Panorama des menaces informatiques - Philippe Humeau, Net4All
Hackfest2010 Tm Dg Fr
1. Copyright 2010 Trend Micro Inc.
Comment détecter des virus inconnus
en utilisant des « Honeypots » et
d’autres technologies.
Tom Bennett et David Girard
Québec, 5-6 novembre 2010
2. Agenda
• Présentation de David Girard
– Le code malicieux plus nombreux et plus furtif que jamais
– Les moyens de détection
• Honeypots, analyse de trafic, analyse statistique…
– Les type de honeypots
– Mon honeynet et ceux de Trend Micro
WEB
EMAIL
Copyright 2010 Trend Micro Inc.
• Présentation de James Bennett
– Les engins de détections
– Les types de signatures pour des cas réels
• Stuxnet…..
• Démonstration
• Questions
FILE
3. Évolution de la menace
• Augmentation exponentielle du malware
– Un nouvelle variante de code malicieux toutes les 1.5 secondes
• Le code malicieux est plus furtifs
– Le chiffrement et la compression sont utilisés comme moyen de
polymorphisme pour devenir des FUD (file fully undetectable).
– Les pirates utilisent des services FUD d’aide à l’évasion comme
les crypters ex: PXCrypter
26,598
Copyright 2010 Trend Micro Inc.
• Les vulnérabilités sont exploitées plus rapidement
– 74% des attaques sortent le même jour que les correctifs
– Plusieurs attaques sortent avant les correctifs de sécurité
– Il y a donc plus de 0 day que jamais
57 205 799
1,484
2,397
3,881
6,279
10,160
16,438
2007 2009 2011 2013 2015
Exemplaires uniques PAR HEURE
4. Exemple de crypteur qui apporte la
furtivité au malware.
75$ pour le premier exemplaire et
25$ pour les exemplaires
subséquents
Dogma Millions, Earning4u et pay-
per-install.org sont des sites PPI
To FUD or not to FUD?
Copyright 2010 Trend Micro Inc.
per-install.org sont des sites PPI
qui débouchent sur des crypteurs
et des testeurs à la VirusTotal mais
ceux-ci sont totalement Black Hat
Tous utilisent aussi des Black Hat
SEO (Search Engine Optimization)
pour optenir plus de click et de
drive by dowload infection
Classification 11/8/2010 4
5. Les moyens de détections des
nouvelles variantes
• Les Honeypots et Honeynets: Spam trap, et malware
collectors. Coûteux. Doivent être nombreux et diversifiés.
• IDS (Network et Host) : Menaces en périphérie, DDOS,
violation de protocoles et limitation de l’utilisation de
signatures. Peu de détections car ne distingue pas bien
entre une infection et un scan. Beaucoup de faux positifs.
Copyright 2010 Trend Micro Inc.
entre une infection et un scan. Beaucoup de faux positifs.
• SIEMS : Analyse transversale des évènements, dépend
de la qualité des données sous-jacentes. Ils ne s’adaptent
pas bien à la diversité des botnets sur le terrain. Lourdes
tâches d’administration. Coûteux. Très coûteux.
Classification 11/8/2010 5
6. Les moyens de détections des
nouvelles variantes (suite)
• NBA (Network Base Analysis) : Alerte sur les
comportements anormaux. Beaucoup de fausse alertes.
Doit avoir un baseline fiable pour détecter une anomalie
significative. Détecte beaucoup d’autres situations qui
ne sont pas reliées aux botnets. Exemple: Projet
Ourmon.
Copyright 2010 Trend Micro Inc.
• Autres technologies : Multi-senseurs (ex: Bot Hunter,
Trend Micro TDA).
– Ceux-ci sont plus fiables car ils se bases sur plusieurs types
d’analyse ou engin et font une corrélation des résultats.
