SlideShare uma empresa Scribd logo

Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies (David Girard & Anthony Arrott)

Hackfest Communication
Hackfest Communication

La détection des nouvelles variantes doit se faire extrêmement rapidement car ils apparaissent maintenant au rythme de 1 toutes les 1,5 secondes. Nous ne pouvons pas nous fier juste à la soumission des fichiers suspects par nos clients ou nos partenaires. Nous avons donc du développer un vaste réseau de sondes (honey pots) et développer des nouvelles façons de trouver le malware. Nous allons discuter des différentes techniques et de leur efficacité dans le monde réel.

Tecnologia
1 de 24
Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies. Tom Bennett et David Girard Québec, 5-6 novembre 2010 Copyright 2010 Trend Micro Inc.
Agenda • Présentation de David Girard – Le code malicieux plus nombreux et plus furtif que jamais WEB – Les moyens de détection • Honeypots, analyse de trafic, analyse statistique… – Les type de honeypots – Mon honeynet et ceux de Trend Micro EMAIL • Présentation de James Bennett – Les engins de détections – Les types de signatures pour des cas réels FILE • Stuxnet….. • Démonstration • Questions Copyright 2010 Trend Micro Inc.
Évolution de la menace • Augmentation exponentielle du malware – Un nouvelle variante de code malicieux toutes les 1.5 secondes • Le code malicieux est plus furtifs – Le chiffrement et la compression sont utilisés comme moyen de polymorphisme pour devenir des FUD (file fully undetectable). 26,598 – Les pirates utilisent des services FUD d’aide à l’évasion comme les crypters ex: PXCrypter 16,438 • Les vulnérabilités sont exploitées plus rapidement – 74% des attaques sortent le même jour que les correctifs 10,160 – Plusieurs attaques sortent avant les correctifs de sécurité 6,279 – Il y a donc plus de 0 day que jamais 3,881 2,397 1,484 57 205 799 2007 2009 2011 2013 2015 Exemplaires uniques PAR HEURE Copyright 2010 Trend Micro Inc.
To FUD or not to FUD? Exemple de crypteur qui apporte la furtivité au malware. 75$ pour le premier exemplaire et 25$ pour les exemplaires subséquents Dogma Millions, Earning4u et pay- per-install.org sont des sites PPI qui débouchent sur des crypteurs et des testeurs à la VirusTotal mais ceux-ci sont totalement Black Hat Tous utilisent aussi des Black Hat SEO (Search Engine Optimization) pour optenir plus de click et de drive by dowload infection Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 4
Les moyens de détections des nouvelles variantes • Les Honeypots et Honeynets: Spam trap, et malware collectors. Coûteux. Doivent être nombreux et diversifiés. • IDS (Network et Host) : Menaces en périphérie, DDOS, violation de protocoles et limitation de l’utilisation de signatures. Peu de détections car ne distingue pas bien entre une infection et un scan. Beaucoup de faux positifs. • SIEMS : Analyse transversale des évènements, dépend de la qualité des données sous-jacentes. Ils ne s’adaptent pas bien à la diversité des botnets sur le terrain. Lourdes tâches d’administration. Coûteux. Très coûteux. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 5
Les moyens de détections des nouvelles variantes (suite) • NBA (Network Base Analysis) : Alerte sur les comportements anormaux. Beaucoup de fausse alertes. Doit avoir un baseline fiable pour détecter une anomalie significative. Détecte beaucoup d’autres situations qui ne sont pas reliées aux botnets. Exemple: Projet Ourmon. • Autres technologies : Multi-senseurs (ex: Bot Hunter, Trend Micro TDA). – Ceux-ci sont plus fiables car ils se bases sur plusieurs types d’analyse ou engin et font une corrélation des résultats. – Ils se basent aussi sur des preuves typiquement reliées au malware (scan de cibles, détection d’exploit, téléchargement de binaires et exécution, connexion à des C&C,scans sortants, campagnes de spam….) Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 6
Les types de Honeypots *Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox. Principalement il y a les Low Interaction Honeypots et les High Interaction Honeypots. Les honeypots sont soit pour la recherche ou pour la production. Il y a plusieurs sous types (dépend de la mission): • Spam trap • Crawlers • Les hybrides Honeynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de détecter le V2V pas juste le V2C. Pour plus de détails et une bonne liste de projets: www.honeynet.org Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 7
