SlideShare uma empresa Scribd logo

Hackfest2010 Tm Dg Fr

David Girard
David Girard

Présentation au Hackfest 2010 sur les honeypots. Partie DG.

1 de 24
Baixar para ler offline
Copyright 2010 Trend Micro Inc. Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies. Tom Bennett et David Girard Québec, 5-6 novembre 2010
Agenda • Présentation de David Girard – Le code malicieux plus nombreux et plus furtif que jamais – Les moyens de détection • Honeypots, analyse de trafic, analyse statistique… – Les type de honeypots – Mon honeynet et ceux de Trend Micro WEB EMAIL Copyright 2010 Trend Micro Inc. • Présentation de James Bennett – Les engins de détections – Les types de signatures pour des cas réels • Stuxnet….. • Démonstration • Questions FILE
Évolution de la menace • Augmentation exponentielle du malware – Un nouvelle variante de code malicieux toutes les 1.5 secondes • Le code malicieux est plus furtifs – Le chiffrement et la compression sont utilisés comme moyen de polymorphisme pour devenir des FUD (file fully undetectable). – Les pirates utilisent des services FUD d’aide à l’évasion comme les crypters ex: PXCrypter 26,598 Copyright 2010 Trend Micro Inc. • Les vulnérabilités sont exploitées plus rapidement – 74% des attaques sortent le même jour que les correctifs – Plusieurs attaques sortent avant les correctifs de sécurité – Il y a donc plus de 0 day que jamais 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 2007 2009 2011 2013 2015 Exemplaires uniques PAR HEURE
Exemple de crypteur qui apporte la furtivité au malware. 75$ pour le premier exemplaire et 25$ pour les exemplaires subséquents Dogma Millions, Earning4u et pay- per-install.org sont des sites PPI To FUD or not to FUD? Copyright 2010 Trend Micro Inc. per-install.org sont des sites PPI qui débouchent sur des crypteurs et des testeurs à la VirusTotal mais ceux-ci sont totalement Black Hat Tous utilisent aussi des Black Hat SEO (Search Engine Optimization) pour optenir plus de click et de drive by dowload infection Classification 11/8/2010 4
Les moyens de détections des nouvelles variantes • Les Honeypots et Honeynets: Spam trap, et malware collectors. Coûteux. Doivent être nombreux et diversifiés. • IDS (Network et Host) : Menaces en périphérie, DDOS, violation de protocoles et limitation de l’utilisation de signatures. Peu de détections car ne distingue pas bien entre une infection et un scan. Beaucoup de faux positifs. Copyright 2010 Trend Micro Inc. entre une infection et un scan. Beaucoup de faux positifs. • SIEMS : Analyse transversale des évènements, dépend de la qualité des données sous-jacentes. Ils ne s’adaptent pas bien à la diversité des botnets sur le terrain. Lourdes tâches d’administration. Coûteux. Très coûteux. Classification 11/8/2010 5
Les moyens de détections des nouvelles variantes (suite) • NBA (Network Base Analysis) : Alerte sur les comportements anormaux. Beaucoup de fausse alertes. Doit avoir un baseline fiable pour détecter une anomalie significative. Détecte beaucoup d’autres situations qui ne sont pas reliées aux botnets. Exemple: Projet Ourmon. Copyright 2010 Trend Micro Inc. • Autres technologies : Multi-senseurs (ex: Bot Hunter, Trend Micro TDA). – Ceux-ci sont plus fiables car ils se bases sur plusieurs types d’analyse ou engin et font une corrélation des résultats. – Ils se basent aussi sur des preuves typiquement reliées au malware (scan de cibles, détection d’exploit, téléchargement de binaires et exécution, connexion à des C&C,scans sortants, campagnes de spam….) Classification 11/8/2010 6
Les types de Honeypots *Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox. Principalement il y a les Low Interaction Honeypots et les High Interaction Honeypots. Les honeypots sont soit pour la recherche ou pour la production. Il y a plusieurs sous types (dépend de la mission): Copyright 2010 Trend Micro Inc. • Spam trap • Crawlers • Les hybrides Honeynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de détecter le V2V pas juste le V2C. Pour plus de détails et une bonne liste de projets: www.honeynet.org Classification 11/8/2010 7
Processus de collection du code malicieux Passif (on attend d’être ciblé) ou Actif: 1. On va à la pêche au spam 2. On extrait les URL 3. On crawl sur les sites et on tente de se faire infecter ou de télécharger les fichiers malicieux que l’on trouve (Exe, pdf, swf…) Copyright 2010 Trend Micro Inc. (Exe, pdf, swf…) 4. On capture le chargement (low) ou on analyse les changements (high) et les accès réseaux. (Analyse des chargements avec YARA, PEiD,PDFiD, swftool, etc) 5. On envoit une copie du chargement à plusieurs engins antiviraux pour identification 6. On envoi une copie à plusieurs Sandbox pour analyse 7. Analyse des multiples résultats Classification 11/8/2010 8
