Post on 13-Oct-2020
IntrusionetvoldedonnéesEstcequejesuisconcerné?
ChristopheBiancoCo-fondateurExcellium Services &SuricatesSolutions
Talentys SecurityDays11&12Février2016
1
Agenda
• Etesvousconcernés?• Anatomied’uneattaque• Commentévaluersijesuisconcerné?• Commentdéployeruneapprochedansmonorganisation?
• Questions&Réponses
2
Quisommes nous?
• Excellium Services– CréeenDécembre2012– PrioritéSurlasécuritédesapplicationsetlagestiondel’intrusion– 42Consultantsetanalystessécurité– UncentreopérationneldesécuritéetunCert officiel
Votreintervenant- ChristopheBianco– Co-fondateurd’Excellium ServicesetdeSuricatesSolutions– Expertdansledomainedelasécuritédel’informationdepuisplusde15
ans– Chercheurdansledomainedel’économiedelacyber-sécurité/Cyber-criminalité
– Conférenciersurlesthématiquesdesécurité(sensibilisation,Economiedelacybercriminalité,Sécuritédesapplications,directiond’organisation,...)
3
christopheBianco
ManagingPartner
Commençons parune question!
• Quiaeu une intrusionsurles6derniers mois?
• Commentl’avez vous découverte?
4
• Onnemesure quece quel’on connait
5
Connaître vos ennemis !
6« ThreatLandscapeRespondingtotheEvolvingThreatEnvironment »[Livrable– 2012-09-28])
MODÈLES D’ATTAQUES
Anatomie d’une attaque
8Exploitation
vulnérabilité duclient
?Détection :- DBIR:62%prennent plusieurs mois- M-Trends:enmoyenne 243jours
Mouvement latéral /Pivot(Avbypass)
Post-exploitationavancée(Encrypté C2&trafic 443)
MiseenoeuvrePhaseducycle Description Exemple
Reconnaissance L'adversaireidentifieetanalyselacible
"Webmining"surdessiteswebs corporatesouleslistesenlignedeparticipantsàdesconférences.
Armement
Lekitd'outilsestpréparépourêtredélivréetexécutésurl'ordinateurouleréseaudelavictime.
L'adversairecréeundocumentpdf avecun"trojan"contenantsonoutild'attaque.
Livraison L'outiloulekitestdélivréàlacible.
L'adversaireenvoieunemaildespearphishing contenantletrojan àsalistedecibles.
Exploitation L'attaqueinitialesurlacibleestexécutée.
l'utilisateurcibléouvrelefichierpdfmalicieuxetlemalwareestexécuté
ContrôleL'adversairecommenceàdirigerlesystèmedelavictimepourréaliserdesactions.
l'adversaireinstalleunoutiladditionnelsurlesystèmeduclient.
Exécution L'adversairecommenceàremplirsamission.
L'adversairecommenceparobtenirlesdonnéessouhaitéessouventenutilisantlepatient"zéro"commepointdedépartpouratteindredessystèmesinternesadditionnelsoudesaccèsréseau.
Maintien Unaccèsdurableestobtenu.L'adversaireaétabliune"backdoor"surleréseaucibleafindepermettreunaccèsrégulier.
9
Attackers create Trojan
3rd Party Software Update Server
Compromised
Attackers create Trojan
Trojan “auto-updated” to Corporate network
60+ Corporate computers infected w/ backdoor agent
Port 8080 used for C&C activities
35M records stolen
Day 0–6 Months Day 8
Anatomied’unAPT
Denouvellescybermenaces?
11
Source« ThreatLandscapeRespondingtotheEvolvingThreatEnvironment »[Livrable– 2012-09-28])
Mais commentlesdétecter?
12
Contenirmenaces
Lechallengedelaréponse à Incident
Analyste Sécurité
Quiestattaqué ?
Quel typed’attaqueest ce?
D’ou l’attaquevient elle?
Alerte Securité
Collecterdonnées
Recherchermaneces
Vérifiermenaces
Time
Losses
Perte dedonnées,declients,propagationdel’infection
Highvaluetargets? Highvalue/severethreats?
ConfirmInfection? Quarantine/Contain?
Leprocessus typique delaréponse àIncident
ContentionDetectionCompromision
DHCPserverDomainControllerADServerPhonebook/directory
Highvaluetargets?
GeoIPserviceWhois
VirusTotal
Intelligence/Rep
Highvalue/severethreats?
MeetingSchedulerForensiccollection/analysisSecurityalertsourceIncidentmanagementConfirmInfection?
TicketingsystemChangecontrol
FW/Proxyconsole(s)
Emailconsole(s)ADconsole(s)
Contain?
Ok,regardons en détail!
15
Phase0- Prévention
• Bonmotdepasse– Evaluationrégulière
• Patches?