Processus de collection du code malicieux Passif (on attend d’être ciblé) ou Actif: 1. On va à la pêche au spam 2. On extrait les URL 3. On crawl sur les sites et on tente de se faire infecter ou de télécharger les fichiers malicieux que l’on trouve (Exe, pdf, swf…) 4. On capture le chargement (low) ou on analyse les changements (high) et les accès réseaux. (Analyse des chargements avec YARA, PEiD,PDFiD, swftool, etc) 5. On envoit une copie du chargement à plusieurs engins antiviraux pour identification 6. On envoi une copie à plusieurs Sandbox pour analyse 7. Analyse des multiples résultats Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 8
Mon Honeynet personnel 1. Lien sans filtrage de ports 2. Plus d’une IP fixe 3. Un Firewall pour créer une DMZ 4. Une switche gérée avec un port mirroir 5. Un Hyperviseur pour héberger les VM (3+) 6. Une station de gestion et de monitoring isolé Je combine des low et High par le firewall interaction Honey Pots. J’ai 7. Un nom de domaine et aussi une VM de logging des entrées DNS (MX) (syslog + OSSEC ou Deep pour le spam Security) *Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 9
Liste d’outils à avoir pour analyser nos examplaires de code malicieux • Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool, etc. • OfficeMalScanner • Des debuggers : Ollydbg, IDA Pro, Windows Dbg • Proxy : Burp Suite (car certains utilisent Https) • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF Miner, Pdf-parser.py, Jsunpack, spidermonkey • Tutoriels: The Analyzing Flash Malware Video • Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD + ma bibliographie de mes livres favoris sur mon profil Linkedin • Deux environnements d’analyse: Ubuntu et Windows Et pleins d’autres que je n’ai pas eu le temps de compiler! Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 10
Les Spam trap • C’est le premier type qu’il faut avoir dans son Honeynet car c’est le début de la chaine alimentaire. • Il faut avoir des boites aux lettres qui n’ont aucunes utilités et en extraire des informations comme des hyperliens, adresses IP sources, nom de domaine sources ou dans les URL. • Donc il faut un nom de domaine + des MX ou plein d’adresses de webmails! • On s’en sert pour créer une liste de réputation de courriels et pour alimenter nos Crawlers. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 11
Crawlers ou Honey client • Fureteur automatisé: – Doit simuler plusieurs fureteurs à différent niveau de patches et naviguer vers les hyperliens récoltés. – Il faut soit trouver le malware ou se faire infecter par un exploit. Vive le drive by download (90% et plus des menaces viennent du Web alors). – Plus dur d’attrapper des Stuxnet qui passait par périphériques USB. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 12
Low interaction Honeypots • Simule soit un OS, des services, des protocoles et des vulnérabilités ou une combinaison. Ce type de pot* est surtout pour le malware collection ou la détection selon le niveau de simulation. • Ex :Dionaea (successeur de Nepenthes), HoneyD, HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est long à installer avec pas mal de dépendances. Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une idée de l’attaquant et avoir un beau graphique de nos infections Avec les malwares collectors, il est impératif de se faire des scripts de soumission à ClamAV, Virus Total ou à des analyseurs de comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts sur le net. Il faut les modifier pour les adapter. Prenez des backup de vos logs (samples et md5 des samples) car un honeypot peut mourir jeune (surtout les High). Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 13
Low interaction Honeypots en 15 minutes • Le plus simple des low interaction honeypot : – Linux (Ubuntu ou CentOS de préférence) dans un réseau Windows et d’écouter sur le port 139 ,445 et autres avec netcat. – Gardez un log (pcap) avec Wireshark pour les preuves ou l’analyse. – Truc: assigner plusieurs IP à votre linux dans plusieurs segments pour détecter plus vite. Voir Honeywall project. • Aussi, avec Wireshark, utilisez un display filter avec ceci : dns.count.answers >= 5 ou ils ont un TTL = 0 Ceci vous retournera ceux qui utilisent des fast flux DNS. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 14
High Interaction Honeypots • OS et applications au complet. Ils peuvent être accédés et exploités. Ils sont plus utilisés pour détecter les attaquants ou les techniques utilisées que pour détecter du malware. Il s’agit de VM ou de postes que l’ont peut réinitialiser rapidement. On doit les équiper de moyens de détection comme vérificateur d’intégrité du système : fichiers, clés de registres, processus, services et ports ouverts. Doit rester furtif pour ne pas être détecté par le code malicieux qui ne se laissera pas étudier. • Pour le malware je vois 3 niveaux de patches pour détecter différents malwares 1. Sans patches : Pour tout attraper, même les très vieux malwares . Pas trop utile en recherche mais bon au travail. 2. Presque toutes patches : pour détecter les dernières menaces. Bon au travail et en recherche. 3. 100% patché : pour découvrir les 0 day. Bon en recherche. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 15