Mon Honeynet personnel 1. Lien sans filtrage de ports 2. Plus d’une IP fixe 3. Un Firewall pour créer une DMZ 4. Une switche gérée avec un port mirroir 5. Un Hyperviseur pour héberger les VM (3+) 6. Une station de gestion Copyright 2010 Trend Micro Inc.Classification 11/8/2010 9 6. Une station de gestion et de monitoring isolé par le firewall 7. Un nom de domaine et des entrées DNS (MX) pour le spam *Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark. Je combine des low et High interaction Honey Pots. J’ai aussi une VM de logging (syslog + OSSEC ou Deep Security)
Liste d’outils à avoir pour analyser nos examplaires de code malicieux • Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool, etc. • OfficeMalScanner • Des debuggers : Ollydbg, IDA Pro, Windows Dbg • Proxy : Burp Suite (car certains utilisent Https) • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script Copyright 2010 Trend Micro Inc. • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF Miner, Pdf-parser.py, Jsunpack, spidermonkey • Tutoriels: The Analyzing Flash Malware Video • Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD + ma bibliographie de mes livres favoris sur mon profil Linkedin • Deux environnements d’analyse: Ubuntu et Windows Et pleins d’autres que je n’ai pas eu le temps de compiler! Classification 11/8/2010 10
Les Spam trap • C’est le premier type qu’il faut avoir dans son Honeynet car c’est le début de la chaine alimentaire. • Il faut avoir des boites aux lettres qui n’ont aucunes utilités et en extraire des informations comme des hyperliens, adresses IP sources, nom de domaine sources ou dans les URL. Copyright 2010 Trend Micro Inc. sources ou dans les URL. • Donc il faut un nom de domaine + des MX ou plein d’adresses de webmails! • On s’en sert pour créer une liste de réputation de courriels et pour alimenter nos Crawlers. Classification 11/8/2010 11
Crawlers ou Honey client • Fureteur automatisé: – Doit simuler plusieurs fureteurs à différent niveau de patches et naviguer vers les hyperliens récoltés. – Il faut soit trouver le malware ou se faire infecter par un exploit. Vive le drive by download (90% et plus des menaces viennent du Web alors). – Plus dur d’attrapper des Stuxnet qui passait par périphériques Copyright 2010 Trend Micro Inc. – Plus dur d’attrapper des Stuxnet qui passait par périphériques USB. Classification 11/8/2010 12
Low interaction Honeypots • Simule soit un OS, des services, des protocoles et des vulnérabilités ou une combinaison. Ce type de pot* est surtout pour le malware collection ou la détection selon le niveau de simulation. • Ex :Dionaea (successeur de Nepenthes), HoneyD, HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est Copyright 2010 Trend Micro Inc. vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est long à installer avec pas mal de dépendances. Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une idée de l’attaquant et avoir un beau graphique de nos infections Avec les malwares collectors, il est impératif de se faire des scripts de soumission à ClamAV, Virus Total ou à des analyseurs de comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts sur le net. Il faut les modifier pour les adapter. Prenez des backup de vos logs (samples et md5 des samples) car un honeypot peut mourir jeune (surtout les High). Classification 11/8/2010 13
Low interaction Honeypots en 15 minutes • Le plus simple des low interaction honeypot : – Linux (Ubuntu ou CentOS de préférence) dans un réseau Windows et d’écouter sur le port 139 ,445 et autres avec netcat. – Gardez un log (pcap) avec Wireshark pour les preuves ou l’analyse. – Truc: assigner plusieurs IP à votre linux dans plusieurs segments pour détecter plus vite. Voir Honeywall project. Copyright 2010 Trend Micro Inc. • Aussi, avec Wireshark, utilisez un display filter avec ceci : dns.count.answers >= 5 ou ils ont un TTL = 0 Ceci vous retournera ceux qui utilisent des fast flux DNS. Classification 11/8/2010 14
High Interaction Honeypots • OS et applications au complet. Ils peuvent être accédés et exploités. Ils sont plus utilisés pour détecter les attaquants ou les techniques utilisées que pour détecter du malware. Il s’agit de VM ou de postes que l’ont peut réinitialiser rapidement. On doit les équiper de moyens de détection comme vérificateur d’intégrité du système : fichiers, clés de registres, processus, services et ports ouverts. Doit rester furtif pour ne pas être détecté par le code malicieux qui ne se laissera pas étudier. Copyright 2010 Trend Micro Inc. étudier. • Pour le malware je vois 3 niveaux de patches pour détecter différents malwares 1. Sans patches : Pour tout attraper, même les très vieux malwares . Pas trop utile en recherche mais bon au travail. 2. Presque toutes patches : pour détecter les dernières menaces. Bon au travail et en recherche. 3. 100% patché : pour découvrir les 0 day. Bon en recherche. Classification 11/8/2010 15