16
Pourquoil’attaquantal’avantage?
17SourceiDefenseVeriSign(QSC2012)
OufautilInterveniridéalement
En 7étapes!
18
Lepremierniveau duconceptde”Mesure continuedelaSécurité”!
Phase1– Profilage (composants,traficentrants- sortants)!!!! Lesnouvellesformesd’attaquessontdemoinsenmoins
stupides!!!!
Vousdevezcomprendrelefonctionnementnormaldevotresystèmed’informationpourdétecterlesanomalies
– Qu’estcequiestsurmonsystème?(networkmapping –découverted’équipements, portsetserviceoulogsDHCPoutablesCAM– équipements réseaux)
– Volumétrie surmonréseau(mail,web,cloud,…)?– Quienvoiedeladonnée(auniveauduproxyetdufirewall)– Oùsontenvoyéesmesdonnées (géolocalisationdesips et
numérosdeports)?– Quantlesdonnéessontenvoyées?
Recommendation: Réalisezcetteanalysesurunvolumede3moisdedonnéesetscannezàdifférentespériodedetemps(nuit,week-end,…)
19
20
Leprincipe delaLongTail
21
Phase2– Avonsnousdesclésderegistredémarragenonsouhaitées?– AnalyseLongTail1– Collecteztouteslesclésderegistresurl’ensemble dessystèmes2– Sauvegardezlefichier3– Triezlespourtrouverlesduplications,desmoinsprésentesauplusprésentes4– Analysezlesplusfaiblesfréquences(marchepourleswindowsevent logs,lesinstalled software,lesstartupregistry keys&leslogsDNS)
LapremièrepassepeutêtreconsommatriceUnfoisleprocess terminé
TournezlescriptlanuitPuisdemanièrepériodiqueComparezEtanalysezlesnouvelles entrées(oulesdisparitions)
22
Phase2– Avons nousdesautorunillégaux?– Analyse LongTailUseGroupPolicypourauditer lesclés deregistre auditou WMIen scriptantpourextraire etsurveiller lesmodifications:
Run,RunOnce,Start…
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shared Task%userprofile%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\StartupC:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup
EtHKCU\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\RunHKCU\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\RunOnce
23
Ou si Powershell est votre ami (oumieux dans lelogonscript!!!)$user="starbuck”$password="cyl0n”
$array=@("192.168.1.1","192.168.1.2")
foreach ($ip in$array){netuse\\$ip $password/u:$user|out-null$ipreg query\\$ip\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runreg query\\$ip\HKLM\Software\Microsoft\Windows\CurrentVersion\RunOncereg query\\$ip\HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runreg query\\$ip\HKLM\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Run2>$nullreg query\\$ip\HKLM\SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\RunOnce 2>$null}
24
Phase3– Connexions sortantesPersistantes /Anormales?
• Détectezlesconnexionsrécurrentes/régulières(10minutesestunbonniveaudemesure)
• Commencezparuneempreintedevotretraficnocturne
• LesHackersfontaussideserreursaussiregardez/analysezletraficfiltrésurleproxyinterneoulesfirewals internes
• Quelquestools - http://tinyurl.com/505and511
25
Phase4– LogsProxy?• Activezunlogging correct
– Source/Destination– URL– Category– UserAgent– Bytes&headerSize– Referrer
• Surveillez:– VolumesdelogsAnormaux– Checkdeserreurs403denied et407ProxyAuthrequest– IdentificationdesUserAgentsanormaux– VérificationdestaillesdeHeaders(pouridentifierlesmalicieux)
26
Phase5– PasswordetDroits• Identifiezvotreenvironnementdecomptesàprivilège
– Découvreztouslescomptesàprivilègeetnon-privilège(etgénériques)– Localisezlescrédentials descomptesàprivilègeenincluant:
• Passwords• SSHkeys• Password hashes
• Régulièrementvérifiez larésistancedevosmotsdepasseclés
• Contrôlezl’usagedesdroitsparticuliers- The“Maleficent Seven”– Debug Programs - Load drivers– Impersonate aclient - Take Ownership– Act asPartoftheOS - Restorefiles– Create atoken
27
Phase6– MonitoringSpécifique• SurlesSystèmes(Windows)
– CréationdeRegistry Key– CréationdeService– CréationdeUser– ChangementdedroitsAdmin– NettoyagedesEventLog
– Analysezlepsexec,considérezdesalertesspecifiques commel’antivirusquidétectemimikatz,wce,..
