SlideShare a Scribd company logo

Les menaces apt

Bruno Valentin
Bruno Valentin

Une présentation sur les attaques ciblées (advanced persistent threats). Les entreprises à l'heure du cyber-espionnage

Internet
1 of 35
boolaz.com Bruno Valentin Les entreprises à l’heure du cyber espionnage Les menaces APT
boolaz.comKésako ? 2
boolaz.com Ce que l’APT n’est pas • Un defacement • Un Déni de service • Un DDoS • L’accès frauduleux à un S.T.A.D. • Un vol de données par injection SQL • l’exploitation transversale d’une vulnérabilité (wordpress, joomla…) • … 3
boolaz.com Alors qu’est ce que c’est ? • APT : Advanced Persistent Threat • Threat > Menace pour l’entité qui en est victime • Advanced > évoluée, complexe • Persistent > Volonté de perdurer le plus longtemps possible 
 sans être détecté par les équipes en charge du 
 système d’information (attaque furtive, sous le radar) 4
boolaz.com évoluée ? • Pris en considération séparément, les éléments d’une APT ne sont pas particulièrement évolués > XSS, SQLi, phishing, spear phishing, malwares • Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013) • Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments par des individus spécialistes dans leur domaine • Le nombre d’attaquants • Importance des moyens mis en oeuvre (physique, partenaires) 5
boolaz.comLes attaquants 6
boolaz.com Les attaquants • Une attaque APT n’est pas menée par un individu unique • Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille > composition peut aller jusqu’à plusieurs dizaines d’individus • Recoupements par mode opératoire et éléments communs > serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles > ⚠ Partage de ressources • Profils complémentaires 7
boolaz.com Types de profils • Développeurs > Développeurs généralistes et développeurs de malwares > sous traitance • Administrateurs système > maintien de l’infrastructure du groupe APT • Hackers > pénétration, maintien des accès • Chefs de projet • Experts en menace informatique (threat intelligence) > Spécialiste de la réponse sur incident
 • Experts dans le domaine convoité (competitive intelligence) > Donnent une crédibilité et un meilleur taux de réussite des attaques ciblées par spear phishing puisqu’il s’agit d’un professionnel du secteur 8
boolaz.comLes cibles 9
boolaz.com Les cibles • Toute entité présentant des données sensibles ou stratégiques pour un concurrent ou une entité tierce • Peu importe la taille de la victime > savoir faire technologique, secrets de fabrique • Les cibles peuvent être diverses > Individus > Associations / fondations > laboratoires de recherche > entreprises privées > Gouvernements 10
boolaz.com Secteurs les plus touchés • Services financiers • Média et divertissement • Industrie • Aérospatiale et défense 11
boolaz.com Actifs convoités et motivations • inventions, travaux de R&D, projets sensibles > concurrence, revente • informations classifiées > gouvernements • Campagne de déstabilisation d’un concurrent > manipulation cours de bourse, nuisance • Toute donnée intéressante pour un tiers … 12
boolaz.comLe cycle d’une A.P.T. 13
boolaz.com Test d’intrusion traditionnel • Reconnaissance > informations publiques sur les IP, recherches web, poubelles, social engineering • Découverte et énumération > repérage sur le système, recherche de ports ouverts, de vulnérabilités, topologie du S.I., absence de chiffrement de données qui transitent, modèle des équipements réseau • Accès au système > exploitation d’une ou plusieurs vulnérabilités • Maintien de l’accès > implantation de rootkit, de backdoors, désactivation de certains logs • Dissimulation des traces > Effacement des traces, des logs, des historiques 14