• Pour créer un Hight interaction honeypot on doit avoir une copie des OS ciblés (principalement XP, Vista, 7, 2003, 2008). • On doit choisir des senseurs furtifs qui ne sont pas bloqués par les virus. Il faut pas mettre les outils d’analyses trop connus ou des outils de reverse High Interaction Honeypots (suite) Copyright 2010 Trend Micro Inc. d’analyses trop connus ou des outils de reverse engineering (debugger) dans cette VM car cela amoindrie les chances d’exécution. L’hyperviseur aussi doit être bien choisi. J’utilise Xen ou Parallels. • Il faut trouver les changements aux fichiers, les clés de registres, les processus, les services et les ports. Il faut attraper les requêtes DNS et journaliser les accès externes. Classification 11/8/2010 16
• Comme détecteurs d’intégrité et inspection des logs, j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les outils de iDefense qui sont bien mais ils datent. Quant aux outils de sysinternals, ils sont souvent repérés par les virus qui soient les désactivent ou ne s’activent pas. Pas bon dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0 High Interaction Honeypots (suite) Copyright 2010 Trend Micro Inc. • Pour les requêtes DNS, j’utilise un filtre Wireshark sur une machine connecté sur un port miroir et j’utilise un dns logger (BFK). Vous pouvez aussi utiliser un passive DNS. • Passive DNS : www.enyo.de/fw/software/dnslogger : www.bfk.de/bfk_dnslogger_en.html Note: Pour les PDF et Flash essayer PDFiD et swftool Classification 11/8/2010 17
Les hybrides • Honeybot & Multipot : se considère un medium interaction honeypot car il simule des services et vulnérabilités comme un « Low » mais est installé sur une vrai machine qui peut-être compromise. Parfait pour détecter des machines compromises dans le réseau interne (à condition d’être ciblé). Copyright 2010 Trend Micro Inc. • Dans cette catégorie, il y a une panoplie de petits outils commerciaux pas très coûteux mais qui ne sont pas très efficaces • Threat Discovery Appliance ou TDA( abordé par James Bennett) Classification 11/8/2010 18
Les multi-senseurs • Bot Hunter (freeware) – Deux senseurs + Corrélation – Analyse comportementale réseau de bots – 5 événements ou dialogues entre l’attaquant , le contrôleur et les victimes – Nécessite un port miroir à la Copyright 2010 Trend Micro Inc. – Nécessite un port miroir à la sortie Internet pour vérifier le trafic qui entre mais aussi qui sort. – Bot Hunter est une coquille Java par-dessus Snort et deux modules : SCADE Port scanning analysis et SLADE Incomming payload analysis (comme PE Hunter) Classification 11/8/2010 19 Les règles snort de Bot Hunter sont Intéressantes. On y trouve une liste d’IP de C&C et de domaines. Les règles se mettent à jour quotidiennement. Le projet est malheureusement sur la fin. Blade le remplacera.
Les multi-senseurs (suite) Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou: 1. A L’attaquant 2. V La victime 3. C C&C Server – Serveur de commandement et de contrôle 4. V0 La prochaine cible de la victime Copyright 2010 Trend Micro Inc. 5. E Téléchargement d’un oeuf ou binaire ou Egg Download 6. Ḋ Séquence d’événements (dialog) de l’infection • E1 External to Internal Inbound Scan • E2 External to Internal Inbound Exploit • E3 Internal to External Binary Acquisition • E4 Internal to External C&C Communication • E5 Internal to External Outbound Infection Scanning Source : SRI International Classification 11/8/2010 20
Comment Trend Micro fait? • Le plus vaste réseau de sondes (dont des honeypots) parmi les vendeurs de sécurité (selon Gartner). • Nous collectons des polluriels (spam trap), des hyperliens, des noms de domaines, des adresses IP et des fichiers infectés (via crawlers et attachement). Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau Copyright 2010 Trend Micro Inc. Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau SPN ou Smart Protection Network. • À plus petite échelle nous avons une sonde déployable en entreprise qui utilise cinq types de détection plus une corrélation. Présentation de Tom. Classification 11/8/2010 21
Un site webUn site web compromiscompromis Fausses nouvelles par courriel Un faux video Un réseau de sondes et de la corrélation RÉPUTATION COURRIELS RÉPUTATION WEB RÉPUTATION FICHIERS Copyright 2010 Trend Micro Inc. Un faux video Corrélation
Présentation de Tom Bennett Copyright 2010 Trend Micro Inc.Classification 11/8/2010 23
Copyright 2010 Trend Micro Inc. Questions?Questions?

