Résumé de la réunion du groupe Paris de l’OSSIR du 9 octobre 2012

Résumé de la réunion du groupe Paris de l’OSSIR du 9 octobre 2012

Comme chaque mois, la réunion du groupe de travail parisien a donné lieu à la présentation de deux sujets, puis à la revue d’actualité du mois.

Protection contre les Attaques de Nouvelle Génération (Denis Gadonnet & Yogi Chandiramani / FireEye)

La réunion a débuté par une présentation de la société FireEye et de ses produits. Cette société, fondée en 2004, est spécialisée dans la conception de systèmes permettant de détecter les attaques de nouvelle génération, ainsi que la mise en place de parades. On parle ici clairement des APT (Advance Persistant Threats), même si ce terme à la mode n’existait pas encore lors de la création de la société.

Après un rapide passage en revue des origines de la société, de ses investisseurs, et des ses clients, Yogi Chandiramani, le directeur technique Europe est entré dans le vif du sujet : les différents produits et leurs usages dans le contexte de l’entreprise. Yogi a également précisé qu’il s’agissait d’un produit Américain SANS backdoor et qui ne communique pas avec la NSA/CIA…

Les produits de FireEye sont ainsi en mesure d’identifier des attaques multi-vecteurs, l’exploitation de faille de type « 0day », de bloquer les communications avec le serveur de commande et de contrôle des pirates, et enfin de maintenir un taux de détection de faux positif et de faux négatif très faible, pour ne pas nuire à l’activité de l’entreprise et ne pas laisser de côté un code malveillant.

La gamme de produits de FireEye se décompose en plusieurs appliance, installables chacune à un endroit bien identifié dans le SI :

  • Web Security MPS (Malware Protection System), en charge de l’analyse et du traitement des communications (HTTP, FTP, SMTP, IRC, …) entrantes et sortantes ;
  • Email Security MPS, en charge de l’analyse et du traitement des mails entrants (liens et pièces jointes) ;
  • File Security MPS, en charge de l’analyse et du traitement des fichiers (images, PDF, Flash, Office, archives, …) manipulés par les utilisateurs depuis les partages réseau (CIFS/SMB) ;
  • MAS Security MPS, en charge de l’analyse « forensics » et du traitement a posteriori d’un fichier suspect ;
  • et enfin du Central Management System (CMS), en charge de la coordination entre les différents produits, et de la mise en place des mesures de protection (blocage des communications avec le C&C, …).

Chacune de ces applicances est placée à un endroit stratégique du réseau. Le Web MPS peut ainsi être placée en mode « recopie du trafic Web entrant et sortant » afin de ne pas impacter la navigation des collaborateurs. Les File MPS et Email MPS peuvent, quant à eux, être placés en mode actif ou passif en fonction de leur rôle. Il est en effet possible d’utiliser ces appliances en mode Quarantaine afin de protéger les internautes contre l’exploitation d’une faille critique, ou encore de simplement détecter a posteriori la tentative d’exploitation pour bloquer les canaux de communications établis par le pirate.

Yogi Chandiramani a ensuite présenté la solution technique choisie par FireEye pour identifier les 0days. Cette dernière repose sur 3 phases distinctes :

  • une première phase de capture, permettant d’identifier les éléments à inspecter en détail (Flash, Java, liens, pièces jointes, fichiers, …), ainsi que la réalisation d’une analyse statique de ces fichiers (calcul d’empreinte MD5 & C°, utilisation de packeur, entropie, … ) ;
  • une seconde phase durant laquelle ces éléments suspects sont testés massivement sur différentes configurations ciblées par le « Virtual Execution (VX) engine » (jusqu’à 96 VM lancées en parallèles selon le directeur technique !) ;
  • et enfin, une phase au cours de laquelle sont patargées les informations obtenues avec les différentes appliances afin de choisir les bonnes contre-mesures et de les mettre en oeuvre (blocage des communications avec le serveur de C&C, mise en quarantaine d’un fichier ou d’un courriel, …).