– Ils se basent aussi sur des preuves typiquement reliées au
malware (scan de cibles, détection d’exploit, téléchargement de
binaires et exécution, connexion à des C&C,scans sortants,
campagnes de spam….)
Classification 11/8/2010 6
7. Les types de Honeypots
*Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox.
Principalement il y a les Low Interaction Honeypots et les
High Interaction Honeypots.
Les honeypots sont soit pour la recherche ou pour la
production.
Il y a plusieurs sous types (dépend de la mission):
Copyright 2010 Trend Micro Inc.
• Spam trap
• Crawlers
• Les hybrides
Honeynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un
attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de
détecter le V2V pas juste le V2C.
Pour plus de détails et une bonne liste de projets: www.honeynet.org
Classification 11/8/2010 7
8. Processus de collection du code malicieux
Passif (on attend d’être ciblé) ou Actif:
1. On va à la pêche au spam
2. On extrait les URL
3. On crawl sur les sites et on tente de se faire infecter ou
de télécharger les fichiers malicieux que l’on trouve
(Exe, pdf, swf…)
Copyright 2010 Trend Micro Inc.
(Exe, pdf, swf…)
4. On capture le chargement (low) ou on analyse les
changements (high) et les accès réseaux. (Analyse des
chargements avec YARA, PEiD,PDFiD, swftool, etc)
5. On envoit une copie du chargement à plusieurs engins
antiviraux pour identification
6. On envoi une copie à plusieurs Sandbox pour analyse
7. Analyse des multiples résultats
Classification 11/8/2010 8
9. Mon Honeynet personnel
1. Lien sans filtrage de
ports
2. Plus d’une IP fixe
3. Un Firewall pour créer
une DMZ
4. Une switche gérée
avec un port mirroir
5. Un Hyperviseur pour
héberger les VM (3+)
6. Une station de gestion
Copyright 2010 Trend Micro Inc.Classification 11/8/2010 9
6. Une station de gestion
et de monitoring isolé
par le firewall
7. Un nom de domaine et
des entrées DNS (MX)
pour le spam
*Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs
Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les
sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark.
Je combine des low et High
interaction Honey Pots. J’ai
aussi une VM de logging
(syslog + OSSEC ou Deep
Security)
10. Liste d’outils à avoir pour analyser
nos examplaires de code malicieux
• Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool,
etc.
• OfficeMalScanner
• Des debuggers : Ollydbg, IDA Pro, Windows Dbg
• Proxy : Burp Suite (car certains utilisent Https)
• Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script
Copyright 2010 Trend Micro Inc.
• Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script
swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF
Miner, Pdf-parser.py, Jsunpack, spidermonkey
• Tutoriels: The Analyzing Flash Malware Video
• Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD +
ma bibliographie de mes livres favoris sur mon profil Linkedin
• Deux environnements d’analyse: Ubuntu et Windows
Et pleins d’autres que je n’ai pas eu le temps de compiler!
Classification 11/8/2010 10
11. Les Spam trap
• C’est le premier type qu’il faut avoir dans son Honeynet
car c’est le début de la chaine alimentaire.
• Il faut avoir des boites aux lettres qui n’ont aucunes
utilités et en extraire des informations comme des
hyperliens, adresses IP sources, nom de domaine
sources ou dans les URL.
Copyright 2010 Trend Micro Inc.
sources ou dans les URL.
• Donc il faut un nom de domaine + des MX ou plein
d’adresses de webmails!
• On s’en sert pour créer une liste de réputation de
courriels et pour alimenter nos Crawlers.
Classification 11/8/2010 11
12. Crawlers ou Honey client
• Fureteur automatisé:
– Doit simuler plusieurs fureteurs à différent niveau de patches et
naviguer vers les hyperliens récoltés.
– Il faut soit trouver le malware ou se faire infecter par un exploit. Vive
le drive by download (90% et plus des menaces viennent du Web
alors).
– Plus dur d’attrapper des Stuxnet qui passait par périphériques
Copyright 2010 Trend Micro Inc.