Recomendados

Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
Sec day cuckoo_workshop
Sec day cuckoo_workshopSec day cuckoo_workshop
Sec day cuckoo_workshopThomas Roccia
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Les malwares
Les malwaresLes malwares
Les malwaresmeryemnaciri1
 
La culture hacker
La culture hackerLa culture hacker
La culture hackerdecoderlecode
 

Recomendados

Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Internet et sécurité version 2014 01
Internet et sécurité version 2014 01Profasser
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
Sec day cuckoo_workshop
Sec day cuckoo_workshopSec day cuckoo_workshop
Sec day cuckoo_workshopThomas Roccia
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Les malwares
Les malwaresLes malwares
Les malwaresmeryemnaciri1
 
La culture hacker
La culture hackerLa culture hacker
La culture hackerdecoderlecode
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...usthbsido
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Flame, un virus espion d'etat
Flame, un virus espion d'etatFlame, un virus espion d'etat
Flame, un virus espion d'etatiSSAL
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Research Paper on Digital Forensic
Research Paper on Digital ForensicResearch Paper on Digital Forensic
Research Paper on Digital ForensicThomas Roccia
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Ubuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPUbuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPMohamed Ben Bouzid
 
Honeypot
HoneypotHoneypot
HoneypotFatma Ghachem
 
Prés kais
Prés kaisPrés kais
Prés kaisKais Madi
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Factores de riesgos ocupacionales nº2
Factores de riesgos ocupacionales nº2Factores de riesgos ocupacionales nº2
Factores de riesgos ocupacionales nº2Prosaludocupacional
 
2. western governors university
2. western governors university2. western governors university
2. western governors universityOlguiz
 

Mais conteúdo relacionado

Mais procurados

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...usthbsido
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Flame, un virus espion d'etat
Flame, un virus espion d'etatFlame, un virus espion d'etat
Flame, un virus espion d'etatiSSAL
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Research Paper on Digital Forensic
Research Paper on Digital ForensicResearch Paper on Digital Forensic
Research Paper on Digital ForensicThomas Roccia
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Ubuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPUbuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPMohamed Ben Bouzid
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 

Mais procurados (20)

Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Flame, un virus espion d'etat
Flame, un virus espion d'etatFlame, un virus espion d'etat
Flame, un virus espion d'etat
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
Research Paper on Digital Forensic
Research Paper on Digital ForensicResearch Paper on Digital Forensic
Research Paper on Digital Forensic
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Ubuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPUbuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODP
 
Honeypot
HoneypotHoneypot
Honeypot
 
Prés kais
Prés kaisPrés kais
Prés kais
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 

Destaque

Factores de riesgos ocupacionales nº2
Factores de riesgos ocupacionales nº2Factores de riesgos ocupacionales nº2
Factores de riesgos ocupacionales nº2Prosaludocupacional
 
2. western governors university
2. western governors university2. western governors university
2. western governors universityOlguiz
 
Powerpoint chalet paisible
Powerpoint chalet paisiblePowerpoint chalet paisible
Powerpoint chalet paisiblecharlybe
 
Herramientas digitales para la educación
Herramientas digitales para la educaciónHerramientas digitales para la educación
Herramientas digitales para la educaciónyessika89
 
Cultiver son identité num
Cultiver son identité numCultiver son identité num
Cultiver son identité numE2m Gig
 
RP Creds. Tech. 2011
RP Creds. Tech. 2011RP Creds. Tech. 2011
RP Creds. Tech. 2011amberstein12
 
Administración
AdministraciónAdministración
Administración54464761
 
Visualisation Automobile en 3D
Visualisation Automobile en 3DVisualisation Automobile en 3D
Visualisation Automobile en 3DChesteroc Limited
 
Vivac Moncayo Feb.2004
Vivac Moncayo Feb.2004Vivac Moncayo Feb.2004
Vivac Moncayo Feb.2004Monte Perdido
 