boolaz.com L’A.P.T. est différente • Exhaustivité > Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de recherche de vulnérabilités > APT : Une vulnérabilité suffit pour la compromission > différence entre white/black hacking • Spécialisation > test d’intrusion : spécialistes auditant techniquement sur la forme le système d’informations > APT : Appui d’analystes en competitive intelligence (spécialistes du domaine, travail sur le fond) 15
boolaz.com Cycle d’une APT 1. Reconnaissance active 
 et passive 2. Compromission - point d’entrée 3. C&C 4. Renforcement des accès et mouvement latéraux 5. Exfiltration de données 6. Persistance de la présence 16
boolaz.com Phase de reconnaissance - 2 types • Reconnaissance passive > Noms de domaines (whois) > Historique du site > plages d’adresses IP > Enregistrements DNS > Adresses mail > Réseaux sociaux (viadeo, linkedin) > Google dorks > Forums … • Reconnaissance active > Découverte des matériels utilisés > découvertes de ports et services > découverte de vulnérabilités > Métadonnées extraites du site > Fouille des poubelles de l’entité 17 I - Reconnaissance
boolaz.com Compromission - point d’entrée • Attaques à distance > drive by download > Phishing d’informations d’authentification > R.A.T. (cheval de troie) > exploitation d’une vulnérabilité > intrusion dans un serveur > injection SQL > mail piégé contenant un exploit pour une faille identifiée
 • Attaques locales ou visant l’humain > social engineering / usurpation > spear phishing > réseaux sociaux > accès physique > clé USB, cartes mémoire 18 I - Reconnaissance II - Compromission
boolaz.com Compromission - outils utilisés • RAT > Poison ivy > PlugX/KorPlug > njRAT/Bladabindi > Rarement des exploits 0-day • Méthode > Vol de certificats signés > injection de DLL appelés par des binaires signés • spear phishing avec pièce jointe maquillée et piégée > pdf > document office > archive > fausse extension 19 I - Reconnaissance II - Compromission
boolaz.com Commande & Contrôle 20 I - Reconnaissance II - Compromission III - C&C • Communication dissimulée > « covert channel » > HTTPS (443 TCP) > DNS (port 53 UDP/TCP) > mais aussi tout simplement HTTP > anti-IDS • Permet aux attaquants d’exécuter à distance des commandes sur les machines compromises • La communication s’appuie généralement sur le système DNS > domaine > domaine dynamique
boolaz.com Renforcement des accès et mouvements latéraux • Elévation de privilèges > exploits locaux > mauvaises configuration > rootkits et backdoors • Découverte de nouveaux actifs > sniffing du réseau local > interception de mots de passe > scan de machines et de ports > position de MITM
 • Mouvements latéraux > exploitation par le réseau > usurpation des identités des utilisateurs des postes compromis > partages réseau 21 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
boolaz.com Exfiltration de données • D’abord en interne > informations captées acheminées vers un serveur interne > Utilisation de la compression > découpage des informations > puis chiffrement des données > toujours pour tromper sondes de détection et IDS
 • Puis en externe > Drop zone contrôlée par le groupe à l’origine de l’APT > transmission via un canal dissimulé > le DNS peut être utilisé pour ça 22 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
boolaz.comExemples d’A.P.T. 23
boolaz.com Elderwood • première opération d’ampleur (2010), l’opération Aurora • Cibles : Finances, technologies de l’internet, nouvelles technologies, média, chimie • Une vingtaine de sociétés visées ainsi que des hacktivistes • Exploitation CVE-2010-0249 (non patchée) • Utilisation d’exploits 0-day (flash, IE, XML core services) • Utilisation de watering holes • Suite à cette attaque Elderwood s’est spécialisée sur les secteurs : défense, transport, aéronautique, armement, énergie, industrie, ingénierie, électronique 24