High Interaction Honeypots (suite) • Pour créer un Hight interaction honeypot on doit avoir une copie des OS ciblés (principalement XP, Vista, 7, 2003, 2008). • On doit choisir des senseurs furtifs qui ne sont pas bloqués par les virus. Il faut pas mettre les outils d’analyses trop connus ou des outils de reverse engineering (debugger) dans cette VM car cela amoindrie les chances d’exécution. L’hyperviseur aussi doit être bien choisi. J’utilise Xen ou Parallels. • Il faut trouver les changements aux fichiers, les clés de registres, les processus, les services et les ports. Il faut attraper les requêtes DNS et journaliser les accès externes. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 16
High Interaction Honeypots (suite) • Comme détecteurs d’intégrité et inspection des logs, j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les outils de iDefense qui sont bien mais ils datent. Quant aux outils de sysinternals, ils sont souvent repérés par les virus qui soient les désactivent ou ne s’activent pas. Pas bon dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0 • Pour les requêtes DNS, j’utilise un filtre Wireshark sur une machine connecté sur un port miroir et j’utilise un dns logger (BFK). Vous pouvez aussi utiliser un passive DNS. • Passive DNS : www.enyo.de/fw/software/dnslogger : www.bfk.de/bfk_dnslogger_en.html Note: Pour les PDF et Flash essayer PDFiD et swftool Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 17
Les hybrides • Honeybot & Multipot : se considère un medium interaction honeypot car il simule des services et vulnérabilités comme un « Low » mais est installé sur une vrai machine qui peut-être compromise. Parfait pour détecter des machines compromises dans le réseau interne (à condition d’être ciblé). • Dans cette catégorie, il y a une panoplie de petits outils commerciaux pas très coûteux mais qui ne sont pas très efficaces • Threat Discovery Appliance ou TDA( abordé par James Bennett) Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 18
Les multi-senseurs • Bot Hunter (freeware) – Deux senseurs + Corrélation – Analyse comportementale réseau de bots – 5 événements ou dialogues entre l’attaquant , le contrôleur et les victimes – Nécessite un port miroir à la sortie Internet pour vérifier le trafic qui entre mais aussi qui sort. Les règles snort de Bot Hunter sont – Bot Hunter est une coquille Intéressantes. On y trouve une liste Java par-dessus Snort et d’IP de C&C et de domaines. deux modules : SCADE Port scanning analysis et Les règles se mettent à jour SLADE Incomming payload quotidiennement. Le projet est analysis (comme PE malheureusement sur la fin. Blade Hunter) le remplacera. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 19
Les multi-senseurs (suite) Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou: 1. A L’attaquant 2. V La victime 3. C C&C Server – Serveur de commandement et de contrôle 4. V0 La prochaine cible de la victime 5. E Téléchargement d’un oeuf ou binaire ou Egg Download 6. Ḋ Séquence d’événements (dialog) de l’infection • E1 External to Internal Inbound Scan • E2 External to Internal Inbound Exploit • E3 Internal to External Binary Acquisition • E4 Internal to External C&C Communication • E5 Internal to External Outbound Infection Scanning Source : SRI International Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 20
Comment Trend Micro fait? • Le plus vaste réseau de sondes (dont des honeypots) parmi les vendeurs de sécurité (selon Gartner). • Nous collectons des polluriels (spam trap), des hyperliens, des noms de domaines, des adresses IP et des fichiers infectés (via crawlers et attachement). Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau SPN ou Smart Protection Network. • À plus petite échelle nous avons une sonde déployable en entreprise qui utilise cinq types de détection plus une corrélation. Présentation de Tom. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 21
Un réseau de sondes et de la corrélation RÉPUTATION WEB Fausses nouvelles par courriel Un site web compromis RÉPUTATION RÉPUTATION COURRIELS FICHIERS Un faux video Corrélation Copyright 2010 Trend Micro Inc.
Présentation de Tom Bennett Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 23
Questions? Copyright 2010 Trend Micro Inc.