Layar by Hpsc
Layar by HpscLayar by Hpsc
Layar by Hpschpsc
 
Etat du-marketing-internet-2011
Etat du-marketing-internet-2011Etat du-marketing-internet-2011
Etat du-marketing-internet-2011jmeutrope
 
La bohème
La bohèmeLa bohème
La bohèmeanagonc
 
Ascensor
AscensorAscensor
Ascensorfabian
 

Destaque (20)

Factores de riesgos ocupacionales nº2
Factores de riesgos ocupacionales nº2Factores de riesgos ocupacionales nº2
Factores de riesgos ocupacionales nº2
 
2. western governors university
2. western governors university2. western governors university
2. western governors university
 
Powerpoint chalet paisible
Powerpoint chalet paisiblePowerpoint chalet paisible
Powerpoint chalet paisible
 
2011 03-11 complementario
2011 03-11 complementario2011 03-11 complementario
2011 03-11 complementario
 
2012 13-guide-snptv
2012 13-guide-snptv2012 13-guide-snptv
2012 13-guide-snptv
 
Herramientas digitales para la educación
Herramientas digitales para la educaciónHerramientas digitales para la educación
Herramientas digitales para la educación
 
Cultiver son identité num
Cultiver son identité numCultiver son identité num
Cultiver son identité num
 
Grupo anderson
Grupo andersonGrupo anderson
Grupo anderson
 
Tutoriel facebook
Tutoriel facebookTutoriel facebook
Tutoriel facebook
 
Faby inn hotel
Faby inn hotelFaby inn hotel
Faby inn hotel
 
RP Creds. Tech. 2011
RP Creds. Tech. 2011RP Creds. Tech. 2011
RP Creds. Tech. 2011
 
Administración
AdministraciónAdministración
Administración
 
Visualisation Automobile en 3D
Visualisation Automobile en 3DVisualisation Automobile en 3D
Visualisation Automobile en 3D
 
Vivac Moncayo Feb.2004
Vivac Moncayo Feb.2004Vivac Moncayo Feb.2004
Vivac Moncayo Feb.2004
 
Layar by Hpsc
Layar by HpscLayar by Hpsc
Layar by Hpsc
 
Etat du-marketing-internet-2011
Etat du-marketing-internet-2011Etat du-marketing-internet-2011
Etat du-marketing-internet-2011
 
La bohème
La bohèmeLa bohème
La bohème
 
Ascensor
AscensorAscensor
Ascensor
 
france
francefrance
france
 
eqe
eqeeqe
eqe
 

Semelhante a Hackfest2010 Tm Dg Fr

Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Hackfest Communication
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Stephane REYTAN
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petyaKiwi Backup
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.pptMohamed Ben Bouzid
 
Protéger sa vie privée sur le net
Protéger sa vie privée sur le netProtéger sa vie privée sur le net
Protéger sa vie privée sur le netGreg Siebrand
 
Fusioninventory journees-perl-2012
Fusioninventory journees-perl-2012Fusioninventory journees-perl-2012
Fusioninventory journees-perl-2012Gonéri Le Bouder
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfMoufidaHajjaj
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueMaxime Jobin
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 

Semelhante a Hackfest2010 Tm Dg Fr (20)

Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autre...
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les Honeyclients
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantel
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.ppt
 
Protéger sa vie privée sur le net
Protéger sa vie privée sur le netProtéger sa vie privée sur le net
Protéger sa vie privée sur le net
 
Fusioninventory journees-perl-2012
Fusioninventory journees-perl-2012Fusioninventory journees-perl-2012
Fusioninventory journees-perl-2012
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
Réseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdfRéseaux-et-Sécurité.pdf
Réseaux-et-Sécurité.pdf
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Les attaques MITM
Les attaques MITMLes attaques MITM
Les attaques MITM
 