– Plus dur d’attrapper des Stuxnet qui passait par périphériques
USB.
Classification 11/8/2010 12
13. Low interaction Honeypots
• Simule soit un OS, des services, des protocoles et des
vulnérabilités ou une combinaison. Ce type de pot* est
surtout pour le malware collection ou la détection selon le
niveau de simulation.
• Ex :Dionaea (successeur de Nepenthes), HoneyD,
HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais
vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est
Copyright 2010 Trend Micro Inc.
vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est
long à installer avec pas mal de dépendances.
Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une
idée de l’attaquant et avoir un beau graphique de nos infections
Avec les malwares collectors, il est impératif de se faire des scripts de
soumission à ClamAV, Virus Total ou à des analyseurs de
comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts
sur le net. Il faut les modifier pour les adapter. Prenez des backup de
vos logs (samples et md5 des samples) car un honeypot peut mourir
jeune (surtout les High).
Classification 11/8/2010 13
14. Low interaction Honeypots en 15 minutes
• Le plus simple des low interaction honeypot :
– Linux (Ubuntu ou CentOS de préférence) dans un réseau
Windows et d’écouter sur le port 139 ,445 et autres avec netcat.
– Gardez un log (pcap) avec Wireshark pour les preuves ou
l’analyse.
– Truc: assigner plusieurs IP à votre linux dans plusieurs segments
pour détecter plus vite. Voir Honeywall project.
Copyright 2010 Trend Micro Inc.
• Aussi, avec Wireshark, utilisez un display filter avec ceci :
dns.count.answers >= 5
ou ils ont un TTL = 0
Ceci vous retournera ceux qui utilisent des fast flux DNS.
Classification 11/8/2010 14
15. High Interaction Honeypots
• OS et applications au complet. Ils peuvent être accédés et exploités.
Ils sont plus utilisés pour détecter les attaquants ou les techniques
utilisées que pour détecter du malware. Il s’agit de VM ou de postes
que l’ont peut réinitialiser rapidement. On doit les équiper de moyens
de détection comme vérificateur d’intégrité du système : fichiers, clés
de registres, processus, services et ports ouverts. Doit rester furtif
pour ne pas être détecté par le code malicieux qui ne se laissera pas
étudier.
Copyright 2010 Trend Micro Inc.
étudier.
• Pour le malware je vois 3 niveaux de patches pour détecter différents
malwares
1. Sans patches : Pour tout attraper, même les très vieux
malwares . Pas trop utile en recherche mais bon au travail.
2. Presque toutes patches : pour détecter les dernières menaces.
Bon au travail et en recherche.
3. 100% patché : pour découvrir les 0 day. Bon en recherche.
Classification 11/8/2010 15
16. • Pour créer un Hight interaction honeypot on doit avoir une
copie des OS ciblés (principalement XP, Vista, 7, 2003,
2008).
• On doit choisir des senseurs furtifs qui ne sont pas
bloqués par les virus. Il faut pas mettre les outils
d’analyses trop connus ou des outils de reverse
High Interaction Honeypots (suite)
Copyright 2010 Trend Micro Inc.
d’analyses trop connus ou des outils de reverse
engineering (debugger) dans cette VM car cela amoindrie
les chances d’exécution. L’hyperviseur aussi doit être bien
choisi. J’utilise Xen ou Parallels.
• Il faut trouver les changements aux fichiers, les clés de
registres, les processus, les services et les ports. Il faut
attraper les requêtes DNS et journaliser les accès
externes.
Classification 11/8/2010 16
17. • Comme détecteurs d’intégrité et inspection des logs,
j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les
outils de iDefense qui sont bien mais ils datent. Quant aux
outils de sysinternals, ils sont souvent repérés par les virus
qui soient les désactivent ou ne s’activent pas. Pas bon
dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0
High Interaction Honeypots (suite)
Copyright 2010 Trend Micro Inc.
