3. boolaz.com
Ce que l’APT n’est pas
• Un defacement
• Un Déni de service
• Un DDoS
• L’accès frauduleux à un S.T.A.D.
• Un vol de données par injection SQL
• l’exploitation transversale d’une vulnérabilité (wordpress, joomla…)
• …
3
4. boolaz.com
Alors qu’est ce que c’est ?
• APT : Advanced Persistent Threat
• Threat
> Menace pour l’entité qui en est victime
• Advanced
> évoluée, complexe
• Persistent
> Volonté de perdurer le plus longtemps possible
sans être détecté par les équipes en charge du
système d’information (attaque furtive, sous le radar)
4
5. boolaz.com
évoluée ?
• Pris en considération séparément, les éléments d’une APT ne sont pas
particulièrement évolués
> XSS, SQLi, phishing, spear phishing, malwares
• Il est rarement question d’utilisation d’exploits 0-day (11/4192 en 2013)
• Ce qui rend l’attaque évoluée, c’est l’association de ces différents éléments
par des individus spécialistes dans leur domaine
• Le nombre d’attaquants
• Importance des moyens mis en oeuvre (physique, partenaires)
5
7. boolaz.com
Les attaquants
• Une attaque APT n’est pas menée par un individu unique
• Groupes d’attaquants dont il est difficile d’estimer le nombre et la taille
> composition peut aller jusqu’à plusieurs dizaines d’individus
• Recoupements par mode opératoire et éléments communs
> serveurs DNS, domaines, IP, adresses mail, malwares, chaines textuelles
> ⚠ Partage de ressources
• Profils complémentaires
7
8. boolaz.com
Types de profils
• Développeurs
> Développeurs généralistes et
développeurs de malwares
> sous traitance
• Administrateurs système
> maintien de l’infrastructure du
groupe APT
• Hackers
> pénétration, maintien des accès
• Chefs de projet
• Experts en menace informatique
(threat intelligence)
> Spécialiste de la réponse sur
incident
• Experts dans le domaine convoité
(competitive intelligence)
> Donnent une crédibilité et un
meilleur taux de réussite des
attaques ciblées par spear phishing
puisqu’il s’agit d’un professionnel
du secteur
8
10. boolaz.com
Les cibles
• Toute entité présentant des données sensibles ou stratégiques pour un
concurrent ou une entité tierce
• Peu importe la taille de la victime
> savoir faire technologique, secrets de fabrique
• Les cibles peuvent être diverses
> Individus
> Associations / fondations
> laboratoires de recherche
> entreprises privées
> Gouvernements 10
11. boolaz.com
Secteurs les plus touchés
• Services financiers
• Média et divertissement
• Industrie
• Aérospatiale et défense
11
12. boolaz.com
Actifs convoités et motivations
• inventions, travaux de R&D, projets sensibles
> concurrence, revente
• informations classifiées
> gouvernements
• Campagne de déstabilisation d’un concurrent
> manipulation cours de bourse, nuisance
• Toute donnée intéressante pour un tiers …
12
14. boolaz.com
Test d’intrusion traditionnel
• Reconnaissance
> informations publiques sur les IP,
recherches web, poubelles, social
engineering
• Découverte et énumération
> repérage sur le système, recherche
de ports ouverts, de vulnérabilités,
topologie du S.I., absence de
chiffrement de données qui
transitent, modèle des
équipements réseau
• Accès au système
> exploitation d’une ou plusieurs
vulnérabilités
• Maintien de l’accès
> implantation de rootkit, de
backdoors, désactivation de
certains logs
• Dissimulation des traces
> Effacement des traces, des logs,
des historiques
14
15. boolaz.com
L’A.P.T. est différente
• Exhaustivité
> Audit de sécurité & test d’intrusion : se doivent d’être exhaustifs en terme de
recherche de vulnérabilités
> APT : Une vulnérabilité suffit pour la compromission