Snort
SnortSnort
Snort
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 

Hackfest2010 Tm Dg Fr

  • 1. Copyright 2010 Trend Micro Inc. Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies. Tom Bennett et David Girard Québec, 5-6 novembre 2010
  • 2. Agenda • Présentation de David Girard – Le code malicieux plus nombreux et plus furtif que jamais – Les moyens de détection • Honeypots, analyse de trafic, analyse statistique… – Les type de honeypots – Mon honeynet et ceux de Trend Micro WEB EMAIL Copyright 2010 Trend Micro Inc. • Présentation de James Bennett – Les engins de détections – Les types de signatures pour des cas réels • Stuxnet….. • Démonstration • Questions FILE
  • 3. Évolution de la menace • Augmentation exponentielle du malware – Un nouvelle variante de code malicieux toutes les 1.5 secondes • Le code malicieux est plus furtifs – Le chiffrement et la compression sont utilisés comme moyen de polymorphisme pour devenir des FUD (file fully undetectable). – Les pirates utilisent des services FUD d’aide à l’évasion comme les crypters ex: PXCrypter 26,598 Copyright 2010 Trend Micro Inc. • Les vulnérabilités sont exploitées plus rapidement – 74% des attaques sortent le même jour que les correctifs – Plusieurs attaques sortent avant les correctifs de sécurité – Il y a donc plus de 0 day que jamais 57 205 799 1,484 2,397 3,881 6,279 10,160 16,438 2007 2009 2011 2013 2015 Exemplaires uniques PAR HEURE
  • 4. Exemple de crypteur qui apporte la furtivité au malware. 75$ pour le premier exemplaire et 25$ pour les exemplaires subséquents Dogma Millions, Earning4u et pay- per-install.org sont des sites PPI To FUD or not to FUD? Copyright 2010 Trend Micro Inc. per-install.org sont des sites PPI qui débouchent sur des crypteurs et des testeurs à la VirusTotal mais ceux-ci sont totalement Black Hat Tous utilisent aussi des Black Hat SEO (Search Engine Optimization) pour optenir plus de click et de drive by dowload infection Classification 11/8/2010 4
  • 5. Les moyens de détections des nouvelles variantes • Les Honeypots et Honeynets: Spam trap, et malware collectors. Coûteux. Doivent être nombreux et diversifiés. • IDS (Network et Host) : Menaces en périphérie, DDOS, violation de protocoles et limitation de l’utilisation de signatures. Peu de détections car ne distingue pas bien entre une infection et un scan. Beaucoup de faux positifs. Copyright 2010 Trend Micro Inc. entre une infection et un scan. Beaucoup de faux positifs. • SIEMS : Analyse transversale des évènements, dépend de la qualité des données sous-jacentes. Ils ne s’adaptent pas bien à la diversité des botnets sur le terrain. Lourdes tâches d’administration. Coûteux. Très coûteux. Classification 11/8/2010 5
  • 6. Les moyens de détections des nouvelles variantes (suite) • NBA (Network Base Analysis) : Alerte sur les comportements anormaux. Beaucoup de fausse alertes. Doit avoir un baseline fiable pour détecter une anomalie significative. Détecte beaucoup d’autres situations qui ne sont pas reliées aux botnets. Exemple: Projet Ourmon. Copyright 2010 Trend Micro Inc. • Autres technologies : Multi-senseurs (ex: Bot Hunter, Trend Micro TDA). – Ceux-ci sont plus fiables car ils se bases sur plusieurs types d’analyse ou engin et font une corrélation des résultats. – Ils se basent aussi sur des preuves typiquement reliées au malware (scan de cibles, détection d’exploit, téléchargement de binaires et exécution, connexion à des C&C,scans sortants, campagnes de spam….) Classification 11/8/2010 6
  • 7. Les types de Honeypots *Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox. Principalement il y a les Low Interaction Honeypots et les High Interaction Honeypots. Les honeypots sont soit pour la recherche ou pour la production. Il y a plusieurs sous types (dépend de la mission): Copyright 2010 Trend Micro Inc. • Spam trap • Crawlers • Les hybrides Honeynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de détecter le V2V pas juste le V2C. Pour plus de détails et une bonne liste de projets: www.honeynet.org Classification 11/8/2010 7
  • 8. Processus de collection du code malicieux Passif (on attend d’être ciblé) ou Actif: 1. On va à la pêche au spam 2. On extrait les URL 3. On crawl sur les sites et on tente de se faire infecter ou de télécharger les fichiers malicieux que l’on trouve (Exe, pdf, swf…) Copyright 2010 Trend Micro Inc. (Exe, pdf, swf…) 4. On capture le chargement (low) ou on analyse les changements (high) et les accès réseaux. (Analyse des chargements avec YARA, PEiD,PDFiD, swftool, etc) 5. On envoit une copie du chargement à plusieurs engins antiviraux pour identification 6. On envoi une copie à plusieurs Sandbox pour analyse 7. Analyse des multiples résultats Classification 11/8/2010 8
