Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Les menaces apt

632 views

Published on

Une présentation sur les attaques ciblées (advanced persistent threats). Les entreprises à l'heure du cyber-espionnage

Published in: Internet
  • Be the first to comment

Les menaces apt

  1. 1. boolaz.com Bruno Valentin Les entreprises à l’heure du cyber espionnage Les menaces APT
  2. 2. boolaz.comKésako ? 2
  3. 3. boolaz.com Ce que l’APT n’est pas • Un defacement • Un Déni de service • Un DDoS • L’accès frauduleux à un S.T.A.D. • Un vol de données par injection SQL • l’exploitation transversale d’une vulnérabilité (wordpress, joomla…) • … 3
  4. 4. boolaz.com Alors qu’est ce que c’est ? • APT : Advanced Persistent Threat • Threat > Menace pour l’entité qui en est victime • Advanced > évoluée, complexe • Persistent > Volonté de perdurer le plus longtemps possible 
 sans être détecté par les équipes en charge du 
 système d’information (attaque furtive, sous le radar) 4
  5. 5. boolaz.com évoluée ? • Pris en considération séparément, les éléments d’une APT ne sont pas particulièrement évolués > XSS, SQLi, phishing, spear phishing, malwares • Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013) • Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments par des individus spécialistes dans leur domaine • Le nombre d’attaquants • Importance des moyens mis en oeuvre (physique, partenaires) 5
  6. 6. boolaz.comLes attaquants 6
  7. 7. boolaz.com Les attaquants • Une attaque APT n’est pas menée par un individu unique • Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille > composition peut aller jusqu’à plusieurs dizaines d’individus • Recoupements par mode opératoire et éléments communs > serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles > ⚠ Partage de ressources • Profils complémentaires 7
  8. 8. boolaz.com Types de profils • Développeurs > Développeurs généralistes et développeurs de malwares > sous traitance • Administrateurs système > maintien de l’infrastructure du groupe APT • Hackers > pénétration, maintien des accès • Chefs de projet • Experts en menace informatique (threat intelligence) > Spécialiste de la réponse sur incident
 • Experts dans le domaine convoité (competitive intelligence) > Donnent une crédibilité et un meilleur taux de réussite des attaques ciblées par spear phishing puisqu’il s’agit d’un professionnel du secteur 8
  9. 9. boolaz.comLes cibles 9
  10. 10. boolaz.com Les cibles • Toute entité présentant des données sensibles ou stratégiques pour un concurrent ou une entité tierce • Peu importe la taille de la victime > savoir faire technologique, secrets de fabrique • Les cibles peuvent être diverses > Individus > Associations / fondations > laboratoires de recherche > entreprises privées > Gouvernements 10
  11. 11. boolaz.com Secteurs les plus touchés • Services financiers • Média et divertissement • Industrie • Aérospatiale et défense 11
  12. 12. boolaz.com Actifs convoités et motivations • inventions, travaux de R&D, projets sensibles > concurrence, revente • informations classifiées > gouvernements • Campagne de déstabilisation d’un concurrent > manipulation cours de bourse, nuisance • Toute donnée intéressante pour un tiers … 12
  13. 13. boolaz.comLe cycle d’une A.P.T. 13
  14. 14. boolaz.com Test d’intrusion traditionnel • Reconnaissance > informations publiques sur les IP, recherches web, poubelles, social engineering • Découverte et énumération > repérage sur le système, recherche de ports ouverts, de vulnérabilités, topologie du S.I., absence de chiffrement de données qui transitent, modèle des équipements réseau • Accès au système > exploitation d’une ou plusieurs vulnérabilités • Maintien de l’accès > implantation de rootkit, de backdoors, désactivation de certains logs • Dissimulation des traces > Effacement des traces, des logs, des historiques 14
  15. 15. boolaz.com L’A.P.T. est différente • Exhaustivité > Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de recherche de vulnérabilités > APT : Une vulnérabilité suffit pour la compromission > différence entre white/black hacking • Spécialisation > test d’intrusion : spécialistes auditant techniquement sur la forme le système d’informations > APT : Appui d’analystes en competitive intelligence (spécialistes du domaine, travail sur le fond) 15
  16. 16. boolaz.com Cycle d’une APT 1. Reconnaissance active 
 et passive 2. Compromission - point d’entrée 3. C&C 4. Renforcement des accès et mouvement latéraux 5. Exfiltration de données 6. Persistance de la présence 16
  17. 17. boolaz.com Phase de reconnaissance - 2 types • Reconnaissance passive > Noms de domaines (whois) > Historique du site > plages d’adresses IP > Enregistrements DNS > Adresses mail > Réseaux sociaux (viadeo, linkedin) > Google dorks > Forums … • Reconnaissance active > Découverte des matériels utilisés > découvertes de ports et services > découverte de vulnérabilités > Métadonnées extraites du site > Fouille des poubelles de l’entité 17 I - Reconnaissance
  18. 18. boolaz.com Compromission - point d’entrée • Attaques à distance > drive by download > Phishing d’informations d’authentification > R.A.T. (cheval de troie) > exploitation d’une vulnérabilité > intrusion dans un serveur > injection SQL > mail piégé contenant un exploit pour une faille identifiée
 • Attaques locales ou visant l’humain > social engineering / usurpation > spear phishing > réseaux sociaux > accès physique > clé USB, cartes mémoire 18 I - Reconnaissance II - Compromission
  19. 19. boolaz.com Compromission - outils utilisés • RAT > Poison ivy > PlugX/KorPlug > njRAT/Bladabindi > Rarement des exploits 0-day • Méthode > Vol de certificats signés > injection de DLL appelés par des binaires signés • spear phishing avec pièce jointe maquillée et piégée > pdf > document office > archive > fausse extension 19 I - Reconnaissance II - Compromission
