Les "APT" (Advanced Persistent Threats) ne sont souvent pas si "avancées" que l'on imagine. Le plus souvent leurs auteurs n'exploitent que des faiblesses basiques dans l'architecture et les opérations du réseau. C'est pourquoi un retour aux bases est nécessaire pour rendre ces attaques plus difficiles : architecture Active Directory, gestion des versions et configurations, partitionnement des identifiants, supervision adaptée.

1. palais des
congrès
Paris
7, 8 et 9
février 2012

2. APT : Diminuer le risque
grâce à un retour aux bases
et aux bonnes pratiques
8 février 2012
Pascal Sauliere
Architecte sécurité, CISSP, CCSK
Microsoft France

3. Objectifs de la session
Avoir une idée des « APT »
Redéfinir les priorités
Rendre les attaques plus difficiles
Diminuer les risques

4. Advanced Persistent Threat (APT)
It's taken me a few years, but I've come around to this buzzword. It
highlights an important characteristic of a particular sort of Internet
attacker.
A conventional hacker or criminal isn't interested in any particular target.
He wants a thousand credit card numbers for fraud, or to break into an
account and turn it into a zombie, or whatever. Security against this sort
of attacker is relative; as long as you're more secure than almost
everyone else, the attackers will go after other people, not you. An APT
is different; it's an attacker who -- for whatever reason -- wants to attack
you. Against this sort of attacker, the absolute level of your security is
what's important. It doesn't matter how secure you are compared to your
peers; all that matters is whether you're secure enough to keep him out.
APT attackers are more highly motivated. They're likely to be better
skilled, better funded, and more patient. They're likely to try several
different avenues of attack. And they're much more likely to succeed.
This is why APT is a useful buzzword.
Bruce Schneier, Nov. 2011

6. Actualité
2010-2011 : attaques ciblées contre clients
sensibles, y compris en Europe et en France
Enjeux économiques, stratégiques, nationaux
Impact très important pour les clients affectés
Fuites de données hautement confidentielles
Des mois et des dizaines de personnes pour retrouver la maîtrise de son
SI

7. Exemple

8. APT : Advanced (?) Persistent
Threat
Sophistication organisationnelle plus que
technique
Équipes professionnelles travaillant aux
heures de bureau du pays source (ou relai)
de l’attaque
Opérations spécifiques et ciblées
Utilisation d’un large spectre d’attaques
Intention de s’installer pour perdurer
Réponse adaptative, pas d’abandon
Ciblage de la propriété intellectuelle

9. Étapes
Création d’une présence
Persistance permanente sur le
réseau
Compromission
Extension d’environnements additionnels
Escalade Accumulation de privilèges
Accès Intrusion initiale dans le
réseau

10. 4.L’attaquant utilise les credentials pour
compromettre plus de machines 7. L’attaquant prend le contrôle
du domaine.
6.L’attaquant récupère les credentials
d’administrateur de domaine
1.L’attaquant envoie un email
de “phishing” à la cible
5.L’attaquant récupère les credentials
2.La cible ouvre le mail, la d’admininistrateur de serveurs
machine est compromise
3.L’attaquant moissonne les
credentials sur la machine

11. Autre méthode rencontrée
1. Exploitation vulnerabilité RDP vers systèmes internes
2. Installation malware Installation de malware
3. Mot de passe admin AD Exécution de commandes à
distance
Systèmes connectés
en VPN

12. Exemple : WCE
Windows Credentials Editor (WCE)
Évolution de Pass-the-Hash.
Les hashes sont aussi efficaces que le mot de passe
Dans un contexte administrateur local, WCE récolte les
hashes des utilisateurs / services authentifiés localement
Dont en particulier les comptes admins du domaine
Note – l’accès à un partage réseau n’expose pas les hashes
sur le serveur de fichiers

13. DEMO
D’administrateur local à
administrateur du domaine en 5
minutes

14. Précisions
Ce n’est pas une vulnérabilité
Administrateur  LocalSystem
Accès à tous les secrets du système local
Inclut les sessions locales
Le cache de logon (cached credentials) ne
contient pas les hashes des mots de passe
Les smartcards obligatoires n’empêchent rien
Le hash est dans la session
Ne restreint que le logon local