  • 9. Mon Honeynet personnel 1. Lien sans filtrage de ports 2. Plus d’une IP fixe 3. Un Firewall pour créer une DMZ 4. Une switche gérée avec un port mirroir 5. Un Hyperviseur pour héberger les VM (3+) 6. Une station de gestion Copyright 2010 Trend Micro Inc.Classification 11/8/2010 9 6. Une station de gestion et de monitoring isolé par le firewall 7. Un nom de domaine et des entrées DNS (MX) pour le spam *Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark. Je combine des low et High interaction Honey Pots. J’ai aussi une VM de logging (syslog + OSSEC ou Deep Security)
  • 10. Liste d’outils à avoir pour analyser nos examplaires de code malicieux • Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool, etc. • OfficeMalScanner • Des debuggers : Ollydbg, IDA Pro, Windows Dbg • Proxy : Burp Suite (car certains utilisent Https) • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script Copyright 2010 Trend Micro Inc. • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF Miner, Pdf-parser.py, Jsunpack, spidermonkey • Tutoriels: The Analyzing Flash Malware Video • Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD + ma bibliographie de mes livres favoris sur mon profil Linkedin • Deux environnements d’analyse: Ubuntu et Windows Et pleins d’autres que je n’ai pas eu le temps de compiler! Classification 11/8/2010 10
  • 11. Les Spam trap • C’est le premier type qu’il faut avoir dans son Honeynet car c’est le début de la chaine alimentaire. • Il faut avoir des boites aux lettres qui n’ont aucunes utilités et en extraire des informations comme des hyperliens, adresses IP sources, nom de domaine sources ou dans les URL. Copyright 2010 Trend Micro Inc. sources ou dans les URL. • Donc il faut un nom de domaine + des MX ou plein d’adresses de webmails! • On s’en sert pour créer une liste de réputation de courriels et pour alimenter nos Crawlers. Classification 11/8/2010 11
  • 12. Crawlers ou Honey client • Fureteur automatisé: – Doit simuler plusieurs fureteurs à différent niveau de patches et naviguer vers les hyperliens récoltés. – Il faut soit trouver le malware ou se faire infecter par un exploit. Vive le drive by download (90% et plus des menaces viennent du Web alors). – Plus dur d’attrapper des Stuxnet qui passait par périphériques Copyright 2010 Trend Micro Inc. – Plus dur d’attrapper des Stuxnet qui passait par périphériques USB. Classification 11/8/2010 12
  • 13. Low interaction Honeypots • Simule soit un OS, des services, des protocoles et des vulnérabilités ou une combinaison. Ce type de pot* est surtout pour le malware collection ou la détection selon le niveau de simulation. • Ex :Dionaea (successeur de Nepenthes), HoneyD, HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est Copyright 2010 Trend Micro Inc. vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est long à installer avec pas mal de dépendances. Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une idée de l’attaquant et avoir un beau graphique de nos infections Avec les malwares collectors, il est impératif de se faire des scripts de soumission à ClamAV, Virus Total ou à des analyseurs de comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts sur le net. Il faut les modifier pour les adapter. Prenez des backup de vos logs (samples et md5 des samples) car un honeypot peut mourir jeune (surtout les High). Classification 11/8/2010 13
  • 14. Low interaction Honeypots en 15 minutes • Le plus simple des low interaction honeypot : – Linux (Ubuntu ou CentOS de préférence) dans un réseau Windows et d’écouter sur le port 139 ,445 et autres avec netcat. – Gardez un log (pcap) avec Wireshark pour les preuves ou l’analyse. – Truc: assigner plusieurs IP à votre linux dans plusieurs segments pour détecter plus vite. Voir Honeywall project. Copyright 2010 Trend Micro Inc. • Aussi, avec Wireshark, utilisez un display filter avec ceci : dns.count.answers >= 5 ou ils ont un TTL = 0 Ceci vous retournera ceux qui utilisent des fast flux DNS. Classification 11/8/2010 14
  • 15. High Interaction Honeypots • OS et applications au complet. Ils peuvent être accédés et exploités. Ils sont plus utilisés pour détecter les attaquants ou les techniques utilisées que pour détecter du malware. Il s’agit de VM ou de postes que l’ont peut réinitialiser rapidement. On doit les équiper de moyens de détection comme vérificateur d’intégrité du système : fichiers, clés de registres, processus, services et ports ouverts. Doit rester furtif pour ne pas être détecté par le code malicieux qui ne se laissera pas étudier. Copyright 2010 Trend Micro Inc. étudier. • Pour le malware je vois 3 niveaux de patches pour détecter différents malwares 1. Sans patches : Pour tout attraper, même les très vieux malwares . Pas trop utile en recherche mais bon au travail. 2. Presque toutes patches : pour détecter les dernières menaces. Bon au travail et en recherche. 3. 100% patché : pour découvrir les 0 day. Bon en recherche. Classification 11/8/2010 15