• Pour les requêtes DNS, j’utilise un filtre Wireshark sur une
machine connecté sur un port miroir et j’utilise un dns
logger (BFK). Vous pouvez aussi utiliser un passive DNS.
• Passive DNS : www.enyo.de/fw/software/dnslogger
: www.bfk.de/bfk_dnslogger_en.html
Note: Pour les PDF et Flash essayer PDFiD et swftool
Classification 11/8/2010 17
18. Les hybrides
• Honeybot & Multipot : se considère un medium interaction
honeypot car il simule des services et vulnérabilités
comme un « Low » mais est installé sur une vrai machine
qui peut-être compromise. Parfait pour détecter des
machines compromises dans le réseau interne (à condition
d’être ciblé).
Copyright 2010 Trend Micro Inc.
• Dans cette catégorie, il y a une panoplie de petits outils
commerciaux pas très coûteux mais qui ne sont pas très
efficaces
• Threat Discovery Appliance ou TDA( abordé par James
Bennett)
Classification 11/8/2010 18
19. Les multi-senseurs
• Bot Hunter (freeware)
– Deux senseurs + Corrélation
– Analyse comportementale
réseau de bots
– 5 événements ou dialogues
entre l’attaquant , le
contrôleur et les victimes
– Nécessite un port miroir à la
Copyright 2010 Trend Micro Inc.
– Nécessite un port miroir à la
sortie Internet pour vérifier
le trafic qui entre mais aussi
qui sort.
– Bot Hunter est une coquille
Java par-dessus Snort et
deux modules : SCADE
Port scanning analysis et
SLADE Incomming payload
analysis (comme PE
Hunter)
Classification 11/8/2010 19
Les règles snort de Bot Hunter sont
Intéressantes. On y trouve une liste
d’IP de C&C et de domaines.
Les règles se mettent à jour
quotidiennement. Le projet est
malheureusement sur la fin. Blade
le remplacera.
20. Les multi-senseurs (suite)
Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou:
1. A L’attaquant
2. V La victime
3. C C&C Server – Serveur de commandement et de contrôle
4. V0 La prochaine cible de la victime
Copyright 2010 Trend Micro Inc.
5. E Téléchargement d’un oeuf ou binaire ou Egg Download
6. Ḋ Séquence d’événements (dialog) de l’infection
• E1 External to Internal Inbound Scan
• E2 External to Internal Inbound Exploit
• E3 Internal to External Binary Acquisition
• E4 Internal to External C&C Communication
• E5 Internal to External Outbound Infection Scanning
Source : SRI International
Classification 11/8/2010 20
21. Comment Trend Micro fait?
• Le plus vaste réseau de sondes (dont des honeypots)
parmi les vendeurs de sécurité (selon Gartner).
• Nous collectons des polluriels (spam trap), des
hyperliens, des noms de domaines, des adresses IP et
des fichiers infectés (via crawlers et attachement).
Nous analysons le comportement des sites et fichiers
puis nous corrélons le tout. Nous appelons ce réseau
Copyright 2010 Trend Micro Inc.
Nous analysons le comportement des sites et fichiers
puis nous corrélons le tout. Nous appelons ce réseau
SPN ou Smart Protection Network.
• À plus petite échelle nous avons une sonde déployable
en entreprise qui utilise cinq types de détection plus
une corrélation. Présentation de Tom.
Classification 11/8/2010 21
22. Un site webUn site web compromiscompromis
Fausses nouvelles par courriel
Un faux video
Un réseau de sondes et de la corrélation
RÉPUTATION
COURRIELS
RÉPUTATION
WEB
RÉPUTATION
FICHIERS
Copyright 2010 Trend Micro Inc.
Un faux video
Corrélation
23. Présentation de Tom Bennett
Copyright 2010 Trend Micro Inc.Classification 11/8/2010 23