• Surleréseau– DNS– loguezlesrequêtesDNSlocalesDNSetleurrésolution– recherchezles
requêtessurlesdomaines longsleserreurs.– Une tactique possible,consiste à compareraussi lecachedevos serveurs DNS
avecune liste dedomaine malicieux avecunoutil comme Ethanetlaliste dedomaine connue pourcontenir desmalwares(MDL).
https://bitbucket.org/ethanr/dns-blacklists&http://www.malwaredomainlist.com/mdl.php
28
Phase7– LogsWindows
Analysez lesévènepents suivants
29
Type EventIDs Log
Createservice 7030,7045 System
Createuser 4720,4722,4724,4738 Security
Addusertogroup 4732 Security
ClearEventlog 1102 Security
CreateRDPcertificate 1056 System
InsertUSB 10000,100001,10100,20001,20002,20003,24576,24577,24579
System
Disablefirewall 2003 Firewall
www.nsa.gov/ia/_files/app/spotting_the_adversary_with_windows_event_log_monitoring.pdf
Phase7– LogsWindows• Parscript
Get-WinEvent -FilterHashtable @{LogName="Security";ID=4720,4722,4724,4738,4732,1102}Get-WinEvent -FilterHashtable @{LogName="System";ID=7030,7045,1056,7045,10000,100001,10100,20001,20002,20003,24576,24577,24579}Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-WindowsFirewallWith AdvancedSecurity/Firewall";ID=2003}
• Controlez lesdroitsdesusers– Allow/deny LogOnLocally– Allow LogOnThrough Remote DesktopServices– Deny AccessviatheNetwork– Logonasaservice
30
Commentimplémenter cela?• Scriptezetfaiteslevousmêmes
OuAppeleznous!!!!
• Missiond’analyse• Définitiondepolitiquesdemonitoring• Testd’intrusion• Contrôlecontinuedelasécurité• ImplémentationdesolutiondegestiondeslogsouSIEM
31
Conclusion• Bienquec’estcooletfundeparlerdesexploitset0-days...Estcevraimentlesoucis?
• Lefocusd’unestratégiemodernedecyberdéfenseestlacapacitéàdétecter l’activitépost-exploitation (quelest lebutfinal)!– 1erobjectif:détecterl’activitédel’adversairequipoursuitsonobjectif– 2nd objectif:répondreàladétection(avantqu’ilnepossèdevotredomaine)
• Lesoutilsnécessaires àcenouveauparadigmedesécurité– Unearchitecturededéfenseactive– Unteamdesécuritéopérationnelle– Dumonitoringdesécuritéréseau– UneapprochedeContrôlecontinu
• Etn’attendezpasd’avoirdétectéunebrèchedesécuritépourpenseràvoscapacitésdedétection– vousnepouvezpasinvestiguersansinformation
"Theonly way adomain compromisecan be remediated with ahighlevel ofcertainty isacomplete rebuild ofit.”http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx
32
Ensortantdeceséminaire…
• Menezuneréflexionsurvotresurfaced’exposition• Identifiezvosrisquesetvotreexposition• Evaluezvosdéfensesactuellesenmesurantl’efficacitédescontrôlesenplace
• Formalisezvotrepolitiquedesurveillanceenmonitorantlesévènementsetlestransactions(intégrezlesphénomènesdehacking- approchebottom-up)
• Préparezvousàlaréaction
33
Passez quelque tempssurleSANSTop20CriticalSecurityControls1:InventoryofAuthorizedandUnauthorizedDevices2:InventoryofAuthorizedandUnauthorizedSoftware3:SecureConfigurationsforHardwareandSoftwareonMobileDevices,Laptops,Workstations,andServers4:ContinuousVulnerabilityAssessmentandRemediation5:MalwareDefenses6:ApplicationSoftwareSecurity7:WirelessAccessControl8:DataRecoveryCapability9:SecuritySkillsAssessmentandAppropriateTrainingtoFillGaps10:SecureConfigurationsforNetworkDevicessuchasFirewalls,Routers,andSwitches11:LimitationandControlofNetworkPorts,Protocols,andServices12:ControlledUseofAdministrativePrivileges13:BoundaryDefense14:Maintenance,Monitoring,andAnalysisofAuditLogs15:ControlledAccessBasedontheNeedtoKnow16:AccountMonitoringandControl17:DataProtection18:IncidentResponseandManagement19:SecureNetworkEngineering20:PenetrationTestsandRedTeamExercises 34
Merci!
Thanks!
35
ChristopheBiancocbianco@excellium-services.com
OPTIONCARVOUSAVEZÉTÉGENTILS!
36
Fonctionnementd’unBOTNET(“robot”&“network”)• Lesordinateurssontinfectésparunlogicielmalicieux.
• LesordinateursinfectésseconnectentauserveurCommand-and-Control(C&C).
• Lessignescommunsd’uneinfectionparmalware.
• LeBotmasters louesouventsont« réseau »oubotnet àd’autrescriminelsquil’utilisentpourmenerdifférentstypesdecyberattaques.
37Source EuropolEC3
38
39
40
41