> différence entre white/black hacking
• Spécialisation
> test d’intrusion : spécialistes auditant techniquement sur la forme le système
d’informations
> APT : Appui d’analystes en competitive intelligence (spécialistes du domaine,
travail sur le fond)
15
16. boolaz.com
Cycle d’une APT
1. Reconnaissance active
et passive
2. Compromission - point d’entrée
3. C&C
4. Renforcement des accès et
mouvement latéraux
5. Exfiltration de données
6. Persistance de la présence
16
17. boolaz.com
Phase de reconnaissance - 2 types
• Reconnaissance passive
> Noms de domaines (whois)
> Historique du site
> plages d’adresses IP
> Enregistrements DNS
> Adresses mail
> Réseaux sociaux (viadeo, linkedin)
> Google dorks
> Forums …
• Reconnaissance active
> Découverte des matériels utilisés
> découvertes de ports et services
> découverte de vulnérabilités
> Métadonnées extraites du site
> Fouille des poubelles de l’entité
17
I - Reconnaissance
18. boolaz.com
Compromission - point d’entrée
• Attaques à distance
> drive by download
> Phishing d’informations
d’authentification
> R.A.T. (cheval de troie)
> exploitation d’une vulnérabilité
> intrusion dans un serveur
> injection SQL
> mail piégé contenant un exploit
pour une faille identifiée
• Attaques locales ou visant l’humain
> social engineering / usurpation
> spear phishing
> réseaux sociaux
> accès physique
> clé USB, cartes mémoire
18
I - Reconnaissance II - Compromission
19. boolaz.com
Compromission - outils utilisés
• RAT
> Poison ivy
> PlugX/KorPlug
> njRAT/Bladabindi
> Rarement des exploits 0-day
• Méthode
> Vol de certificats signés
> injection de DLL appelés par des
binaires signés
• spear phishing avec pièce jointe
maquillée et piégée
> pdf
> document office
> archive
> fausse extension
19
I - Reconnaissance II - Compromission
20. boolaz.com
Commande & Contrôle
20
I - Reconnaissance II - Compromission III - C&C
• Communication dissimulée
> « covert channel »
> HTTPS (443 TCP)
> DNS (port 53 UDP/TCP)
> mais aussi tout simplement HTTP
> anti-IDS
• Permet aux attaquants d’exécuter à
distance des commandes sur les
machines compromises
• La communication s’appuie
généralement sur le système DNS
> domaine
> domaine dynamique
21. boolaz.com
Renforcement des accès et mouvements latéraux
• Elévation de privilèges
> exploits locaux
> mauvaises configuration
> rootkits et backdoors
• Découverte de nouveaux actifs
> sniffing du réseau local
> interception de mots de passe
> scan de machines et de ports
> position de MITM
• Mouvements latéraux
> exploitation par le réseau
> usurpation des identités des
utilisateurs des postes compromis
> partages réseau
21
I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux
22. boolaz.com
Exfiltration de données
• D’abord en interne
> informations captées acheminées
vers un serveur interne
> Utilisation de la compression
> découpage des informations
> puis chiffrement des données
> toujours pour tromper sondes de
détection et IDS
• Puis en externe
> Drop zone contrôlée par le groupe
à l’origine de l’APT
> transmission via un canal dissimulé
> le DNS peut être utilisé pour ça
22
I - Reconnaissance II - Compromission III - C&C IV - Mouvements latéraux V - Exfiltration de données
24. boolaz.com
Elderwood
• première opération d’ampleur
(2010), l’opération Aurora
• Cibles : Finances, technologies de
l’internet, nouvelles technologies,
média, chimie
• Une vingtaine de sociétés visées
ainsi que des hacktivistes
• Exploitation CVE-2010-0249 (non
patchée)
• Utilisation d’exploits 0-day (flash,
IE, XML core services)
• Utilisation de watering holes
• Suite à cette attaque Elderwood
s’est spécialisée sur les secteurs :
