Hackfest2010 Tm Dg Fr

Copyright 2010 Trend Micro Inc.

Comment détecter des virus inconnus en utilisant des « Honeypots » et d’autres technologies.

Tom Bennett et David Girard

Québec, 5-6 novembre 2010

Agenda

• Présentation de David Girard– Le code malicieux plus nombreux et plus furtif que jamais– Les moyens de détection

• Honeypots, analyse de trafic, analyse statistique…

– Les type de honeypots– Mon honeynet et ceux de Trend Micro

WEB

EMAIL


• Présentation de James Bennett– Les engins de détections– Les types de signatures pour des cas réels

• Stuxnet…..

• Démonstration

• Questions

FILE

Évolution de la menace• Augmentation exponentielle du malware

– Un nouvelle variante de code malicieux toutes les 1.5 secondes

• Le code malicieux est plus furtifs– Le chiffrement et la compression sont utilisés comme moyen de

polymorphisme pour devenir des FUD (file fully undetectable). – Les pirates utilisent des services FUD d’aide à l’évasion comme

les crypters ex: PXCrypter

26,598


• Les vulnérabilités sont exploitées plus rapidement– 74% des attaques sortent le même jour que les correctifs– Plusieurs attaques sortent avant les correctifs de sécurité– Il y a donc plus de 0 day que jamais

57 205 7991,484

2,3973,881

6,279

10,160

16,438

2007 2009 2011 2013 2015

Exemplaires uniques PAR HEURE

Exemple de crypteur qui apporte la furtivité au malware.

75$ pour le premier exemplaire et 25$ pour les exemplaires subséquents

Dogma Millions, Earning4u et pay-per-install.org sont des s ites PPI

To FUD or not to FUD?


per-install.org sont des s ites PPI qui débouchent sur des crypteurset des testeurs à la VirusTotal mais ceux-ci sont totalement Black Hat

Tous utilisent aussi des Black HatSEO (Search Engine Optimization) pour optenir plus de click et de drive by dowload infection

Classification 11/8/2010 4

Les moyens de détections des nouvelles variantes

• Les Honeypots et Honeynets: Spam trap, et malware collectors. Coûteux. Doivent être nombreux et diversifiés.

• IDS (Network et Host) : Menaces en périphérie, DDOS, violation de protocoles et limitation de l’utilisation de signatures. Peu de détections car ne distingue pas bien entre une infection et un scan. Beaucoup de faux positifs.


entre une infection et un scan. Beaucoup de faux positifs.

• SIEMS : Analyse transversale des évènements, dépend de la qualité des données sous-jacentes. Ils ne s’adaptent pas bien à la diversité des botnets sur le terrain. Lourdes tâches d’administration. Coûteux. Très coûteux.


Les moyens de détections des nouvelles variantes (suite)

• NBA (Network Base Analysis) : Alerte sur les comportements anormaux. Beaucoup de fausse alertes. Doit avoir un baseline fiable pour détecter une anomalie significative. Détecte beaucoup d’autres situations qui ne sont pas reliées aux botnets. Exemple: Projet Ourmon.


• Autres technologies : Multi-senseurs (ex: Bot Hunter, Trend Micro TDA). – Ceux-ci sont plus fiables car ils se bases sur plusieurs types

d’analyse ou engin et font une corrélation des résultats. – Ils se basent aussi sur des preuves typiquement reliées au

malware (scan de cibles, détection d’exploit, téléchargement de binaires et exécution, connexion à des C&C,scans sortants, campagnes de spam….)


Les types de Honeypots*Seulement ceux reliés à la détection de code malicieux. Pas confondre avec Sandbox.

Principalement il y a les Low Interaction Honeypots et les High Interaction Honeypots.

Les honeypots sont soit pour la recherche ou pour la production.

Il y a plusieurs sous types (dépend de la mission):


• Spam trap

• Crawlers

• Les hybridesHoneynets : 2 honeypots ou plus. Vous avez besoin de plusieurs V car un

attaquant va trouver ça louche de n’avoir qu’une cible. Aussi, il est important de détecter le V2V pas juste le V2C.

Pour plus de détails et une bonne liste de projets: www.honeynet.org


Processus de collection du code malicieux Passif (on attend d’être ciblé) ou Actif:

1. On va à la pêche au spam

2. On extrait les URL

3. On crawl sur les sites et on tente de se faire infecter ou de télécharger les fichiers malicieux que l’on trouve (Exe, pdf, swf…)


(Exe, pdf, swf…)

4. On capture le chargement (low) ou on analyse les changements (high) et les accès réseaux. (Analyse des chargements avec YARA, PEiD,PDFiD, swftool, etc)

