palais des congrès Paris

7, 8 et 9 février 2012

8 février 2012Pascal SauliereArchitecte sécurité, CISSP, CCSKMicrosoft France

APT : Diminuer le risque grâce à un retour aux bases et aux bonnes pratiques

Avoir une idée des « APT »Redéfinir les prioritésRendre les attaques plus difficilesDiminuer les risques

Objectifs de la session

Advanced Persistent Threat (APT)It's taken me a few years, but I've come around to this buzzword. It highlights an important characteristic of a particular sort of Internet attacker.

A conventional hacker or criminal isn't interested in any particular target. He wants a thousand credit card numbers for fraud, or to break into an account and turn it into a zombie, or whatever. Security against this sort of attacker is relative; as long as you're more secure than almost everyone else, the attackers will go after other people, not you. An APT is different; it's an attacker who -- for whatever reason -- wants to attack you. Against this sort of attacker, the absolute level of your security is what's important. It doesn't matter how secure you are compared to your peers; all that matters is whether you're secure enough to keep him out.

APT attackers are more highly motivated. They're likely to be better skilled, better funded, and more patient. They're likely to try several different avenues of attack. And they're much more likely to succeed.

This is why APT is a useful buzzword.

Bruce Schneier, Nov. 2011http://www.schneier.com/crypto-gram-1111.html

2010-2011 : attaques ciblées contre clients sensibles, y compris en Europe et en FranceEnjeux économiques, stratégiques, nationauxImpact très important pour les clients affectésFuites de données hautement confidentiellesDes mois et des dizaines de personnes pour retrouver la maîtrise de son SI

Actualité

Exemple

Sophistication organisationnelle plus que techniqueÉquipes professionnelles travaillant aux heures de bureau du pays source (ou relai) de l’attaqueOpérations spécifiques et cibléesUtilisation d’un large spectre d’attaquesIntention de s’installer pour perdurerRéponse adaptative, pas d’abandonCiblage de la propriété intellectuelle

APT : Advanced (?) Persistent Threat

Étapes

Accès Intrusion initiale dans le réseau

Escalade Accumulation de privilèges

ExtensionCompromission d’environnements additionnels

PersistanceCréation d’une présence permanente sur le réseau

1.L’attaquant envoie un email de “phishing” à la cible

2.La cible ouvre le mail, la machine est compromise

3.L’attaquant moissonne les credentials sur la machine

4.L’attaquant utilise les credentials pour compromettre plus de machines

5.L’attaquant récupère les credentials d’admininistrateur de serveurs

6.L’attaquant récupère les credentials d’administrateur de domaine

7. L’attaquant prend le contrôle du domaine.

Game Over

1. Exploitation vulnerabilité

2. Installation malware3. Mot de passe admin

AD

RDP vers systèmes internesInstallation de malwareExécution de commandes à distance

Systèmes connectés en VPN

DMZ

Intranet

Autre méthode rencontrée

Windows Credentials Editor (WCE)Évolution de Pass-the-Hash.Les hashes sont aussi efficaces que le mot de passeDans un contexte administrateur local, WCE récolte les hashes des utilisateurs / services authentifiés localement

Dont en particulier les comptes admins du domaine

Note – l’accès à un partage réseau n’expose pas les hashes sur le serveur de fichiers

Exemple : WCE

DEMO

D’administrateur local à administrateur du domaine en 5 minutes

Ce n’est pas une vulnérabilitéAdministrateur LocalSystemAccès à tous les secrets du système localInclut les sessions locales

Le cache de logon (cached credentials) ne contient pas les hashes des mots de passeLes smartcards obligatoires n’empêchent rienLe hash est dans la sessionNe restreint que le logon local

Précisions

Mauvaises pratiquesSystèmes et applications pas à jourWindows XP non patchéAdobe Reader non patché, etc.Une simple pièce jointe suffit