boolaz.com Stuxnet • Ver informatique destiné à compromettre les systèmes SCADA • Utilisé dans le cadre d’une APT • 1er ver à s’attaquer aux systèmes ICS • Introduction du ver par clé USB • 4 failles 0-day • utilisation de drivers signés • Techniques d’attaque > Rootkits (signés) > Protocole d’échanges P2P (dialogue avec les machines infectées, et le C&C) > Failles 0-days (vulnérabilités non- patchées), > Faiblesse des mots de passe 25
boolaz.com APT1 (Comment crew) • le plus gros groupe découvert à ce jour • 3ème département de l’état major de l’armée chinoise, second bureau du PLA (U61398) • 100% entité gouvernementale chinoise • 141 attaques réussies (2006-2013) • 913 serveurs de commande en 2 ans • plusieurs centaines de noms de domaines et les milliers de sous domaines qui y sont rattachés • utilisation du spear phishing • pièces jointes au format ZIP contenant des fichiers PDF .exe 26
boolaz.com APT1 (Comment crew) • Recherchés par le FBI > Wang Dong (ugly gorilla) > Sun kai liang (Jack sun) • Capitaine de l’armée > Wen Xinyu (WinXYHappy) > Huang Zhenyu (hzy_lhx) > Gu Chunhui (KandyGoo) 27
boolaz.comStratégie de défense La lutte contre les A.P.T. 28
boolaz.com Relatives aux utilisateurs • Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité informatique > emploi de périphériques amovibles > post-it > remonter les problèmes aux services techniques > ouverture de fichiers PDF ou autres pièces jointes > techniques de social engineering et de spear phishing > transfert de courrier électronique > BYOD > … 29
boolaz.com Relatives aux politiques de sécurité • Etablir des politiques de sécurité et les faire appliquer > mots de passe > chiffrement des données pour les employés itinérants (guide ANSSI) > emploi de destructeurs de documents papier > politique d’accès physique aux matériels (ménage) > problématique du stockage dans les clouds publics > Audit régulier des accès wifi « sauvages » 
 (rogue access point) > liste bien entendue non exhaustive 30
boolaz.com • Mises à jour des systèmes > serveurs • IIS, Apache … > mais surtout stations de travail • Internet Explorer • Flash • Java • Acrobat reader • antivirus Mesures techniques 31
boolaz.com Mesures techniques • Réduction de l’exposition > ports ouverts > services utilisés • Détection des anomalies > HIDS, NIDS, IPS > analyse et corrélation des logs
 (syslog central, Siem) > actions proactives et autonomes 
 du système d’informations • Le DNS !!! ⚠ > utilisé pour joindre le C&C > utilisé pour exfiltrer des données • Faire auditer le système d’information de façon périodique > PCI-DSS : Penetration testing should be performed at least annually and anytime there is a significant infrastructure or application upgrade or modification 32
boolaz.com Mesure curatives • Remote Forensic > analyse des postes à distance > solution d’analyse forensic entreprise / cybersécurité > Collecte d’éléments de preuve / identification des données compromises > Chasse aux zombies • Bloquages > stopper les exfiltrations de données en contrôlant les flux • Remédiation > suppression des infections, réinstallation des postes compromis 33
boolaz.com Pour aller plus loin • Sécurité et espionnage informatique > cédric pernet aux éditions Eyrolles • MISC n°79 > mai-juin 2015 34
Bruno VALENTIN 
 Encase Certified Examiner n°15-0914-6378 Certified Ethical Hacker n°ECC36443059336 
 bvalentin@uriel-expert.com www.uriel-expert.com Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco Merci de votre attention