5. On envoit une copie du chargement à plusieurs engins antiviraux pour identification

6. On envoi une copie à plusieurs Sandbox pour analyse

7. Analyse des multiples résultatsClassification 11/8/2010 8

Mon Honeynet personnel1. Lien sans filtrage de

ports2. Plus d’une IP fixe3. Un Firewall pour créer

une DMZ4. Une switche gérée

avec un port mirroir5. Un Hyperviseur pour

héberger les VM (3+)6. Une station de gestion

Copyright 2010 Trend Micro Inc.Classification 11/8/2010 9

6. Une station de gestion et de monitoring isolé par le firewall

7. Un nom de domaine et des entrées DNS (MX) pour le spam

*Lien ADSL d’affaire illimité avec 6 IP fixes, un firewall et une switche gérée. Deux ordinateurs Dual et Quad core avec 4 et 8 GB de ram et 1 TB de disque SATA. Deux NIC par PC. Les sondes sur la station de gestion sont Bot Hunter, Trend Micro TDA et Wireshark.

Je combine des low et High interaction Honey Pots. J’ai aussi une VM de logging(syslog + OSSEC ou DeepSecurity)

Liste d’outils à avoir pour analyser nos examplaires de code malicieux • Tous les outils précédemment nommés: YARA, PEiD,PDFiD, swftool,

etc.

• OfficeMalScanner

• Des debuggers : Ollydbg, IDA Pro, Windows Dbg

• Proxy : Burp Suite (car certains utilisent Https)

• Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script


• Decompilateurs (PE ,Javascript, PDF, SWF…) :Action Script swfdump, Nemo 440, Action Script viewer, PDF Dissector, PDF Miner, Pdf-parser.py, Jsunpack, spidermonkey

• Tutoriels: The Analyzing Flash Malware Video

• Livres: Virtual Honeypots et Malware Analyst’s Cookbook and DVD + ma bibliographie de mes livres favoris sur mon profil Linkedin

• Deux environnements d’analyse: Ubuntu et Windows

Et pleins d’autres que je n’ai pas eu le temps de compiler!


Les Spam trap

• C’est le premier type qu’il faut avoir dans son Honeynetcar c’est le début de la chaine alimentaire.

• Il faut avoir des boites aux lettres qui n’ont aucunes utilités et en extraire des informations comme des hyperliens, adresses IP sources, nom de domaine sources ou dans les URL.


sources ou dans les URL.

• Donc il faut un nom de domaine + des MX ou plein d’adresses de webmails!

• On s’en sert pour créer une liste de réputation de courriels et pour alimenter nos Crawlers.


Crawlers ou Honey client

• Fureteur automatisé:– Doit simuler plusieurs fureteurs à différent niveau de patches et

naviguer vers les hyperliens récoltés.– Il faut soit trouver le malware ou se faire infecter par un exploit. Vive

le drive by download (90% et plus des menaces viennent du Web alors).

– Plus dur d’attrapper des Stuxnet qui passait par périphériques


– Plus dur d’attrapper des Stuxnet qui passait par périphériques USB.


Low interaction Honeypots

• Simule soit un OS, des services, des protocoles et des vulnérabilités ou une combinaison. Ce type de pot* est surtout pour le malware collection ou la détection selon le niveau de simulation.

• Ex :Dionaea (successeur de Nepenthes), HoneyD, HoneyC, HoneyPorts(W) et autres. Je préfère Dionaea mais vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est


vous pouvez toujours utiliser Nepenthes pour débuter car Dionaea est long à installer avec pas mal de dépendances.

Dionaea s’intègre avec p0f, sql3lite et gnuplot. Parfait pour se faire une idée de l’attaquant et avoir un beau graphique de nos infections

Avec les malwares collectors, il est impératif de se faire des scripts de soumission à ClamAV, Virus Total ou à des analyseurs de comportement tel ThreatExpert, Joebox, Anubis . Il y a plusieurs scripts sur le net. Il faut les modifier pour les adapter. Prenez des backup de vos logs (samples et md5 des samples) car un honeypot peut mourir jeune (surtout les High).


Low interaction Honeypots en 15 minutes

• Le plus simple des low interaction honeypot :– Linux (Ubuntu ou CentOS de préférence) dans un réseau

Windows et d’écouter sur le port 139 ,445 et autres avec netcat. – Gardez un log (pcap) avec Wireshark pour les preuves ou

l’analyse. – Truc: assigner plusieurs IP à votre linux dans plusieurs segments

pour détecter plus vite. Voir Honeywall project.


• Aussi, avec Wireshark, utilisez un display filter avec ceci :dns.count.answers >= 5 ou ils ont un TTL = 0

Ceci vous retournera ceux qui utilisent des fast flux DNS.


High Interaction Honeypots

• OS et applications au complet. Ils peuvent être accédés et exploités. Ils sont plus utilisés pour détecter les attaquants ou les techniques utilisées que pour détecter du malware. Il s’agit de VM ou de postes que l’ont peut réinitialiser rapidement. On doit les équiper de moyens de détection comme vérificateur d’intégrité du système : fichiers, clés de registres, processus, services et ports ouverts. Doit rester furtif pour ne pas être détecté par le code malicieux qui ne se laissera pas étudier.