Recomendados

Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 

Recomendados

Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauJean-Antoine Moreau
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiquesAmadou Dary diallo
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...usthbsido
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiquesNouriddin BEN ZEKRI
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
La culture hacker
La culture hackerLa culture hacker
La culture hackerdecoderlecode
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Attaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAttaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAFEIT
 
Ubuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPUbuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPMohamed Ben Bouzid
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Coursinfo s4
Coursinfo s4Coursinfo s4
Coursinfo s4ousalabrahim
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Regis Le Guennec
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSylvain Maret
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseauxAchille Njomo
 
Management Structure
Management StructureManagement Structure
Management StructureSergio Morgadinho
 
Presentacion snpad y dcc (1)
Presentacion snpad y dcc (1)Presentacion snpad y dcc (1)
Presentacion snpad y dcc (1)Prosaludocupacional
 

Mais conteúdo relacionado

Mais procurados

La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...usthbsido
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Attaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAttaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAFEIT
 
Ubuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPUbuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPMohamed Ben Bouzid
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 psimomans
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Regis Le Guennec
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSylvain Maret
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseauxAchille Njomo
 

Mais procurados (20)

Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
Ebook fr 2020 hackers - 214 pages pour apprendre le hacking en francais - c...
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
La culture hacker
La culture hackerLa culture hacker
La culture hacker
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Attaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAttaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno Tréguier
 
Ubuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODPUbuntu est il un système sécuritairement sain ODP
Ubuntu est il un système sécuritairement sain ODP
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Coursinfo s4
Coursinfo s4Coursinfo s4
Coursinfo s4
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018
 
Sécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clientsSécurisation des flux HTTP pour les postes clients
Sécurisation des flux HTTP pour les postes clients
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
 

Destaque

Véronique Pardonnet : Les écrits au travail des ingénieurs industriels
Véronique Pardonnet : Les écrits au travail des ingénieurs industrielsVéronique Pardonnet : Les écrits au travail des ingénieurs industriels
Véronique Pardonnet : Les écrits au travail des ingénieurs industrielsSFSIC Association
 
Présentation
PrésentationPrésentation
Présentationgguillem
 
Drets dels nens. Article 3
Drets dels nens. Article 3Drets dels nens. Article 3
Drets dels nens. Article 3Aula Oberta
 
Stephanie Gascon PréSentatique
Stephanie Gascon PréSentatiqueStephanie Gascon PréSentatique
Stephanie Gascon PréSentatiqueTheatre
 
Faire part de naissance de Marius
Faire part de naissance de MariusFaire part de naissance de Marius
Faire part de naissance de Mariusseillier2005
 
Decamerón Nastaglio degli Onesti
Decamerón Nastaglio degli OnestiDecamerón Nastaglio degli Onesti
Decamerón Nastaglio degli OnestiCristina Verdoy
 
Conférence de Copenhague
Conférence de CopenhagueConférence de Copenhague
Conférence de Copenhagueguestbcbd3c
 
100627 nos si_beaux_villages_pm
100627 nos si_beaux_villages_pm100627 nos si_beaux_villages_pm
100627 nos si_beaux_villages_pmDenise Rivera
 
Unique historical photos 2015
Unique historical photos 2015Unique historical photos 2015
Unique historical photos 2015cdngoose
 
Un Jour De La Semaine
Un Jour De La SemaineUn Jour De La Semaine
Un Jour De La Semaineubam
 

Destaque (20)

Management Structure
Management StructureManagement Structure
Management Structure
 
Presentacion snpad y dcc (1)
Presentacion snpad y dcc (1)Presentacion snpad y dcc (1)
Presentacion snpad y dcc (1)
 
Char
CharChar
Char
 
LIPAD: la Commission consultative
LIPAD: la Commission consultativeLIPAD: la Commission consultative
LIPAD: la Commission consultative
 
Véronique Pardonnet : Les écrits au travail des ingénieurs industriels
Véronique Pardonnet : Les écrits au travail des ingénieurs industrielsVéronique Pardonnet : Les écrits au travail des ingénieurs industriels
Véronique Pardonnet : Les écrits au travail des ingénieurs industriels
 
Présentation
PrésentationPrésentation
Présentation
 
Drets dels nens. Article 3
Drets dels nens. Article 3Drets dels nens. Article 3
Drets dels nens. Article 3
 