Mauvaise utilisation des comptes privilégiésL’utilisateur est admin local (sinon, élévation de privilège non patchée…)Admin du domaine sur une machine compromise

Pourquoi cette attaque marche

Active DirectoryServeurs de fichiersServeurs ExchangeServeurs SharepointServeurs SQLDonnées métier au sens large

Cibles

Attaques pas très sophistiquéesUtilisent des méthodes connuesCopie des POC d’exploits postés en ligneProfitent de failles dans des principes de base de la sécuritéVersions, configurations, architecture, administrateursHabitudes : réutilisation de mots de passe

RentablesIl faut compliquer la tâche des attaquants de façon à augmenter le coût des intrusions

La tâche des attaquants est trop simple

Les fondamentaux

Versions, mises à jour

Architecture Active Directory

Gestion de configuration

Partitionnement des credentials

Supervision sécurité

Les bases à traiter avant toute chose

ConformitéCe que vous devez faire

GouvernanceCe que vous devriez faire

Gestion des risquesCe que vous choisissez de faire

GRC

Inventaire à jour ?Classification des donnéesIdentifier les « joyaux de la couronne » à protéger en priorité

Avant tout, connaître son parc

#1 – versions et mises à jour

Windows et IE

Fonctionnalités de sécurité

Office Protected View

Managed Service Accounts

Active Directory Federation Services

AppLocker

Read-Only Domain

ControllerRestricted Groups

BitLockerActive Directory

Rights Mgt Services

App-V

Office File Validation

DNS Sec SmartScreen

Quasiment aucun 0day dans les attaquesToujours des vulnérabilités anciennes, voire très anciennesMises à jour disponibles

Vulnérabilités applicativesFichiers PDFFlashOffice (vulnérabilités de 2006-2009 non patchées…)

Mises à jour

http://www.microsoft.com/securityupdateguide

Exploits contre CVE-2011-0611

1310 16 19 22 25 28 1 4 7 10 13 16 19 22 25 28 31 3 6 9 12 15 18 21 24 27 30 3 6 9 12 15 18 21 24 27 30April May June July

0

5,000

10,000

15,000

20,000

25,000

30,000

35,000

40,000

45,000Zero-day

April 11 – Adobe Advisory APSA11-02; MMPC re-ceives its first public sample

April 12 – MMPC signature released

April 15 – Flash Player update

April 21 – Adobe Reader/Acrobat up-dates

1 month after update

2+ months after update

April 8 – First reportsof public exploitation

ArchitectureForêts avec des trusts filtrés

Peu d’administrateurs, délégation, groupes restreints

RODC pour les sites exposés

StratégiesGPO alignés sur les politiques de sécurité

Désactiver LanMan et autres protocoles faibles

Restreindre l’utilisation des comptes privilégiés

#2 – architecture ADReflète souvent les choix faits lors de la migration de NT4 à Windows 2000

#3 – gestion de configuration

Start Secure

• Managed desktop, server images

• Least privilege• Asset inventory

Stay Secure

• Desired Configuration Manager

• Change control processes

Confirm You’re Secure• Continually

compare actual to expected

Principe de moindre privilège ignoréAD « facilitateur d’administration »

« Si ça ne marche pas, j’utilise un compte admin »Administration quotidienne, helpdeskComptes de services, tâches planifiées

« Si je change les mots de passe, plus rien ne marche »Comptes de services, tâches planifiées

« Je ne vais pas changer de compte juste pour aller sur Facebook »

#4 – administrateurs

Élément RésultatTrop d’administrateurs 75%Admins avec “Mot de passe n’expire jamais"

91%

LAN Manager Hash présent 75%Stratégies de groupe non utilisées pour appliquer la sécurité

61%

Pas de plan de reprise sur incident documenté

50%

Sauvegardes non sécurisées 53%

Concrètement

Compilation de 8000 ADRAP

AD est au cœur de la sécurité du SIDomain Admins = TOUS les droits sur TOUTTrès peu de tâches nécessitent un compte administrateur