Recommended

Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleBruno Valentin
 
pres2
pres2pres2
pres2Yassine Ghallab
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
Contrôle d'un ordinateur à distance
Contrôle d'un ordinateur à distanceContrôle d'un ordinateur à distance
Contrôle d'un ordinateur à distanceReseau Informed
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetAyoub Ouchlif
 
Attaque metasploite
Attaque metasploiteAttaque metasploite
Attaque metasploiteMajid CHADAD
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013Hackfest Communication
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 

Recommended

Extraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleExtraction mots de passe par attaque Man-in-the-middle
Extraction mots de passe par attaque Man-in-the-middleBruno Valentin
 
pres2
pres2pres2
pres2Yassine Ghallab
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
Contrôle d'un ordinateur à distance
Contrôle d'un ordinateur à distanceContrôle d'un ordinateur à distance
Contrôle d'un ordinateur à distanceReseau Informed
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetAyoub Ouchlif
 
Attaque metasploite
Attaque metasploiteAttaque metasploite
Attaque metasploiteMajid CHADAD
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013Hackfest Communication
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite webChristophe Villeneuve
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...usthbsido
 
Hackernew
HackernewHackernew
HackernewLeila Aman
 
La culture hacker
La culture hackerLa culture hacker
La culture hackerdecoderlecode
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petyaKiwi Backup
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Eric Romang
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...DICKO Yacouba
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Présentation gnireenigne
Présentation gnireenignePrésentation gnireenigne
Présentation gnireenigneCocoaHeads.fr
 
Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Eric Romang
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderMohamed Ben Bouzid
 
Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Bruno Valentin
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratiquesalmenloukil
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvasSafae Rahel
 
ASFWS 2013 - Welcome
ASFWS 2013 - Welcome ASFWS 2013 - Welcome
ASFWS 2013 - Welcome Cyber Security Alliance
 

More Related Content

What's hot

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...usthbsido
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petyaKiwi Backup
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Eric Romang
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCopMohammed Zaoui
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...DICKO Yacouba
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Présentation gnireenigne
Présentation gnireenignePrésentation gnireenigne
Présentation gnireenigneCocoaHeads.fr
 
Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Eric Romang
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderMohamed Ben Bouzid
 

What's hot (17)

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
 
Hackernew
HackernewHackernew
Hackernew
 
La culture hacker
La culture hackerLa culture hacker
La culture hacker
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Présentation gnireenigne
Présentation gnireenignePrésentation gnireenigne
Présentation gnireenigne
 
Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1Scénarios d'exploitation Metasploit - FR : Scénario 1
Scénarios d'exploitation Metasploit - FR : Scénario 1
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 

Viewers also liked

Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Bruno Valentin
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratiquesalmenloukil
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvasSafae Rahel
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking81787
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Présentation finale pi soutenance
Présentation finale pi soutenancePrésentation finale pi soutenance
Présentation finale pi soutenanceTristan De Candé
 
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !Pascal MARTIN
 
La sécurité informatique en belgique dec 2013 - 2
La sécurité informatique en belgique dec 2013 - 2La sécurité informatique en belgique dec 2013 - 2
La sécurité informatique en belgique dec 2013 - 2Rudi Réz
 
La sécurité informatique en belgique avril 2014
La sécurité informatique en belgique avril 2014La sécurité informatique en belgique avril 2014
La sécurité informatique en belgique avril 2014Rudi Réz
 
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014Sébastien GIORIA
 
Web Application Penetration Testing Introduction
Web Application Penetration Testing IntroductionWeb Application Penetration Testing Introduction
Web Application Penetration Testing Introductiongbud7
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing ExplainedRand W. Hirt
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeFranck Franchin
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 

Viewers also liked (20)

Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)Pattern detection in a remote LAN environment (EN)
Pattern detection in a remote LAN environment (EN)
 
Spring Par La Pratique
Spring Par La PratiqueSpring Par La Pratique
Spring Par La Pratique
 
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
 
ASFWS 2013 - Welcome
ASFWS 2013 - Welcome ASFWS 2013 - Welcome
ASFWS 2013 - Welcome
 
Ca hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehackingCa hakin9-06-2008-googlehacking
Ca hakin9-06-2008-googlehacking
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Coursinfo s4
Coursinfo s4Coursinfo s4
Coursinfo s4
 
Présentation finale pi soutenance
Présentation finale pi soutenancePrésentation finale pi soutenance
Présentation finale pi soutenance
 
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !Ligne de commandes sous Linux : effrayant ? Non : indispensable !
Ligne de commandes sous Linux : effrayant ? Non : indispensable !
 
