Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Article prot vs_def_secus_10_12
1. A S S O CI ATIONS
ADVANCED PERSISTENT THREAT (APT)
1
Quand se protéger
ne suffit plus
PAR BSIDESQUÉBEC
SÉCUS est heureux de confier
à BSidesQuébec la rédaction
Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer
de la chronique technique du que l’industrie de la sécurité est tombée dans une déchirure spatio-
magazine et espère que vous
apprécierez cette section. temporelle. Le monde de la sécurité, dans son ensemble, accuse un retard
Pour plus d’informations sur d’au moins une dizaine d’années par rapport à celui des attaquants.
BSidesQuébec, consultez
bsidesquebec.org.
Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti-
tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des
attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires.
Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque
auxquels on fait face.
En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro-
tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face.
Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et
cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela
arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ».
« On est en train de perdre constat d’échec? peut-on
la guerre, mais que
faire vis-à-vis de ce »
ADVANCED PERSISTENT THREAT (APT)
L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas
évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque
vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont
conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les
attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils
réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près
de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon
exemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds),
qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Les
auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten-
tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire
détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est
impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs
de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou
manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien-
nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un
accès leur permettant de revenir plus tard pour frapper de nouveau.
Suite en page 50
Automne 2012 SÉCUS | 49 |
2. Suite de la page 49
La firme américaine Mandiant se spécialise notamment moyens de prévention et de défense mis en place, on constate
dans la réponse aux incidents et publie un rapport annuel qui évidemment qu’un changement de paradigmes sur le plan des
s’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci- stratégies traditionnelles de défense s’impose. Il faut voir les
dents traités au cours de la dernière année et dépeint un por- mesures préventives comme des moyens ayant pour but de
trait très peu rassurant de cette nouvelle réalité que trop peu ralentir les attaques afin que les mesures de détection aient
de gens et d’organisations connaissent. Voici quelques faits le temps de les identifier. La notion de détection évoquée ici
saillants du M-Trends (2012) : n’inclut pas uniquement les mécanismes traditionnels tels
s Seulement 6 % des organisations ont découvert les que les sondes de prévention et de détection des intrusions
brèches elles-mêmes et 94 % d’entre elles ont été avi- (IDS et IPS), mais également les trois approches mention-
sées par une source externe. nées plus loin. Une réponse adéquate aux incidents est
s L’APT typique passe inaperçue pendant plus d’un an. nécessaire afin de tenter de maîtriser la situation avant que les
s Les brèches sont de plus en plus découvertes lors de attaquants réalisent qu’ils ont été découverts.
processus de fusions et d’acquisitions. Parmi les différentes approches de détection et réponses
s Les attaques avancées visent plusieurs maillons de la possibles, voici trois types de contrôles qui devraient être for-
« chaîne ». tement considérés et qui pourraient aider grandement dans les
s Les logiciels malveillants (malware) racontent seule- situations où l’on doit faire face à des attaques de type APT :
ment la moitié (54 %) de l’histoire.
s L’utilisation d’outils publics ajoute de la complexité
dans l’identification des acteurs derrière les menaces.
s Les attaquants diversifient leurs mécanismes de
persistance.
s Les attaquants motivés par des objectifs financiers
sont de plus en plus persistants.
Il est important de porter attention à deux de ces points.
Le premier concerne les attaques avancées qui visent plusieurs
maillons de la chaîne. En fait, les attaquants tentent de passer
par un tiers pour atteindre leur cible. À titre d’exemple, des
pirates ont réussi à s’introduire dans quatre grands cabinets
d’avocats de la rue Bay à Toronto au cours de la dernière année, 1 AUGMENTER LES CONTRÔLES
et ce, à l’aide de cyberattaques très sophistiquées conçues SUR LES COMMUNICATIONS SORTANTES
pour détruire des données ou voler des documents sensibles Trop souvent, les communications sortantes ne sont pas
en matière de fusions et d’acquisitions imminentes5. Évidem- ou sont mal contrôlées sur le plan du périmètre. La plupart des
ment, les cibles n’étaient pas les cabinets d’avocats, mais bien logiciels malveillants tenteront tôt ou tard de se connecter à un
leurs clients. Le second concerne le fait que les logiciels malveil- centre de commandement (CC), que ce soit pour télécharger
lants ne racontent que la moitié (54 %) de l’histoire. Cela signifie des mises à jour, recevoir des instructions, voler et exfiltrer de l’in-
que l’autre moitié des attaques (46 %) n’implique pas de logi- formation, etc. Or, les protocoles fréquemment utilisés en sortie
ciels malveillants. En fait, une fois qu’un système a été compro- vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés
mis par les attaquants à l’aide d’un logiciel malveillant, des par les logiciels malveillants afin de se fondre dans la masse du