défense, transport, aéronautique,
armement, énergie, industrie,
ingénierie, électronique
24
25. boolaz.com
Stuxnet
• Ver informatique destiné à
compromettre les systèmes SCADA
• Utilisé dans le cadre d’une APT
• 1er ver à s’attaquer aux systèmes
ICS
• Introduction du ver par clé USB
• 4 failles 0-day
• utilisation de drivers signés
• Techniques d’attaque
> Rootkits (signés)
> Protocole d’échanges P2P
(dialogue avec les machines
infectées, et le C&C)
> Failles 0-days (vulnérabilités non-
patchées),
> Faiblesse des mots de passe
25
26. boolaz.com
APT1 (Comment crew)
• le plus gros groupe découvert à ce
jour
• 3ème département de l’état major
de l’armée chinoise, second bureau
du PLA (U61398)
• 100% entité gouvernementale
chinoise
• 141 attaques réussies (2006-2013)
• 913 serveurs de commande en 2
ans
• plusieurs centaines de noms de
domaines et les milliers de sous
domaines qui y sont rattachés
• utilisation du spear phishing
• pièces jointes au format ZIP
contenant des fichiers
PDF .exe
26
27. boolaz.com
APT1 (Comment crew)
• Recherchés par le FBI
> Wang Dong (ugly gorilla)
> Sun kai liang (Jack sun)
• Capitaine de l’armée
> Wen Xinyu (WinXYHappy)
> Huang Zhenyu (hzy_lhx)
> Gu Chunhui (KandyGoo)
27
29. boolaz.com
Relatives aux utilisateurs
• Sensibiliser les utilisateurs aux bonnes pratiques en matière de sécurité
informatique
> emploi de périphériques amovibles
> post-it
> remonter les problèmes aux services techniques
> ouverture de fichiers PDF ou autres pièces jointes
> techniques de social engineering et de spear phishing
> transfert de courrier électronique
> BYOD
> …
29
30. boolaz.com
Relatives aux politiques de sécurité
• Etablir des politiques de sécurité et les faire appliquer
> mots de passe
> chiffrement des données pour les employés itinérants (guide ANSSI)
> emploi de destructeurs de documents papier
> politique d’accès physique aux matériels (ménage)
> problématique du stockage dans les clouds publics
> Audit régulier des accès wifi « sauvages »
(rogue access point)
> liste bien entendue non exhaustive
30
31. boolaz.com
• Mises à jour des systèmes
> serveurs
• IIS, Apache …
> mais surtout stations de travail
• Internet Explorer
• Flash
• Java
• Acrobat reader
• antivirus
Mesures techniques
31
32. boolaz.com
Mesures techniques
• Réduction de l’exposition
> ports ouverts
> services utilisés
• Détection des anomalies
> HIDS, NIDS, IPS
> analyse et corrélation des logs
(syslog central, Siem)
> actions proactives et autonomes
du système d’informations
• Le DNS !!! ⚠
> utilisé pour joindre le C&C
> utilisé pour exfiltrer des données
• Faire auditer le système
d’information de façon périodique
> PCI-DSS : Penetration testing
should be performed at least
annually and anytime there is a
significant infrastructure or
application upgrade or modification
32
33. boolaz.com
Mesure curatives
• Remote Forensic
> analyse des postes à distance
> solution d’analyse forensic entreprise / cybersécurité
> Collecte d’éléments de preuve / identification des données compromises
> Chasse aux zombies
• Bloquages
> stopper les exfiltrations de données en contrôlant les flux
• Remédiation
> suppression des infections, réinstallation des postes compromis
33
34. boolaz.com
Pour aller plus loin
• Sécurité et espionnage
informatique
> cédric pernet aux éditions Eyrolles
• MISC n°79
> mai-juin 2015
34
35. Bruno VALENTIN
Encase Certified Examiner n°15-0914-6378
Certified Ethical Hacker n°ECC36443059336
bvalentin@uriel-expert.com
www.uriel-expert.com
Uriel Expert - Palais la scalla - 1 avenue Henri Dunant - 98000 Monaco
Merci de votre attention