La sécurité informatique en belgique dec 2013 - 2
La sécurité informatique en belgique dec 2013 - 2La sécurité informatique en belgique dec 2013 - 2
La sécurité informatique en belgique dec 2013 - 2
 
La sécurité informatique en belgique avril 2014
La sécurité informatique en belgique avril 2014La sécurité informatique en belgique avril 2014
La sécurité informatique en belgique avril 2014
 
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
Web Application Penetration Testing Introduction
Web Application Penetration Testing IntroductionWeb Application Penetration Testing Introduction
Web Application Penetration Testing Introduction
 
Pen Testing Explained
Pen Testing ExplainedPen Testing Explained
Pen Testing Explained
 
cours Lunix
cours Lunixcours Lunix
cours Lunix
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 

Similar to Les menaces apt

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
La sécurité.pptx
La sécurité.pptxLa sécurité.pptx
La sécurité.pptxunanissa
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfMoufidaHajjaj
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web? Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web? Pierre-François Danse
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark webNetSecure Day
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques Manuel Cédric EBODE MBALLA
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 

Similar to Les menaces apt (20)

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
La sécurité.pptx
La sécurité.pptxLa sécurité.pptx
La sécurité.pptx
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
 
1 introduction secu
1 introduction secu1 introduction secu
1 introduction secu
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Enumeration et Exploitation
Enumeration et Exploitation Enumeration et Exploitation
Enumeration et Exploitation
 
Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web? Qui vous traque? Qui vous surveille sur le web?
Qui vous traque? Qui vous surveille sur le web?
 
#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web#NSD15 - Threat intelligence et Deep/Dark web
#NSD15 - Threat intelligence et Deep/Dark web
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 