Chacune des appliances FireEye, hormis bien sûr le chef d’orchestre qu’est le CMS, tire parti d’une technologie FireEye baptisée « Virtual Execution (VX) engine » chargée d’analyser le comportement d’un élément suspect. Pour cela, ce dernier est en mesure de lancer en parallèle un très grand nombre de systèmes virtualisés afin d’étudier le comportement de l’élément dans différentes situations. En effet, chacun des systèmes lancés correspond à une configuration différente : version du système d’exploitation, des Service Pack, des correctifs de sécurité installé, des outils (Office, Adobe Reader, Adobe Flash, Real Player, …) et de leurs mises à jour. Il est bien entendu possible de personnaliser le master, d’y appliquer certaines GPO spécifiques afin d’appliquer la même politique de sécurité que celle de l’entreprise, … Enfin, ces machines virtuelles sont spécialement constituées pour ressembler dans les moindres détails à un véritable système. Des fichiers utilisateurs sont ainsi disséminés sur le système, différentes techniques sont utilisées pour masquer les traces résiduelles permettant aux malwares d’identifier la couche de virtualisation (noms des périphériques, gestions des timers, …). Enfin, la solution mise en place par FireEye permet de contourner certains problèmes liés à l’étude et à la simulation d’attaques : certaines requêtes ne peuvent pas être réellement effectuées, sous peine d’être identifiées par le pirate, ou alors, certaines URL ne peuvent être appelées qu’une seule fois pour récupérer un composant additionnel téléchargé par le malware. Pour parer à ces problématiques, la solution retenue a été la mise en place d’un HoneyNet virtualisé permettant de délivrer des composants typiquement télécharger par les malwares lors du processus de compromission d’un système. L’utilisation de ce composant permet alors au système de procéder à l’étude du malware d’un environnement totalement hermétique. Enfin, plusieurs autres solutions techniques sont utilisées pour garantir la bonne exécution du malware, par exemple le bruteforce de mot de passe.

Grâce à cette étape de test en environnement varié, les appliances sont en mesure d’établir un profil d’exécution de chacun des composants testés, et ainsi d’en déduire un profil d’attaque. C’est à partir de ces informations que la solution est alors en mesure de proposer des solutions techniques afin de limiter les dommages lorsqu’une attaque est détectée.

Enfin, un analyste est en mesure de visionner l’exécution du malware dans le système virtualisé. En effet, une vidéo peut être enregistrée durant le test pour cela.

Les deux représentants ont terminé leur présentation en répondant aux nombreuses questions de l’audience. Ainsi une des prochaines évolutions envisageables par la société pourrait être le support de la virtualisation des smartphones afin de tester les attaques dans ce nouveau type d’environnement. Les représentants ont aussi reconnu un des points faibles de leur solution : le support uniquement des versions US des systèmes d’exploitation. Ainsi les malwares conçus spécifiquement pour s’attaquer à un système roumain ne pourraient jamais être clairement analysés et disséqués par les appliances FireEye. Cependant, la société prévoit d’ouvrir sous peu plusieurs centres de recherche en Europe et en Asie. Ce type d’évolution pourrait donc faire partie des prochaines nouveautés de l’offre…

SLIDES

Traçabilité des administrateurs internes et externes : une garantie pour la conformité (Marc Balasko / Wallix)

Marc Balasko de la société Wallix est ensuite venu présenter la solution AdminBastion. Cette solution a pour vocation de simplifier la gestion de la traçabilité des actions réalisées par les administrateurs internes et externes. En effet, de plus en plus de standard, de norme ou de réglementations (type PCI DSS ou Arjel par example) imposent aux sociétés d’être en mesure d’assurer une traçabilité des actions des administrateurs, et de garantir leur imputabilité, chose qu’il est assez difficile de faire lorsque l’on sait qu’en entreprise, il est bien plus simple d’utiliser des comptes génériques partagés par tous les administrateurs.