étudier.

• Pour le malware je vois 3 niveaux de patches pour détecter différents malwares1. Sans patches : Pour tout attraper, même les très vieux

malwares . Pas trop utile en recherche mais bon au travail.2. Presque toutes patches : pour détecter les dernières menaces.

Bon au travail et en recherche.3. 100% patché : pour découvrir les 0 day. Bon en recherche.


• Pour créer un Hight interaction honeypot on doit avoir une copie des OS ciblés (principalement XP, Vista, 7, 2003, 2008).

• On doit choisir des senseurs furtifs qui ne sont pas bloqués par les virus. Il faut pas mettre les outils d’analyses trop connus ou des outils de reverse

High Interaction Honeypots (suite)


d’analyses trop connus ou des outils de reverse engineering (debugger) dans cette VM car cela amoindrie les chances d’exécution. L’hyperviseur aussi doit être bien choisi. J’utilise Xen ou Parallels.

• Il faut trouver les changements aux fichiers, les clés de registres, les processus, les services et les ports. Il faut attraper les requêtes DNS et journaliser les accès externes.


• Comme détecteurs d’intégrité et inspection des logs, j’utilise OSSEC ou Deep Security de Trend Micro. Il y a les outils de iDefense qui sont bien mais ils datent. Quant aux outils de sysinternals, ils sont souvent repérés par les virus qui soient les désactivent ou ne s’activent pas. Pas bon dans les deux cas. Il y a Sebek aussi. Try RUBotted 2.0

High Interaction Honeypots (suite)


• Pour les requêtes DNS, j’utilise un filtre Wireshark sur une machine connecté sur un port miroir et j’utilise un dnslogger (BFK). Vous pouvez aussi utiliser un passive DNS.

• Passive DNS : www.enyo.de/fw/software/dnslogger: www.bfk.de/bfk_dnslogger_en.html

Note: Pour les PDF et Flash essayer PDFiD et swftool


Les hybrides

• Honeybot & Multipot : se considère un medium interaction honeypot car il simule des services et vulnérabilités comme un « Low » mais est installé sur une vrai machine qui peut-être compromise. Parfait pour détecter des machines compromises dans le réseau interne (à condition d’être ciblé).


• Dans cette catégorie, il y a une panoplie de petits outils commerciaux pas très coûteux mais qui ne sont pas très efficaces

• Threat Discovery Appliance ou TDA( abordé par James Bennett)


Les multi-senseurs

• Bot Hunter (freeware)– Deux senseurs + Corrélation– Analyse comportementale

réseau de bots– 5 événements ou dialogues

entre l’attaquant , le contrôleur et les victimes

– Nécessite un port miroir à la


– Nécessite un port miroir à la sortie Internet pour vérifier le trafic qui entre mais aussi qui sort.

– Bot Hunter est une coquille Java par-dessus Snort et deux modules : SCADE Port scanning analysis et SLADE Incomming payloadanalysis (comme PE Hunter)


Les règles snort de Bot Hunter sontIntéressantes. On y trouve une liste d’IP de C&C et de domaines.

Les règles se mettent à jour quotidiennement. Le projet est malheureusement sur la fin. Bladele remplacera.

Les multi-senseurs (suite)

Bot Hunter a pour modèle : Infection = {A,V, C,V0, E, Ḋ }, ou:1. A L’attaquant

2. V La victime

3. C C&C Server – Serveur de commandement et de contrôle

4. V0 La prochaine cible de la victime


5. E Téléchargement d’un oeuf ou binaire ou Egg Download

6. Ḋ Séquence d’événements (dialog) de l’infection• E1 External to Internal Inbound Scan• E2 External to Internal Inbound Exploit• E3 Internal to External Binary Acquisition• E4 Internal to External C&C Communication• E5 Internal to External Outbound Infection Scanning

Source : SRI International


Comment Trend Micro fait?

• Le plus vaste réseau de sondes (dont des honeypots) parmi les vendeurs de sécurité (selon Gartner).

• Nous collectons des polluriels (spam trap), des hyperliens, des noms de domaines, des adresses IP et des fichiers infectés (via crawlers et attachement). Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau


Nous analysons le comportement des sites et fichiers puis nous corrélons le tout. Nous appelons ce réseau SPN ou Smart Protection Network.

• À plus petite échelle nous avons une sonde déployableen entreprise qui utilise cinq types de détection plus une corrélation. Présentation de Tom.


Un site web Un site web compromiscompromisFausses nouvelles par courriel

Un faux video

Un réseau de sondes et de la corrélation

RÉPUTATIONCOURRIELS

RÉPUTATIONWEB

RÉPUTATIONFICHIERS


Un faux video

Corrélation

Présentation de Tom Bennett

Copyright 2010 Trend Micro Inc.Classification 11/8/2010 23


Questions?Questions?

Documents

Hackfest2010 Tm Dg Fr