Les menaces apt

  • 1. boolaz.com Bruno Valentin Les entreprises à l’heure du cyber espionnage Les menaces APT
  • 3. boolaz.com Ce que l’APT n’est pas • Un defacement • Un Déni de service • Un DDoS • L’accès frauduleux à un S.T.A.D. • Un vol de données par injection SQL • l’exploitation transversale d’une vulnérabilité (wordpress, joomla…) • … 3
  • 4. boolaz.com Alors qu’est ce que c’est ? • APT : Advanced Persistent Threat • Threat > Menace pour l’entité qui en est victime • Advanced > évoluée, complexe • Persistent > Volonté de perdurer le plus longtemps possible 
 sans être détecté par les équipes en charge du 
 système d’information (attaque furtive, sous le radar) 4
  • 5. boolaz.com évoluée ? • Pris en considération séparément, les éléments d’une APT ne sont pas particulièrement évolués > XSS, SQLi, phishing, spear phishing, malwares • Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013) • Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments par des individus spécialistes dans leur domaine • Le nombre d’attaquants • Importance des moyens mis en oeuvre (physique, partenaires) 5
  • 7. boolaz.com Les attaquants • Une attaque APT n’est pas menée par un individu unique • Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille > composition peut aller jusqu’à plusieurs dizaines d’individus • Recoupements par mode opératoire et éléments communs > serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles > ⚠ Partage de ressources • Profils complémentaires 7
  • 8. boolaz.com Types de profils • Développeurs > Développeurs généralistes et développeurs de malwares > sous traitance • Administrateurs système > maintien de l’infrastructure du groupe APT • Hackers > pénétration, maintien des accès • Chefs de projet • Experts en menace informatique (threat intelligence) > Spécialiste de la réponse sur incident
 • Experts dans le domaine convoité (competitive intelligence) > Donnent une crédibilité et un meilleur taux de réussite des attaques ciblées par spear phishing puisqu’il s’agit d’un professionnel du secteur 8
  • 10. boolaz.com Les cibles • Toute entité présentant des données sensibles ou stratégiques pour un concurrent ou une entité tierce • Peu importe la taille de la victime > savoir faire technologique, secrets de fabrique • Les cibles peuvent être diverses > Individus > Associations / fondations > laboratoires de recherche > entreprises privées > Gouvernements 10
  • 11. boolaz.com Secteurs les plus touchés • Services financiers • Média et divertissement • Industrie • Aérospatiale et défense 11
  • 12. boolaz.com Actifs convoités et motivations • inventions, travaux de R&D, projets sensibles > concurrence, revente • informations classifiées > gouvernements • Campagne de déstabilisation d’un concurrent > manipulation cours de bourse, nuisance • Toute donnée intéressante pour un tiers … 12
  • 14. boolaz.com Test d’intrusion traditionnel • Reconnaissance > informations publiques sur les IP, recherches web, poubelles, social engineering • Découverte et énumération > repérage sur le système, recherche de ports ouverts, de vulnérabilités, topologie du S.I., absence de chiffrement de données qui transitent, modèle des équipements réseau • Accès au système > exploitation d’une ou plusieurs vulnérabilités • Maintien de l’accès > implantation de rootkit, de backdoors, désactivation de certains logs • Dissimulation des traces > Effacement des traces, des logs, des historiques 14
  • 15. boolaz.com L’A.P.T. est différente • Exhaustivité > Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de recherche de vulnérabilités > APT : Une vulnérabilité suffit pour la compromission > différence entre white/black hacking • Spécialisation > test d’intrusion : spécialistes auditant techniquement sur la forme le système d’informations > APT : Appui d’analystes en competitive intelligence (spécialistes du domaine, travail sur le fond) 15
  • 16. boolaz.com Cycle d’une APT 1. Reconnaissance active 
 et passive 2. Compromission - point d’entrée 3. C&C 4. Renforcement des accès et mouvement latéraux 5. Exfiltration de données 6. Persistance de la présence 16
  • 17. boolaz.com Phase de reconnaissance - 2 types • Reconnaissance passive > Noms de domaines (whois) > Historique du site > plages d’adresses IP > Enregistrements DNS > Adresses mail > Réseaux sociaux (viadeo, linkedin) > Google dorks > Forums … • Reconnaissance active > Découverte des matériels utilisés > découvertes de ports et services > découverte de vulnérabilités > Métadonnées extraites du site > Fouille des poubelles de l’entité 17 I - Reconnaissance
  • 18. boolaz.com Compromission - point d’entrée • Attaques à distance > drive by download > Phishing d’informations d’authentification > R.A.T. (cheval de troie) > exploitation d’une vulnérabilité > intrusion dans un serveur > injection SQL > mail piégé contenant un exploit pour une faille identifiée
 • Attaques locales ou visant l’humain > social engineering / usurpation > spear phishing > réseaux sociaux > accès physique > clé USB, cartes mémoire 18 I - Reconnaissance II - Compromission
  • 19. boolaz.com Compromission - outils utilisés • RAT > Poison ivy > PlugX/KorPlug > njRAT/Bladabindi > Rarement des exploits 0-day • Méthode > Vol de certificats signés > injection de DLL appelés par des binaires signés • spear phishing avec pièce jointe maquillée et piégée > pdf > document office > archive > fausse extension 19 I - Reconnaissance II - Compromission