La présentation a ensuite été raccourcie pour passer directement à une démonstration de la solution. AdminBastion est placé en coupure entre les administrateurs, et le parc de serveurs à administrer. Pour se connecter à un serveur, l’administrateur doit en premier lieu se connecter sur une interface lui proposant, en fonction de ses privilèges, de rebondir directement sur l’un des serveurs sur lequel il est amené à travailler. Pour cela, il n’a besoin de connaitre que son compte personnel lui permettant de se connecter sur la passerelle, et non des comptes génériques qu’il utilisait auparavant pour se connecter sur ces mêmes serveurs.

Le responsable de l’AdminBastion est en mesure d’administrer la solution et de gérer les autorisations de connexion de chacun des administrateurs sur chacun des serveurs, de gérer la politique de mot de passe, de voir les traces de connexion et d’actions enregistrer, voire de déconnecter un administrateur si ce dernier semble faire quelque chose d’anormal.

Outre les traces de connexion, il est donc aussi possible de voir chacune des commandes entrées, voire de visionner un enregistrement vidéo des actions effectuées.

La solution gère actuellement plusieurs protocoles d’administration classiques tels que RDP, VNC, SSH, Telnet pour accéder aux serveurs, mais les administrateurs sont obligés d’accéder au Bastion via l’utilisation d’un protocole sécurisé type SSH ou RDP via un tunnel VPN pour plus de protection.

SLIDES

Revue d’actualité (Nicolas Ruff)

Enfin, la réunion s’est terminée par la revue de l’actualité du mois écoulé par Nicolas Ruff, aussi bien en matière de publication de correctifs et de découvertes de failles de sécurité, qu’en matière d’informations.

Voici un extrait des informations les plus marquantes :

  • Advisory Microsoft Q2661254 : retrait de clés RSA dont la taille est inférieure à 1024 bits
  • Message Analyzer, le successeur de Network Monitor a été publiée, celle-ci supporte tous les protocoles MS
  • La NSA passe au BYOD
  • En 2011, Apple & Google ont dépensé plus en juridique qu’en R&D
  • d’après les crédits attribués par Microsoft dans son bulletin MS12-063, le 0day IE aurait été rapporté par un chercheur anonyme via ZDI. Les signatures vendues par HP auraient donc telles pu être utilisées par un pirate afin de retrouver la faille, et ainsi l’exploiter sur Internet ?
  • IE 10 est livré avec une version vulnérable de Flash
  • Tous les employés Microsoft recevront une tablette Surface, un Windows Phone et un PC Windows 8
  • Windows 8 ne serait pas fini
  • L’Iran prépare son propre Internet
  • HTTP/2.0 sur les rails
  • PlaceRaider, ou comment explorer l’environnement physique d’une victime depuis un smartphone piraté
  • Le lecteur d’empreinte AuthenTec UPEK stocke les mots de passe en clair
  • Des « pirates » ont eu accès au HSM de signature Adobe depuis le 10 juillet dernier et ont signé plus de 5000 malwares (dont PWDUMP 7.1)
  • Un Windows connecté à Internet avec RDP ouvert sur les bornes de commande Subway – Résultat : 10m$ de fraude à la CB par 2 Roumains
  • « Zeus in the Mobile » (Android & BlackBerry)
  • BlackHole Exploiter Kit 2.0 – Faille(s) Java, URL à usage unique, sélection du navigateur, filtrage des clients Tor …
  • La Chine va renforcer sa coopération internationale en matière de cybersécurité

SLIDES

Concernant l’actualité de l’association, l’OSSIR organise un afterwork pour ses membres le mardi 23 octobre prochain.

Les JSSI se dérouleront le mardi 19 mars 2013 à la Maison des Associations. Enfin, rendez-vous le 13 novembre prochain pour la prochaine réunion du groupe Paris de l’OSSIR.


Cert-XMCO