Stephanie Gascon PréSentatique
Stephanie Gascon PréSentatiqueStephanie Gascon PréSentatique
Stephanie Gascon PréSentatique
 
Faire part de naissance de Marius
Faire part de naissance de MariusFaire part de naissance de Marius
Faire part de naissance de Marius
 
Decamerón Nastaglio degli Onesti
Decamerón Nastaglio degli OnestiDecamerón Nastaglio degli Onesti
Decamerón Nastaglio degli Onesti
 
Astuces plus2
Astuces plus2Astuces plus2
Astuces plus2
 
Conférence de Copenhague
Conférence de CopenhagueConférence de Copenhague
Conférence de Copenhague
 
J'emaile avec GMAIL
J'emaile avec GMAILJ'emaile avec GMAIL
J'emaile avec GMAIL
 
Triggah
TriggahTriggah
Triggah
 
Marie Languepin
Marie LanguepinMarie Languepin
Marie Languepin
 
100627 nos si_beaux_villages_pm
100627 nos si_beaux_villages_pm100627 nos si_beaux_villages_pm
100627 nos si_beaux_villages_pm
 
Unique historical photos 2015
Unique historical photos 2015Unique historical photos 2015
Unique historical photos 2015
 
Laponie
LaponieLaponie
Laponie
 
Un Jour De La Semaine
Un Jour De La SemaineUn Jour De La Semaine
Un Jour De La Semaine
 
Les nobles en France sous l'Ancien Régime, fiche technique
Les nobles en France sous l'Ancien Régime, fiche techniqueLes nobles en France sous l'Ancien Régime, fiche technique
Les nobles en France sous l'Ancien Régime, fiche technique
 

Semelhante a Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies (David Girard & Anthony Arrott)

Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur InternetBELVEZE Damien
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterNRC
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquehediajegham
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...SOCIALware Benelux
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petyaKiwi Backup
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.pptMohamed Ben Bouzid
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueMaxime Jobin
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Stephane REYTAN
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFSylvain Maret
 

Semelhante a Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies (David Girard & Anthony Arrott) (20)

1 introduction secu
1 introduction secu1 introduction secu
1 introduction secu
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantel
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les Honeyclients
 
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanterLivre blanc F-Secure Ransomware - le chantage qui fait déchanter
Livre blanc F-Secure Ransomware - le chantage qui fait déchanter
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Les attaques MITM
Les attaques MITMLes attaques MITM
Les attaques MITM
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
présentation soutenance PFE.ppt
présentation soutenance PFE.pptprésentation soutenance PFE.ppt
présentation soutenance PFE.ppt
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?
 
Les firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAFLes firewalls applicatifs HTTP / WAF
Les firewalls applicatifs HTTP / WAF
 

Mais de Hackfest Communication

Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Hackfest Communication
 
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Hackfest Communication
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Hackfest Communication
 
Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Hackfest Communication
 
Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Hackfest Communication
 
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Hackfest Communication
 
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)Hackfest Communication
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Hackfest Communication
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Hackfest Communication
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)Hackfest Communication
 

Mais de Hackfest Communication (14)

Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
 
Hackfest @ WAQ2011
Hackfest @ WAQ2011Hackfest @ WAQ2011
Hackfest @ WAQ2011
 
Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)Du fuzzing dans les tests d'intrusions? (Éric Gingras)
Du fuzzing dans les tests d'intrusions? (Éric Gingras)
 
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
Quelles lois sont applicables au hacker? Énormément moins que tu penses. (Bot...
 
Broken by design (Danny Fullerton)
Broken by design (Danny Fullerton)Broken by design (Danny Fullerton)
Broken by design (Danny Fullerton)
 
Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...Conservation et la circulation des renseignements personnels des services de ...
Conservation et la circulation des renseignements personnels des services de ...
 
Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)Stack Smashing Protector (Paul Rascagneres)
Stack Smashing Protector (Paul Rascagneres)
 
Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)Mots de passe et mécanismes d’authentification (Thomas Pornin)
Mots de passe et mécanismes d’authentification (Thomas Pornin)
 
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
Comment détecter des virus inconnus en utilisant des « honey pots » et d’autr...
 