  • 20. boolaz.com Commande & Contrôle 20 I - Reconnaissance II - Compromission III - C&C • Communication dissimulée > « covert channel » > HTTPS (443 TCP) > DNS (port 53 UDP/TCP) > mais aussi tout simplement HTTP > anti-IDS • Permet aux attaquants d’exécuter à distance des commandes sur les machines compromises • La communication s’appuie généralement sur le système DNS > domaine > domaine dynamique
  • 21. boolaz.com Renforcement des accès et mouvements latéraux • Elévation de privilèges > exploits locaux > mauvaises configuration > rootkits et backdoors • Découverte de nouveaux actifs > sniffing du réseau local > interception de mots de passe > scan de machines et de ports > position de MITM
 • Mouvements latéraux > exploitation par le réseau > usurpation des identités des utilisateurs des postes compromis > partages réseau 21 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
  • 22. boolaz.com Exfiltration de données • D’abord en interne > informations captées acheminées vers un serveur interne > Utilisation de la compression > découpage des informations > puis chiffrement des données > toujours pour tromper sondes de détection et IDS
 • Puis en externe > Drop zone contrôlée par le groupe à l’origine de l’APT > transmission via un canal dissimulé > le DNS peut être utilisé pour ça 22 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
  • 24. boolaz.com Elderwood • première opération d’ampleur (2010), l’opération Aurora • Cibles : Finances, technologies de l’internet, nouvelles technologies, média, chimie • Une vingtaine de sociétés visées ainsi que des hacktivistes • Exploitation CVE-2010-0249 (non patchée) • Utilisation d’exploits 0-day (flash, IE, XML core services) • Utilisation de watering holes • Suite à cette attaque Elderwood s’est spécialisée sur les secteurs : défense, transport, aéronautique, armement, énergie, industrie, ingénierie, électronique 24
  • 25. boolaz.com Stuxnet • Ver informatique destiné à compromettre les systèmes SCADA • Utilisé dans le cadre d’une APT • 1er ver à s’attaquer aux systèmes ICS • Introduction du ver par clé USB • 4 failles 0-day • utilisation de drivers signés • Techniques d’attaque > Rootkits (signés) > Protocole d’échanges P2P (dialogue avec les machines infectées, et le C&C) > Failles 0-days (vulnérabilités non- patchées), > Faiblesse des mots de passe 25
  • 26. boolaz.com APT1 (Comment crew) • le plus gros groupe découvert à ce jour • 3ème département de l’état major de l’armée chinoise, second bureau du PLA (U61398) • 100% entité gouvernementale chinoise • 141 attaques réussies (2006-2013) • 913 serveurs de commande en 2 ans • plusieurs centaines de noms de domaines et les milliers de sous domaines qui y sont rattachés • utilisation du spear phishing • pièces jointes au format ZIP contenant des fichiers PDF .exe 26
  • 27. boolaz.com APT1 (Comment crew) • Recherchés par le FBI > Wang Dong (ugly gorilla) > Sun kai liang (Jack sun) • Capitaine de l’armée > Wen Xinyu (WinXYHappy) > Huang Zhenyu (hzy_lhx) > Gu Chunhui (KandyGoo) 27
  • 28. boolaz.comStratégie de défense La lutte contre les A.P.T. 28
  • 29. boolaz.com Relatives aux utilisateurs • Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité informatique > emploi de périphériques amovibles > post-it > remonter les problèmes aux services techniques > ouverture de fichiers PDF ou autres pièces jointes > techniques de social engineering et de spear phishing > transfert de courrier électronique > BYOD > … 29
  • 30. boolaz.com Relatives aux politiques de sécurité • Etablir des politiques de sécurité et les faire appliquer > mots de passe > chiffrement des données pour les employés itinérants (guide ANSSI) > emploi de destructeurs de documents papier > politique d’accès physique aux matériels (ménage) > problématique du stockage dans les clouds publics > Audit régulier des accès wifi « sauvages » 
 (rogue access point) > liste bien entendue non exhaustive 30
  • 31. boolaz.com • Mises à jour des systèmes > serveurs • IIS, Apache … > mais surtout stations de travail • Internet Explorer • Flash • Java • Acrobat reader • antivirus Mesures techniques 31
  • 32. boolaz.com Mesures techniques • Réduction de l’exposition > ports ouverts > services utilisés • Détection des anomalies > HIDS, NIDS, IPS > analyse et corrélation des logs
 (syslog central, Siem) > actions proactives et autonomes 
 du système d’informations • Le DNS !!! ⚠ > utilisé pour joindre le C&C > utilisé pour exfiltrer des données • Faire auditer le système d’information de façon périodique > PCI-DSS : Penetration testing should be performed at least annually and anytime there is a significant infrastructure or application upgrade or modification 32
  • 33. boolaz.com Mesure curatives • Remote Forensic > analyse des postes à distance > solution d’analyse forensic entreprise / cybersécurité > Collecte d’éléments de preuve / identification des données compromises > Chasse aux zombies • Bloquages > stopper les exfiltrations de données en contrôlant les flux • Remédiation > suppression des infections, réinstallation des postes compromis 33
  • 34. boolaz.com Pour aller plus loin • Sécurité et espionnage informatique > cédric pernet aux éditions Eyrolles • MISC n°79 > mai-juin 2015 34
  • 35. Bruno VALENTIN 
 Encase Certified Examiner n°15-0914-6378 Certified Ethical Hacker n°ECC36443059336 
 bvalentin@uriel-expert.com www.uriel-expert.com Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco Merci de votre attention