noms d’utilisateur et mots de passe valides (credentials) sont trafic légitime d’une organisation pour ensuite se connecter
volés sur le système. Ces derniers sont ensuite réutilisés par au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce
les pirates pour se connecter à d’autres systèmes. Les con- niveau, par exemple en permettant uniquement aux serveurs
nexions à ces systèmes qui semblent alors légitimes passent DNS de faire des requêtes vers Internet sur les ports TCP et UDP
sous le radar et n’attirent pas l’attention. 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole
soit bloqué. De plus, un système situé sur le réseau interne ne
PRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTION devrait jamais pouvoir rejoindre Internet directement sans
ET À LA RÉPONSE passer par un serveur mandataire (proxy). Toutes les connexions
Il faut comprendre que les APT sont réelles et que leurs qui tentent de rejoindre Internet sans passer par un serveur
auteurs disposent de plus de temps et d’argent pour s’intro- mandataire pourraient par exemple être redirigées via la route
duire dans les infrastructures que l’on a de temps et d’argent par défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6
pour les sécuriser. La plupart des organisations allouent la situé à l’interne. Cela contribuerait à bloquer les connexions
majorité de leur budget et de leurs efforts à la sécurité sur les de type CC et à analyser le contenu du trafic clandestin ou
techniques de prévention et de défense pour malheureuse- malicieux et ainsi à détecter les systèmes potentiellement
ment négliger la détection et la réponse aux incidents. Alors, si infectés à l’interne et d’en apprendre plus sur l’attaque en cours
l’on considère le fait que l’on se fera pirater peu importe les qui, parfois, est invisible autrement. Suite en page 51
Automne 2012 SÉCUS | 50 |
3. Suite de la page 50
2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES Un élément en particulier attire-t-il l’attention ? Est-ce
Le nerf de guerre est l’information, et c’est exactement que des requêtes à intervalles fixes de six heures précises à
ce que les attaquants tentent d’obtenir lors qu’ils attaquent la seconde près sur une période de douze heures et toujours
une infrastructure. vers la même adresse sont faites par un humain ou par une
« Que ce soitconfidentielles ou des bases
machine ? Il y a de fortes chances que ce soit une machine.
des fichiers contenant des
informations IL Y A PLUS !
En plus de maintenir les contrôles traditionnels et
de données avec des numéros de cartes d’exercer ceux qui sont mentionnés plus tôt, il est également
de crédit, l’accès aux ressources recommandé d’effectuer régulièrement des analyses de
informatiques doit être rigoureusement
»
vulnérabilité et des tests d’intrusion (pentest) de façon péri-
contrôlé et journalisé. odique, ce qui est un excellent moyen de découvrir les failles
et d’avoir la vision que les attaquants ont de l’environnement
Par exemple, il n’est pas normal que des systèmes con- technologique. Il faut être conscient que ces deux activités
tenant de l’information de cette nature soient sur un réseau plat sont différentes, alors on doit prendre cette réalité en
qui n’a aucune segmentation et qui n’offre aucun cloisonnement compte. Une analyse de vulnérabilité est ni plus ni moins
des données. De plus, des solutions d’authentification forte de qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce
type Role Based Access Control (RBAC)7 combinées avec une ne devrait pas seulement être un copier-coller provenant du
solution de gestion des identités contribueront grandement à résultat d’un outil, mais bien une interprétation de ce dernier,
sécuriser les données. Il faut comprendre que, même si l’on met incluant des recommandations et des solutions pour cha-
les meilleurs mécanismes en place, cela ne rendra pas les sys- cune des vulnérabilités découvertes.
tèmes impénétrables. Cependant, plus on met de bâtons dans Le test d’intrusion, quant à lui, pousse l’exercice plus
les roues des attaquants, plus ils risquent de s’enfarger et d’être loin. Le testeur tente d’exploiter les vulnérabilités ayant été
bruyants, ce qui permettra de repérer leurs activités qui ne découvertes, tout comme un vrai pirate le ferait, mais dans
seraient peut-être pas détectées autrement. un cadre professionnel et contrôlé. Il faut noter que ces
tests peuvent être effectués tant sur le plan du réseau, du
3 ANALYSER LES INFORMATIONS PERTINENTES serveur que de l’application. On peut même tester les
Il ne suffit pas de tout journaliser. Encore faut-il savoir humains grâce à l’ingénierie sociale ! Mais c’est un autre
quoi regarder et avoir les bons outils pour le faire. Voici l’exemple dossier... Suite en page 52
de la série de requêtes DNS :
s date-20XX 08:42:29.121 client 1.1.1.130#18759:
query: drpxbbjbvcvcjllyqxsn.com IN A
s date-20XX 08:42:29.218 client 1.1.1.130#18789:
query: eh4t07sruha0x3betqa.com IN A –E
Que remarque-t-on ? Est-ce que les noms de domaine
« drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com »
semblent légitimes ou ressemblent-ils à des requêtes qui
pourraient avoir été faites par un logiciel potentiellement
malveillant tentant de rejoindre un CC ? Il s’agit fort proba-
blement de requêtes faites par un logiciel potentiellement
malveillant.
Voici maintenant des requêtes ayant été journalisées
par un coupe-feu :
s 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111
%ASA-5-304001: 1.1.1.42 Accessed URL
69.3.211.4:http://www.emcc.com/info.html
BSIDESQUEBEC, FIER PARTENAIRE DU CQSI,
s 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111
S’UNIT À CUSIN SÉCURITÉ INC.,
%ASA-5-304001: 1.1.1.42 Accessed URL
AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ
69.3.211.4:http://www.emcc.com/info.html
s 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 ET LES 20 ANS DU CQSI!
%ASA-5-304001: 1.1.1.42 Accessed URL
69.3.211.4:http://www.emcc.com/info.html
http://bsidesquebec.org
http://cusin.ca