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
PostNet, une nouvelle ère de Botnet résilient (Julien Desfossez & David Goulet)
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
 
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
Responsabilisation des données confidentielles en entreprise (Étienne Dubreuil)
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 

Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies (David Girard & Anthony Arrott)

  • 1. Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies. Tom Bennett et David Girard Québec, 5-6 novembre 2010 Copyright 2010 Trend Micro Inc.
  • 2. Agenda • Présentation de David Girard – Le code malicieux plus nombreux et plus furtif que jamais WEB – Les moyens de détection • Honeypots, analyse de trafic, analyse statistique… – Les type de honeypots – Mon honeynet et ceux de Trend Micro EMAIL • Présentation de James Bennett – Les engins de détections – Les types de signatures pour des cas réels FILE • Stuxnet….. • Démonstration • Questions Copyright 2010 Trend Micro Inc.
  • 3. Évolution de la menace • Augmentation exponentielle du malware – Un nouvelle variante de code malicieux toutes les 1.5 secondes • Le code malicieux est plus furtifs – Le chiffrement et la compression sont utilisés comme moyen de polymorphisme pour devenir des FUD (file fully undetectable). 26,598 – Les pirates utilisent des services FUD d’aide à l’évasion comme les crypters ex: PXCrypter 16,438 • Les vulnérabilités sont exploitées plus rapidement – 74% des attaques sortent le même jour que les correctifs 10,160 – Plusieurs attaques sortent avant les correctifs de sécurité 6,279 – Il y a donc plus de 0 day que jamais 3,881 2,397 1,484 57 205 799 2007 2009 2011 2013 2015 Exemplaires uniques PAR HEURE Copyright 2010 Trend Micro Inc.
  • 4. To FUD or not to FUD? Exemple de crypteur qui apporte la furtivité au malware. 75$ pour le premier exemplaire et 25$ pour les exemplaires subséquents Dogma Millions, Earning4u et pay- per-install.org sont des sites PPI qui débouchent sur des crypteurs et des testeurs à la VirusTotal mais ceux-ci sont totalement Black Hat Tous utilisent aussi des Black Hat SEO (Search Engine Optimization) pour optenir plus de click et de drive by dowload infection Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 4
  • 5. Les moyens de détections des nouvelles variantes • Les Honeypots et Honeynets: Spam trap, et malware collectors. Coûteux. Doivent être nombreux et diversifiés. • IDS (Network et Host) : Menaces en périphérie, DDOS, violation de protocoles et limitation de l’utilisation de signatures. Peu de détections car ne distingue pas bien entre une infection et un scan. Beaucoup de faux positifs. • SIEMS : Analyse transversale des évènements, dépend de la qualité des données sous-jacentes. Ils ne s’adaptent pas bien à la diversité des botnets sur le terrain. Lourdes tâches d’administration. Coûteux. Très coûteux. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 5
  • 6. Les moyens de détections des nouvelles variantes (suite) • NBA (Network Base Analysis) : Alerte sur les comportements anormaux. Beaucoup de fausse alertes. Doit avoir un baseline fiable pour détecter une anomalie significative. Détecte beaucoup d’autres situations qui ne sont pas reliées aux botnets. Exemple: Projet Ourmon. • Autres technologies : Multi-senseurs (ex: Bot Hunter, Trend Micro TDA). – Ceux-ci sont plus fiables car ils se bases sur plusieurs types d’analyse ou engin et font une corrélation des résultats. – Ils se basent aussi sur des preuves typiquement reliées au malware (scan de cibles, détection d’exploit, téléchargement de binaires et exécution, connexion à des C&C,scans sortants, campagnes de spam….) Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 6
  • 7. Les types de Honeypots *Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox. Principalement il y a les Low Interaction Honeypots et les High Interaction Honeypots. Les honeypots sont soit pour la recherche ou pour la production. Il y a plusieurs sous types (dépend de la mission): • Spam trap • Crawlers • Les hybrides Honeynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de détecter le V2V pas juste le V2C. Pour plus de détails et une bonne liste de projets: www.honeynet.org Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 7
  • 8. Processus de collection du code malicieux Passif (on attend d’être ciblé) ou Actif: 1. On va à la pêche au spam 2. On extrait les URL 3. On crawl sur les sites et on tente de se faire infecter ou de télécharger les fichiers malicieux que l’on trouve (Exe, pdf, swf…) 4. On capture le chargement (low) ou on analyse les changements (high) et les accès réseaux. (Analyse des chargements avec YARA, PEiD,PDFiD, swftool, etc) 5. On envoit une copie du chargement à plusieurs engins antiviraux pour identification 6. On envoi une copie à plusieurs Sandbox pour analyse 7. Analyse des multiples résultats Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 8