  20. 20. boolaz.com Commande & Contrôle 20 I - Reconnaissance II - Compromission III - C&C • Communication dissimulée > « covert channel » > HTTPS (443 TCP) > DNS (port 53 UDP/TCP) > mais aussi tout simplement HTTP > anti-IDS • Permet aux attaquants d’exécuter à distance des commandes sur les machines compromises • La communication s’appuie généralement sur le système DNS > domaine > domaine dynamique
  21. 21. boolaz.com Renforcement des accès et mouvements latéraux • Elévation de privilèges > exploits locaux > mauvaises configuration > rootkits et backdoors • Découverte de nouveaux actifs > sniffing du réseau local > interception de mots de passe > scan de machines et de ports > position de MITM
 • Mouvements latéraux > exploitation par le réseau > usurpation des identités des utilisateurs des postes compromis > partages réseau 21 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
  22. 22. boolaz.com Exfiltration de données • D’abord en interne > informations captées acheminées vers un serveur interne > Utilisation de la compression > découpage des informations > puis chiffrement des données > toujours pour tromper sondes de détection et IDS
 • Puis en externe > Drop zone contrôlée par le groupe à l’origine de l’APT > transmission via un canal dissimulé > le DNS peut être utilisé pour ça 22 I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
  23. 23. boolaz.comExemples d’A.P.T. 23
  24. 24. boolaz.com Elderwood • première opération d’ampleur (2010), l’opération Aurora • Cibles : Finances, technologies de l’internet, nouvelles technologies, média, chimie • Une vingtaine de sociétés visées ainsi que des hacktivistes • Exploitation CVE-2010-0249 (non patchée) • Utilisation d’exploits 0-day (flash, IE, XML core services) • Utilisation de watering holes • Suite à cette attaque Elderwood s’est spécialisée sur les secteurs : défense, transport, aéronautique, armement, énergie, industrie, ingénierie, électronique 24
  25. 25. boolaz.com Stuxnet • Ver informatique destiné à compromettre les systèmes SCADA • Utilisé dans le cadre d’une APT • 1er ver à s’attaquer aux systèmes ICS • Introduction du ver par clé USB • 4 failles 0-day • utilisation de drivers signés • Techniques d’attaque > Rootkits (signés) > Protocole d’échanges P2P (dialogue avec les machines infectées, et le C&C) > Failles 0-days (vulnérabilités non- patchées), > Faiblesse des mots de passe 25
  26. 26. boolaz.com APT1 (Comment crew) • le plus gros groupe découvert à ce jour • 3ème département de l’état major de l’armée chinoise, second bureau du PLA (U61398) • 100% entité gouvernementale chinoise • 141 attaques réussies (2006-2013) • 913 serveurs de commande en 2 ans • plusieurs centaines de noms de domaines et les milliers de sous domaines qui y sont rattachés • utilisation du spear phishing • pièces jointes au format ZIP contenant des fichiers PDF .exe 26
  27. 27. boolaz.com APT1 (Comment crew) • Recherchés par le FBI > Wang Dong (ugly gorilla) > Sun kai liang (Jack sun) • Capitaine de l’armée > Wen Xinyu (WinXYHappy) > Huang Zhenyu (hzy_lhx) > Gu Chunhui (KandyGoo) 27
  28. 28. boolaz.comStratégie de défense La lutte contre les A.P.T. 28
  29. 29. boolaz.com Relatives aux utilisateurs • Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité informatique > emploi de périphériques amovibles > post-it > remonter les problèmes aux services techniques > ouverture de fichiers PDF ou autres pièces jointes > techniques de social engineering et de spear phishing > transfert de courrier électronique > BYOD > … 29
  30. 30. boolaz.com Relatives aux politiques de sécurité • Etablir des politiques de sécurité et les faire appliquer > mots de passe > chiffrement des données pour les employés itinérants (guide ANSSI) > emploi de destructeurs de documents papier > politique d’accès physique aux matériels (ménage) > problématique du stockage dans les clouds publics > Audit régulier des accès wifi « sauvages » 
 (rogue access point) > liste bien entendue non exhaustive 30
  31. 31. boolaz.com • Mises à jour des systèmes > serveurs • IIS, Apache … > mais surtout stations de travail • Internet Explorer • Flash • Java • Acrobat reader • antivirus Mesures techniques 31
  32. 32. boolaz.com Mesures techniques • Réduction de l’exposition > ports ouverts > services utilisés • Détection des anomalies > HIDS, NIDS, IPS > analyse et corrélation des logs
 (syslog central, Siem) > actions proactives et autonomes 
 du système d’informations • Le DNS !!! ⚠ > utilisé pour joindre le C&C > utilisé pour exfiltrer des données • Faire auditer le système d’information de façon périodique > PCI-DSS : Penetration testing should be performed at least annually and anytime there is a significant infrastructure or application upgrade or modification 32
  33. 33. boolaz.com Mesure curatives • Remote Forensic > analyse des postes à distance > solution d’analyse forensic entreprise / cybersécurité > Collecte d’éléments de preuve / identification des données compromises > Chasse aux zombies • Bloquages > stopper les exfiltrations de données en contrôlant les flux • Remédiation > suppression des infections, réinstallation des postes compromis 33
  34. 34. boolaz.com Pour aller plus loin • Sécurité et espionnage informatique > cédric pernet aux éditions Eyrolles • MISC n°79 > mai-juin 2015 34
  35. 35. Bruno VALENTIN 
 Encase Certified Examiner n°15-0914-6378 Certified Ethical Hacker n°ECC36443059336 
 bvalentin@uriel-expert.com www.uriel-expert.com Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco Merci de votre attention

×