles Données perdues quand l ordinateur est éteint Analyse en direct Données importantes du disque dur Complément au forensique traditionnel Recherche de périphériques (ex: historique USB branchés) 8 Permet d effectuer une corrélation avec les données du disque dur Utile lors de l interrogatoire (ex: utilisateurs connectés, historique sites web, )

Objectifs techniques de l inforensique en direct Modification minimale du système suspect Solution scientifiquement reproductible preuves numériques volatiles admissibles à la cour Utilisation minimale des fonctions du système suspect Respect de l ordre de volatilité Intervention minimale de l enquêteur avec le système suspect (minimisation du risque d erreur) 9

Arguments contre L inforensique en direct Modifie la «preuve»: VRAI Ajoute de la «preuve»: VRAI Détruit de la «preuve»: VRAI Peut activer une «bombe logique»: VRAI N est peut-être pas requis pour gagner un procès à la cour: VRAI dans plusieurs cas 10

Arguments pour La criminalistique traditionnelle Modifie la «preuve»: VRAI (ex: prise d empreintes, moulage de pneus/pieds) Ajoute de la «preuve»: VRAI (ex: entrer sur une scène de crime laisse des traces) Détruit de la «preuve»: VRAI (ex: analyse de l ADN) Une «bombe logique» est peut-être déjà active: VRAI (ex: Rootkit) 11 L inforensique en direct peut être requise pour gagner un procès à la cour: VRAI (ex: système complètement chiffré )

12 Capture de la mémoire vive Les procédures d acquisition de la mémoire vive peuvent être Matérielles + Indépendance vis-à-vis des codes malicieux + Aucun impact sur la mémoire du système pendant l acquisition - Aucune acquisition de pagefile(s) - Certaines solutions doivent être préinstallées Logicielles + Acquisition de pagefile(s) - Dépendance vis-à-vis du système d exploitation - Espace mémoire requis par les outils peut effacer de la preuve - Droits administrateurs requis

Bonnes pratiques Ne pas faire confiance aux programmes installés sur le système Sauvegarder le plus précisément possible les données correspondantes à l état du système Effectuer l acquisition des données les plus volatiles en premier Prendre des notes détaillées Ne pas éteindre le PC avant d avoir terminé l acquisition et la pré-analyse des données volatiles Minimiser le changement sur les données pendant l acquisition 13

Procédures d exécution d une perquisition Acquisition inforensique en direct Pré-analyse 2 ème acquisition (si requise) Forensique Post-mortem 1.Connexion du disque dur USB sur l ordinateur suspect 2.Exécution des outils d inforensique en direct 3.Connexion en lecture seulement du disque USB sur le PC d analyse 4.Production du rapport de l outil 6.Reconnexion du disque USB sur l ordinateur suspect 7.Acquisition du disque dur en direct si nécessaire 8.Mise hors tension de l ordinateur 9.Acquisition du disque dur hors ligne 5.Pré-Analyse: - Chiffrement? - Historique USB - Triage 14

Données pour les preuves à la cour Admissibles Conformes à certaines règles légales pour être admises Authentiques Possibilité de les relier à l incident Complètes Histoire complète et non seulement une perspective particulière Fiables L acquisition et la manipulation ne doit soulever aucun doute sur l authenticité et la véracité des preuves Crédibles 15 Les preuves doit être crédibles et compréhensibles pour la cour

Critères de validation des outils Critères de validation des outils Souscritères R1. Modification minimale du système suite à l exécution 15 R2. Ordre de volatilité respecté lors de l acquisition 1 R3. L outil effectue l acquisition des données volatiles système 104 R4. Conserve l intégrité et l horodatage des preuves volatiles 2 R5. Utilisation minimal des fonctions du système actif 2 R6. L outil doit valider les exécutables qu il utilise 4 R7. L outil doit fonctionner sur différents systèmes d exploitation 7 R8. Fonctionne avec différents niveaux d authentification 3 R9. L architecture de l outil doit être modifiable et évolutive 4 R10. Intervention minimale de l usager avec le système actif 1 R11. Facilité d utilisation et polyvalence de l outil (optionnel) 5 16 R12. Peut effectuer l analyse rapide d un système (optionnel) 121

Méthodologie de validation Test #1 Analyser l impact sur le système de fichier Test #2 Analyser l impact de chaque processus créé Test #3 Analyser l impact sur le pagefile et la mémoire vive Test #4 Test #5 Test #6 Test #7 Déterminer les dépendances (librairies, exe ) Tester l efficacité face à un système compromis ou un logiciel corrompu Vérifier que les composantes ne sont pas détectées comme des virus Exécuter sous différents systèmes d exploitation avec différents comptes utilisateurs 17

18 Démo validation automatique

Capture de la mémoire (outils testés) Microsoft Windows (toutes les versions après 98) FastDump Pro http://www.hbgary.com http://www.f-response.com http://www.e-fense.com FTK Imager http://accessdata.com WinEn http://www.guidancesoftware.com X-Ways Capture http://www.x-ways.net Agile Risk Management Nigilant32 http://www.agileriskmanagement.com Mantech MDD http://sourceforge.net/projects/mdd dd/dcfldd/win32dd/win64dd Cold Boot (solution de dernier recours!) http://cradpdf.drdc-rddc.gc.ca/pdfs/unc108/p534323_a1b.pdf 19