  • 16. • Pour créer un Hight interaction honeypot on doit avoir une copie des OS ciblés (principalement XP, Vista, 7, 2003, 2008). • On doit choisir des senseurs furtifs qui ne sont pas bloqués par les virus. Il faut pas mettre les outils d’analyses trop connus ou des outils de reverse High Interaction Honeypots (suite) Copyright 2010 Trend Micro Inc. d’analyses trop connus ou des outils de reverse engineering (debugger) dans cette VM car cela amoindrie les chances d’exécution. L’hyperviseur aussi doit être bien choisi. J’utilise Xen ou Parallels. • Il faut trouver les changements aux fichiers, les clés de registres, les processus, les services et les ports. Il faut attraper les requêtes DNS et journaliser les accès externes. Classification 11/8/2010 16
  • 17. • Comme détecteurs d’intégrité et inspection des logs, j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les outils de iDefense qui sont bien mais ils datent. Quant aux outils de sysinternals, ils sont souvent repérés par les virus qui soient les désactivent ou ne s’activent pas. Pas bon dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0 High Interaction Honeypots (suite) Copyright 2010 Trend Micro Inc. • Pour les requêtes DNS, j’utilise un filtre Wireshark sur une machine connecté sur un port miroir et j’utilise un dns logger (BFK). Vous pouvez aussi utiliser un passive DNS. • Passive DNS : www.enyo.de/fw/software/dnslogger : www.bfk.de/bfk_dnslogger_en.html Note: Pour les PDF et Flash essayer PDFiD et swftool Classification 11/8/2010 17
  • 18. Les hybrides • Honeybot & Multipot : se considère un medium interaction honeypot car il simule des services et vulnérabilités comme un « Low » mais est installé sur une vrai machine qui peut-être compromise. Parfait pour détecter des machines compromises dans le réseau interne (à condition d’être ciblé). Copyright 2010 Trend Micro Inc. • Dans cette catégorie, il y a une panoplie de petits outils commerciaux pas très coûteux mais qui ne sont pas très efficaces • Threat Discovery Appliance ou TDA( abordé par James Bennett) Classification 11/8/2010 18
  • 19. Les multi-senseurs • Bot Hunter (freeware) – Deux senseurs + Corrélation – Analyse comportementale réseau de bots – 5 événements ou dialogues entre l’attaquant , le contrôleur et les victimes – Nécessite un port miroir à la Copyright 2010 Trend Micro Inc. – Nécessite un port miroir à la sortie Internet pour vérifier le trafic qui entre mais aussi qui sort. – Bot Hunter est une coquille Java par-dessus Snort et deux modules : SCADE Port scanning analysis et SLADE Incomming payload analysis (comme PE Hunter) Classification 11/8/2010 19 Les règles snort de Bot Hunter sont Intéressantes. On y trouve une liste d’IP de C&C et de domaines. Les règles se mettent à jour quotidiennement. Le projet est malheureusement sur la fin. Blade le remplacera.
  • 20. Les multi-senseurs (suite) Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou: 1. A L’attaquant 2. V La victime 3. C C&C Server – Serveur de commandement et de contrôle 4. V0 La prochaine cible de la victime Copyright 2010 Trend Micro Inc. 5. E Téléchargement d’un oeuf ou binaire ou Egg Download 6. Ḋ Séquence d’événements (dialog) de l’infection • E1 External to Internal Inbound Scan • E2 External to Internal Inbound Exploit • E3 Internal to External Binary Acquisition • E4 Internal to External C&C Communication • E5 Internal to External Outbound Infection Scanning Source : SRI International Classification 11/8/2010 20
  • 21. Comment Trend Micro fait? • Le plus vaste réseau de sondes (dont des honeypots) parmi les vendeurs de sécurité (selon Gartner). • Nous collectons des polluriels (spam trap), des hyperliens, des noms de domaines, des adresses IP et des fichiers infectés (via crawlers et attachement). Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau Copyright 2010 Trend Micro Inc. Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau SPN ou Smart Protection Network. • À plus petite échelle nous avons une sonde déployable en entreprise qui utilise cinq types de détection plus une corrélation. Présentation de Tom. Classification 11/8/2010 21
  • 22. Un site webUn site web compromiscompromis Fausses nouvelles par courriel Un faux video Un réseau de sondes et de la corrélation RÉPUTATION COURRIELS RÉPUTATION WEB RÉPUTATION FICHIERS Copyright 2010 Trend Micro Inc. Un faux video Corrélation
  • 23. Présentation de Tom Bennett Copyright 2010 Trend Micro Inc.Classification 11/8/2010 23
  • 24. Copyright 2010 Trend Micro Inc. Questions?Questions?