Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. Traitement des incidents
SSI
Philippe VIALLE
Ingénieur senior sécurité, support EMEA
Microsoft
C|EH, CISSP
http://www.microsoft.com/fr-fr/security/default.aspx
Sécurité
3. Traitement des incidents
SSI
Patrick Chuzel
Ingénieur senior sécurité d’escalade,
support EMEA
Microsoft
MCSD
http://www.microsoft.com/fr-fr/security/default.aspx
Sécurité
4. Agenda
Mardi 12 février 2013, 17h30
Partie 1 Introduction
Partie 2 Retours d’expérience sur les incidents
Partie 3 Rootkit, le Retour
Démo / questions
Sécurité
6. Equipe CSS Sécurité France / EMEA
• Bulletins de sécurité
– France / EMEA
• Support de l’antivirus postes et serveurs
– FCS, FEP, SCEP.
• Traitement des incidents de sécurité France / EMEA
– Traitement des intrusions, attaques.
– Traitement des alertes virales.
– Analyse de machines (“est-elle compromise ou non ?”).
• Formateurs sécurité et investigation NTIC
– Conférences web, générales ou ciblées sur produits.
– Sessions présentielles (plusieurs jours).
Sécurité
9. Des tendances marketing : APT
• « APT » = Advanced Persistent Threat.
– Menace persistante, s’appuyant sur panoplie d’outils (pas
forcément avancés…).
• Bien plus rare que ce qu’on peut en lire !
– NB : traitement en cours au Support de quelques cas
réellement « hors du commun »…
• Information & outils d’attaque disponibles :
– Vulnerabilités + codes d’exploitation prêts à l’emploi.
– Environnements de dev gratuits (y compris pour codes
malveillants), ou prestation de service.
Sécurité
10. Des idées reçues à abattre
• « 100% des correctifs Microsoft déployés =
parc sécurisé. »
– Non !
• Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat…
– /! Urgence à déployer les correctifs non Microsoft
• « Antivirus déployé = parc sécurisé »
– Non !
• Sécurité en multi-couches
• Antivirus = « liste noire », 100% efficace = impossible
• Nb: Antivirus ciblé par attaquants.
Sécurité
12. Des croyances à oublier
• « Machines Linux / Unix / Apple =
indifférentes au risque viral »
– Sauf si hébergement de ressources accessibles via protocole
compatible SMB !
• « panier viral » persistant !
• Sécurisation complexe via clients uniquement.
– Codes malins avec téléchargeur :
• Version compilée MacOS, si système est Apple,
• Version compilée Win32/64, si système est Microsoft.
– NB : MS SCEP supporte MacOS et Linux…
Sécurité
13. Des idées à abattre
• « La menace ne vient que de l’extérieur… »
– Clé USB, disque dur / mini-NAS
• (perso ?)
– PC portable perso connecté au LAN
– PC portable prestataire connecté au LAN
– Ordiphone personnel connecté au LAN
• 3/4G, WiFi, Blue-Tooth, connectivité USB, etc.
– Liaison ADSL achetée, « non cadrée » (isolation)
– Duperie des utilisateurs,
• pour contourner la sécurité à leur insu.
Sécurité
15. Evolutions…
• Visibilité supérieure
– (Impact si déni de service ?)
• Vrai CMS pour le contenu du site web
• Vraies données à afficher, et à rafraîchir
• Interconnexion avec d’autres services internes
• Population cible élargie
– Internet, mais aussi… interne !
– Pourquoi refaire l’architecture pour l’usage interne ?
Sécurité
17. Mais la gestion sécurité…?
• Site Internet devient extranet…
• Site Internet devient également… intranet !
– Quid des niveaux de risque respectifs ?
• Intranet = interne = « niveau de risque minimum »
?
• Intranet exposé aux risques Internet ?
– Niveau de risque différent de celui du LAN
• Besoin de sécurité différent de celui historique !
– Peu de changements sécurité au final…
• Coûts de la sécurité ?
• Évolution « au fil de l’eau », sans mise à plat / audit.
Sécurité
18. « Et là, tout s’enchaîne… »
• Injection, depuis Internet, de code dans les pages
du site « inter/intranet »
– 1 à plusieurs codes d’exploitation.
• (ou) Injection d’une bannière pointant sur source
externe :
– Code viral / codes d’exploitation.