Capture de la mémoire (outils testés) Microsoft DOS jusqu à Windows 98 Memdump http://www.tssc.de/products/tools/memdump/default.htm Linux/BSD/Solaris Fmem http://pikewerks.com Memdump http://www.porcupine.org e-fense Helix3 Pro http://www.e-fense.com X-Ways Capture http://www.x-ways.net Apple Field Edition (pas encore testé) http://www.macmarshal.com 20

Analyse de la mémoire (à tester) Microsoft Windows (all versions after 98) Responder http://www.hbgary.com http://www.mandiant.com Volatility Framework https://www.volatilesystems.com Crash Dump Analyzer (CDA) & Raw Image Analyzer (RIA) http://cci.cocolog-nifty.com 21

Analyse de la mémoire (à tester) Linux http://pikewerks.com Volatility Framework https://www.volatilesystems.com Apple Forensic Edition http://www.macmarshal.com volafox http://code.google.com/p/volafox/ 22

PARTIE II Réponse aux cyber incidents 23

La sécurité traditionnelle ne fonctionne pas à un coût raisonnable Significant Cyber Incidents Since 2006, Center for Strategic & International Studies, septembre 2011 http://csis.org/publication/cyber-events-2006 69 attaques ou crimes économiques avec plus de 1M $ de perte Agences gouvernementales Industries de défense ou de haute technologie Revealed: Operation Shady RAT, McAfee, août 2011 http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat 72 entités compromises depuis 5 ans (dont 22 gouv.,13 tech, 13 défense) Si ceux-ci ne peuvent pas se défendre 24

Tests de pénétration + exploitation Produits à l étude (pointe et clique) Produits similaires (sans la partie exploitation) http://www.tenable.com http://www.coresecurity.com http://www.openvas.org http://www.immunitysec.com SATAN http://www.porcupine.org/satan http://www.saintcorporation.com http://www.rapid7.com etc. 25

Exemple réel Investigation d une attaque sur ~3000 machines Presque tous les ordinateurs suspects ont été débranchés Nous avons reçu 23 images de disque (2.7 téraoctets) 2,318, 468 fichiers détruits 2 images incomplètes de mémoire ~75 fichiers suspects (trouvés par une série d antivirus et de hash) ~20 ont du être analysés manuellement ~10 étaient directement reliés à l attaque Une analyse complète d un seul disque peut prendre plusieurs jours 26

Exemple réel Leçons apprises Être prêt d avance pour répondre à ce genre d incident Outils existants non conçus pour ce genre d analyse Goulot d étranglement Plusieurs bons outils mais aucune intégration 1 pour réseau, 1 pour disque, 1 pour mémoire Conçus pour être utilisés par un seul analyste Taux de détection très bas des outils actuels Ne détectent pas les APTs et les maliciels inconnus Tous ceux qui sont personnalisés pour cibler quelqu un Tous les nouveaux 27 APT: Advanced Persistent Threat

La voie à suivre... Ne pas fermer les machines Outils d analyse à distance, sur l ordinateur Nouvelles techniques pour la détection des APTs Analyse automatisée (ex. traceur, désobfuscation/dépaquetage) Analyse de la mémoire Processus et outils conçus pour la collaboration entre analystes et l automatisation 28 Visualisation/indexation intégrées de TOUTE l information Disque, mémoire, réseau, commentaires, etc.

Produits commerciaux prometteurs Silicium Security ECAT http://www.siliciumsecurity.com Attackers will get through any security system Un petit agent sur chaque machine Fait l inventaire des exécutables, DLLs et pilotes (drivers) Vérifie les structures internes et les anomalies du système Envoie l information récoltée à un serveur pour analyse Un serveur Compare les résultats avec un système de référence (baseline) Identifie les bons fichiers grâce à leur signature et Bit9 GSR* Scrute les fichiers inconnus avec OPSWAT Metascan + Signale et mets en corrélation les comportements anormaux Produits similaires HBGary Active Defense http://www.hbgary.com Mandiant Intelligent Response http://www.mandiant.com 29 *Bit9 Global Software Registry http://www.bit9.com + OPSWAT Metascan Antivirus Engine http://www.opswat.com

Défense proactive Produits à l étude Produits similaires à venir http://www.validedge.com RAZOR http://www.hbgary.com http://www.fireeye.com http://www.norman.com 30

Conclusion Méthodologie pour l inforensique en direct Incluse dans les procédures policières Validée pour les exigences identifiées Réponse aux incidents La sécurité traditionnelle coûte très cher (temps + ressources) et est souvent hors de portée Se concentrer sur une réponse aux incidents en direct Plus rapide/efficace Collaborative Automatisée Visualisée/indexée réduction de la charge cognitive 31

Sébastien Bourdon-Richard GRC Groupe Intégré de la Criminalité Technologique sebastien.bourdon-richard@rcmp-grc.gc.ca Martin Salois RDDC Valcartier Groupe Robustesse et analyse des logiciels martin.salois@drdc-rddc.gc.ca 32