15. Pourquoi cette attaque marche
Mauvaises pratiques
Systèmes et applications pas à jour
Windows XP non patché
Adobe Reader non patché, etc.
Une simple pièce jointe suffit
Mauvaise utilisation des comptes privilégiés
L’utilisateur est admin local (sinon, élévation de privilège non
patchée…)
Admin du domaine sur une machine compromise

16. Cibles
Active Directory
Serveurs de fichiers
Serveurs Exchange
Serveurs Sharepoint
Serveurs SQL
Données métier au sens large

17. La tâche des attaquants est trop
simple
Attaques pas très sophistiquées
Utilisent des méthodes connues
Copie des POC d’exploits postés en ligne
Profitent de failles dans des principes de base de la sécurité
Versions, configurations, architecture, administrateurs
Habitudes : réutilisation de mots de passe
Rentables
Il faut compliquer la tâche des attaquants de façon à
augmenter le coût des intrusions

18. Les fondamentaux
Les bases à traiter avant toute chose

19. GRC
Conformité
Ce que vous devez faire
Gouvernance
Ce que vous devriez faire
Gestion des risques
Ce que vous choisissez de faire

20. Avant tout, connaître son parc
Inventaire à jour ?
Classification des données
Identifier les « joyaux de la couronne » à
protéger en priorité

21. #1 – versions et mises à jour

22. Windows et IE

23. Fonctionnalités de sécurité
Office Protected Managed Service Active Directory
View Accounts Federation Services
Active Directory
AppLocker BitLocker
Rights Mgt Services
Read-Only Domain
Restricted Groups App-V
Controller
Office File Validation DNS Sec SmartScreen

24. Mises à jour
Quasiment aucun 0day dans les attaques
Toujours des vulnérabilités anciennes, voire très anciennes
Mises à jour disponibles
Vulnérabilités applicatives
Fichiers PDF
Flash
Office (vulnérabilités de 2006-2009 non patchées…)
http://www.microsoft.com/securityupdateguide

25. Exploits contre CVE-2011-0611
Zero-day
1 month after update
2+ months after update

26. #2 – architecture AD
Reflète souvent les choix faits lors de la migration de NT4 à Windows 2000
Architecture Stratégies
Forêts avec des trusts filtrés GPO alignés sur les politiques de
Peu sécurité
d’administrateurs, délégation, grou Désactiver LanMan et autres
pes restreints protocoles faibles
RODC pour les sites exposés Restreindre l’utilisation des
comptes privilégiés

27. #3 – gestion de configuration
Start Secure Stay Secure Confirm You’re
Secure
• Managed • Desired • Continually
desktop, server Configuration compare actual to
images Manager expected
• Least privilege • Change control
• Asset inventory processes

28. #4 – administrateurs
Principe de moindre privilège ignoré
AD « facilitateur d’administration »
« Si ça ne marche pas, j’utilise un compte admin »
Administration quotidienne, helpdesk
Comptes de services, tâches planifiées
« Si je change les mots de passe, plus rien ne marche »
Comptes de services, tâches planifiées
« Je ne vais pas changer de compte juste pour aller sur
Facebook »

29. Concrètement
Élément Résultat
Trop d’administrateurs 75%
Admins avec “Mot de passe n’expire jamais" 91%
LAN Manager Hash présent 75%
Stratégies de groupe non utilisées pour
61%
appliquer la sécurité
Pas de plan de reprise sur incident documenté 50%
Sauvegardes non sécurisées 53%
Compilation de 8000 ADRAP

30. Administrateurs
AD est au cœur de la sécurité du SI
Domain Admins = TOUS les droits sur TOUT
Très peu de tâches nécessitent un compte administrateur
Utiliser la délégation
Malheureusement sous-utilisée
Protéger les admins
Pas uniquement Domain Admins
« Comptes privilégiés »