  • 9. Mon Honeynet personnel 1. Lien sans filtrage de ports 2. Plus d’une IP fixe 3. Un Firewall pour créer une DMZ 4. Une switche gérée avec un port mirroir 5. Un Hyperviseur pour héberger les VM (3+) 6. Une station de gestion et de monitoring isolé Je combine des low et High par le firewall interaction Honey Pots. J’ai 7. Un nom de domaine et aussi une VM de logging des entrées DNS (MX) (syslog + OSSEC ou Deep pour le spam Security) *Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 9
  • 10. Liste d’outils à avoir pour analyser nos examplaires de code malicieux • Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool, etc. • OfficeMalScanner • Des debuggers : Ollydbg, IDA Pro, Windows Dbg • Proxy : Burp Suite (car certains utilisent Https) • Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF Miner, Pdf-parser.py, Jsunpack, spidermonkey • Tutoriels: The Analyzing Flash Malware Video • Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD + ma bibliographie de mes livres favoris sur mon profil Linkedin • Deux environnements d’analyse: Ubuntu et Windows Et pleins d’autres que je n’ai pas eu le temps de compiler! Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 10
  • 11. Les Spam trap • C’est le premier type qu’il faut avoir dans son Honeynet car c’est le début de la chaine alimentaire. • Il faut avoir des boites aux lettres qui n’ont aucunes utilités et en extraire des informations comme des hyperliens, adresses IP sources, nom de domaine sources ou dans les URL. • Donc il faut un nom de domaine + des MX ou plein d’adresses de webmails! • On s’en sert pour créer une liste de réputation de courriels et pour alimenter nos Crawlers. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 11
  • 12. Crawlers ou Honey client • Fureteur automatisé: – Doit simuler plusieurs fureteurs à différent niveau de patches et naviguer vers les hyperliens récoltés. – Il faut soit trouver le malware ou se faire infecter par un exploit. Vive le drive by download (90% et plus des menaces viennent du Web alors). – Plus dur d’attrapper des Stuxnet qui passait par périphériques USB. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 12
  • 13. Low interaction Honeypots • Simule soit un OS, des services, des protocoles et des vulnérabilités ou une combinaison. Ce type de pot* est surtout pour le malware collection ou la détection selon le niveau de simulation. • Ex :Dionaea (successeur de Nepenthes), HoneyD, HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est long à installer avec pas mal de dépendances. Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une idée de l’attaquant et avoir un beau graphique de nos infections Avec les malwares collectors, il est impératif de se faire des scripts de soumission à ClamAV, Virus Total ou à des analyseurs de comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts sur le net. Il faut les modifier pour les adapter. Prenez des backup de vos logs (samples et md5 des samples) car un honeypot peut mourir jeune (surtout les High). Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 13
  • 14. Low interaction Honeypots en 15 minutes • Le plus simple des low interaction honeypot : – Linux (Ubuntu ou CentOS de préférence) dans un réseau Windows et d’écouter sur le port 139 ,445 et autres avec netcat. – Gardez un log (pcap) avec Wireshark pour les preuves ou l’analyse. – Truc: assigner plusieurs IP à votre linux dans plusieurs segments pour détecter plus vite. Voir Honeywall project. • Aussi, avec Wireshark, utilisez un display filter avec ceci : dns.count.answers >= 5 ou ils ont un TTL = 0 Ceci vous retournera ceux qui utilisent des fast flux DNS. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 14
  • 15. High Interaction Honeypots • OS et applications au complet. Ils peuvent être accédés et exploités. Ils sont plus utilisés pour détecter les attaquants ou les techniques utilisées que pour détecter du malware. Il s’agit de VM ou de postes que l’ont peut réinitialiser rapidement. On doit les équiper de moyens de détection comme vérificateur d’intégrité du système : fichiers, clés de registres, processus, services et ports ouverts. Doit rester furtif pour ne pas être détecté par le code malicieux qui ne se laissera pas étudier. • Pour le malware je vois 3 niveaux de patches pour détecter différents malwares 1. Sans patches : Pour tout attraper, même les très vieux malwares . Pas trop utile en recherche mais bon au travail. 2. Presque toutes patches : pour détecter les dernières menaces. Bon au travail et en recherche. 3. 100% patché : pour découvrir les 0 day. Bon en recherche. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 15