• Puis ? Laisser faire le temps…
– Déploiement sur le parc… de l’attaque
Bonus : utilisation du site internet compromis
comme canal de contrôle de BotNet…
Sécurité
20. Variantes
• Comment déployer un code malin / une porte
dérobée, en entreprise :
– dans le temps,
– discrètement,
– avec une portée globale sur l’entité ciblée,
– « gratuitement » ?
• En le faisant via les outils de gestion de parc !
– Gestion de parc / administration = cibles.
• Création / modification de paquetages de déploiement.
Sécurité
21. La vie, la vraie…
• Mots de passe administrateur local, commun
de machines en machines (pire : en DMZ).
– Aussi dangereux qu’un compte admin du domaine.
• AD identique en DMZ et sur le LAN de prod.
– Aucune isolation, rebond possible sur prod !
• Mauvaise cartographie des flux :
– Confusion entre flux de supervision et malveillants.
• Filtrage réseau faible :
– Règles pare-feu autorisant… toute session TCP.
– Détection (NIDS), mais pas de blocage, ni supervision.
Sécurité
22. Le point d’entrée…?
• Suite accès à serveur intégré à l’AD, et via un
compte disposant du privilège SeDebug :
– Énumération des comptes ayant ouvert une session
(interactive ou non)
• Dont administrateur du domaine, ou local ?
– Extraction / vol des condensats des mots de passe
• Pass the hash (avec réutilisation de l’identité AD)
• Keyloggers fréquents.
– Propagation de l’intrusion :
• Exploration d’autres machines,
• Création/modification de comptes.
Sécurité
23. D’autres idées à abattre
• « Isolation AD = entre domaines »
– Frontière du modèle de sécurité AD = forêt
• Aucune isolation entre domaines
– Multi-forêt recommandée
• Notamment 1 pour administrer
• « Pas de risque si accès uniquement à des
sites partenaires / connus »
– Possibilité de compromission à leur insu…
– Possibilité de détournement de l’accès réseau…
• Résolution de nom, etc.
Sécurité
24. Des retours d’expérience
• Cloisonnement réseau :
– Sans lui, inventaire réseau du code malin = plus précis que
celui de la DSI…
– Peu souvent mis en œuvre
• /! routage dynamique…
• Principaux ennemis ?
– À la frontière entre intrusion logique et physique :
• La clé USB !
– RExp Conficker, Stuxnet, etc.
– Insuffisance de cartographie des flux.
Sécurité
25. Autres retours d’expérience
• Zones d’échange métier = cibles !
– MS Exchange
• Quantité/diversité de données insoupçonnée…
– SharePoint
– Partages réseau SMB
• Douloureux, peu anticipé, criticité sous-estimée…
• Mais sont également ciblés :
– AD : annuaire de personnes
• Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…)
– Journaux de sécurité
• Si activés et pas seulement en échecs…
Sécurité
26. Quelques rappels opérationnels
• Cloisonnement réseau à 100% = utopie
– Interconnexion = fondement même réseaux IP
• Mais sans cloisonnement :
– Compromission transverse, et non pas de zone !
• Pare-feu = statique = premier barrage
– Insuffisant (un routeur pourrait faire l’affaire…)
• Sonde NIDS / NIPS = filtrage dynamique,
adaptable
– WAF = protection applicatif web
Sécurité
27. Des choses plus « exotiques » ?
• Ne pas télécharger des outils bien connus
– Mais récupérer code source + compiler en local
• Plus discret par rapport aux systèmes de filtrage
• Identifier le moteur antiviral utilisé par la cible
– Remodeler code malin existant pour y échapper
• Même variante, empaqueteur différent !
• Se propager via les zones de synchro de l’AD
– Sysvol / Netlogon
• Cibler des systèmes ou des matériels
particuliers…
Sécurité
28. Partie 2
Rootkit, le retour
P. Chuzel
Sécurité
29. Quelques chiffres [MMPC]
• Décembre 2012
– 20 millions de logiciels potentiellement malins,
analysés
• 100 000 ont mené à création de signatures
• Blocage de 4 millions de fichiers (uniques)
– Base complète : 72 millions de fichiers détectés.
• Collecte de données sur 1 milliard de
machines
– Vision étendue des menaces en circulation !
Sécurité