31. Protection des admins du
domaine
Administrateurs du domaine
logon sur un DC uniquement
ou sur une station dédiée, « sécurisée »
outils d’administration à distance
ou forêt séparée (voir offre MCS)
“A less sensitive system may depend on a more
sensitive system for its security...
A more sensitive system must never depend on
a less sensitive system for its security”
Windows Server 2008 Security Resource Kit,
“Securing the Network”

32. Comptes privilégiés
Mots de passe de ces comptes
règle de complexité : c’est un minimum
les administrateurs doivent s’astreindre à plus de complexité
Comptes de service
au plus, admin d’une machine et d’une seule
idem pour les tâches planifiées

33. Comptes privilégiés
Membre d'un groupe "à pouvoir" du domaine
(domain admins, etc.)
Compte qui a des privilèges Windows donnés par
GPO pour certains membres
Membre d'un groupe local admin sur un membre
(SAM)
Compte Trusted for delegation
Compte pour lequel il existe des ACL explicites sur
des objets de l'AD

34. #5 – supervision
Victime typique
des IDS
des anti-malware
un gestionnaire d’événements de sécurité corrélant des
gigaoctets de données chaque jour
répond à des centaines d’alertes chaque jour
Mais…
ils ont été compromis
ils l’ont appris par d’autre moyens

35. Supervision sécurité
Commencer par surveiller uniquement les
systèmes les plus importants
Collecter uniquement les données
nécessaires
Analyser en priorité les tendances, puis le
contenu si nécessaire
Prévoir la diversité assez tôt, éviter la
complexité et les volumes importants

36. Actions possibles
Collecter
Collecter les données pour analyse ultérieure
Compter
États binaires
Comportements anormaux (systèmes silencieux…)
Comparer
Tendances dans une population
Différences avec un groupe homogène
Analyser
Analyse détaillée du contenu

37. Données essentielles
Type de données Informations Utilisation
Données des Connexion vers Comparer : transferts
proxies des IP externes Analyser : comms avec des IP
malveillantes connues
Données de Connexions à Collecter : uniquement sur les
Netflow l’intérieur du routeurs clés, garder pour IR
Réseau
réseau
Données AV Santé des Comparer : volumes de connexion
systèmes et d’infection
Données WER Santé des Comparer : nombre de systèmes
systèmes qui crashent, distribution des
applications
Événements d’audit Activité des Compter : DC inactifs
leurs de domaine
systèmes Comparer : volume d’évts par DC
Événements de Nouveaux Compter : alertes sur tout
cycle de vie des comptes, événement impliquant des
comptes appartenance aux administrateurs
groupes

38. Compléments

39. Protection des données
Classification
Isolation de domaine IPsec
DLP / RMS
EFS, BitLocker

40. Postes de travail
Autorun
Clés USB (cf. Stuxnet)
Mais aussi partages réseau (cf. Conficker)
BitLocker
Vol de portables

41. Réseau
Chez un client : 8000 règles de
firewall
Chez un autre : 20 firewalls à
traverser entre deux sites
Sans compter les VLAN
Le réseau ne peut pas être à
100% « propre »
Consumérisation
Protéger données et services
sensibles
Solutions simples
Isolation de domaine IPsec
Détection des devices

42. Antivirus / antimalware
Un antivirus protège des malwares qu’il connaît (La
Palice)
Ne protège pas d’un administrateur
How to bypass an antivirus :
http://resources.infosecinstitute.com/how-to-bypass-an-
antivirus
Un antivirus sur un système non patché ne sert à
rien

43. Résumé des bases
1. Versions et mises à jour
2. Architecture Active Directory
3. Gestion de configuration
4. Partitionnement des credentials (protection des
administrateurs)
5. Supervision

44. Les bases d’abord
Antivirus
firewalls
multifonctions
Supervision
IDS, IPS
Corrélation
XP SP2, IE 6
Office 2000
Adobe Reader, Flash
Administrateurs
Autorun

45. Consen

46. Pour conclure
Rendre la tâche des attaquants un peu plus
difficile
Régler les bases en priorité
GRC (gouvernance, risques, conformité) pour
définir les priorités
Solutions simples et éprouvées

47. palais des
congrès
Paris
7, 8 et 9
février 2012