  • 16. High Interaction Honeypots (suite) • Pour créer un Hight interaction honeypot on doit avoir une copie des OS ciblés (principalement XP, Vista, 7, 2003, 2008). • On doit choisir des senseurs furtifs qui ne sont pas bloqués par les virus. Il faut pas mettre les outils d’analyses trop connus ou des outils de reverse engineering (debugger) dans cette VM car cela amoindrie les chances d’exécution. L’hyperviseur aussi doit être bien choisi. J’utilise Xen ou Parallels. • Il faut trouver les changements aux fichiers, les clés de registres, les processus, les services et les ports. Il faut attraper les requêtes DNS et journaliser les accès externes. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 16
  • 17. High Interaction Honeypots (suite) • Comme détecteurs d’intégrité et inspection des logs, j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les outils de iDefense qui sont bien mais ils datent. Quant aux outils de sysinternals, ils sont souvent repérés par les virus qui soient les désactivent ou ne s’activent pas. Pas bon dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0 • Pour les requêtes DNS, j’utilise un filtre Wireshark sur une machine connecté sur un port miroir et j’utilise un dns logger (BFK). Vous pouvez aussi utiliser un passive DNS. • Passive DNS : www.enyo.de/fw/software/dnslogger : www.bfk.de/bfk_dnslogger_en.html Note: Pour les PDF et Flash essayer PDFiD et swftool Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 17
  • 18. Les hybrides • Honeybot & Multipot : se considère un medium interaction honeypot car il simule des services et vulnérabilités comme un « Low » mais est installé sur une vrai machine qui peut-être compromise. Parfait pour détecter des machines compromises dans le réseau interne (à condition d’être ciblé). • Dans cette catégorie, il y a une panoplie de petits outils commerciaux pas très coûteux mais qui ne sont pas très efficaces • Threat Discovery Appliance ou TDA( abordé par James Bennett) Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 18
  • 19. Les multi-senseurs • Bot Hunter (freeware) – Deux senseurs + Corrélation – Analyse comportementale réseau de bots – 5 événements ou dialogues entre l’attaquant , le contrôleur et les victimes – Nécessite un port miroir à la sortie Internet pour vérifier le trafic qui entre mais aussi qui sort. Les règles snort de Bot Hunter sont – Bot Hunter est une coquille Intéressantes. On y trouve une liste Java par-dessus Snort et d’IP de C&C et de domaines. deux modules : SCADE Port scanning analysis et Les règles se mettent à jour SLADE Incomming payload quotidiennement. Le projet est analysis (comme PE malheureusement sur la fin. Blade Hunter) le remplacera. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 19
  • 20. Les multi-senseurs (suite) Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou: 1. A L’attaquant 2. V La victime 3. C C&C Server – Serveur de commandement et de contrôle 4. V0 La prochaine cible de la victime 5. E Téléchargement d’un oeuf ou binaire ou Egg Download 6. Ḋ Séquence d’événements (dialog) de l’infection • E1 External to Internal Inbound Scan • E2 External to Internal Inbound Exploit • E3 Internal to External Binary Acquisition • E4 Internal to External C&C Communication • E5 Internal to External Outbound Infection Scanning Source : SRI International Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 20
  • 21. Comment Trend Micro fait? • Le plus vaste réseau de sondes (dont des honeypots) parmi les vendeurs de sécurité (selon Gartner). • Nous collectons des polluriels (spam trap), des hyperliens, des noms de domaines, des adresses IP et des fichiers infectés (via crawlers et attachement). Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau SPN ou Smart Protection Network. • À plus petite échelle nous avons une sonde déployable en entreprise qui utilise cinq types de détection plus une corrélation. Présentation de Tom. Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 21
  • 22. Un réseau de sondes et de la corrélation RÉPUTATION WEB Fausses nouvelles par courriel Un site web compromis RÉPUTATION RÉPUTATION COURRIELS FICHIERS Un faux video Corrélation Copyright 2010 Trend Micro Inc.
  • 23. Présentation de Tom Bennett Classification 11/8/2010 Copyright 2010 Trend Micro Inc. 23
  • 24. Questions? Copyright 2010 Trend Micro Inc.