Utiliser la délégationMalheureusement sous-utilisée

Protéger les adminsPas uniquement Domain Admins« Comptes privilégiés »

Administrateurs

Administrateurs du domainelogon sur un DC uniquementou sur une station dédiée, « sécurisée »outils d’administration à distanceou forêt séparée (voir offre MCS)

Protection des admins du domaine

“A less sensitive system may depend on a more sensitive system for its security...A more sensitive system must never depend on a less sensitive system for its security”

Windows Server 2008 Security Resource Kit,

“Securing the Network”

Mots de passe de ces comptesrègle de complexité : c’est un minimumles administrateurs doivent s’astreindre à plus de complexité

Comptes de serviceau plus, admin d’une machine et d’une seuleidem pour les tâches planifiées

Comptes privilégiés

Membre d'un groupe "à pouvoir" du domaine (domain admins, etc.)Compte qui a des privilèges Windows donnés par GPO pour certains membresMembre d'un groupe local admin sur un membre (SAM)Compte Trusted for delegationCompte pour lequel il existe des ACL explicites sur des objets de l'AD

Comptes privilégiés

Victime typiquedes IDSdes anti-malwareun gestionnaire d’événements de sécurité corrélant des gigaoctets de données chaque jourrépond à des centaines d’alertes chaque jour

Mais…ils ont été compromisils l’ont appris par d’autre moyens

#5 – supervision

Commencer par surveiller uniquement les systèmes les plus importantsCollecter uniquement les données nécessairesAnalyser en priorité les tendances, puis le contenu si nécessairePrévoir la diversité assez tôt, éviter la complexité et les volumes importants

Supervision sécurité

CollecterCollecter les données pour analyse ultérieure

CompterÉtats binairesComportements anormaux (systèmes silencieux…)

ComparerTendances dans une populationDifférences avec un groupe homogène

AnalyserAnalyse détaillée du contenu

Actions possibles

Type de données

Informations Utilisation

Réseau

Données des proxies

Connexion vers des IP externes

Comparer : transfertsAnalyser : comms avec des IP malveillantes connues

Données de Netflow

Connexions à l’intérieur du réseau

Collecter : uniquement sur les routeurs clés, garder pour IR

Données AV Santé des systèmes

Comparer : volumes de connexion et d’infection

Données WER Santé des systèmes

Comparer : nombre de systèmes qui crashent, distribution des applications

Contrôleurs

de domaine

Événements d’audit

Activité des systèmes

Compter : DC inactifsComparer : volume d’évts par DC

Événements de cycle de vie des comptes

Nouveaux comptes, appartenance aux groupes

Compter : alertes sur tout événement impliquant des administrateurs

Événements d’audit des tickets Kerberos

Accès aux ressources

Comparer : utilisation des ressources par administrateur

Données essentielles

Compléments

ClassificationIsolation de domaine IPsecDLP / RMSEFS, BitLocker

Protection des données

AutorunClés USB (cf. Stuxnet)Mais aussi partages réseau (cf. Conficker)

BitLockerVol de portables

Postes de travail

Chez un client : 8000 règles de firewallChez un autre : 20 firewalls à traverser entre deux sitesSans compter les VLAN

Le réseau ne peut pas être à 100% « propre »

ConsumérisationProtéger données et services sensiblesSolutions simples

Isolation de domaine IPsecDétection des devices

Réseau

Un antivirus protège des malwares qu’il connaît (La Palice)Ne protège pas d’un administrateurHow to bypass an antivirus :http://resources.infosecinstitute.com/how-to-bypass-an-antivirus

Un antivirus sur un système non patché ne sert à rien

Antivirus / antimalware

1. Versions et mises à jour2. Architecture Active Directory3. Gestion de configuration4. Partitionnement des credentials (protection des

administrateurs)5. Supervision

Résumé des bases

Les bases d’abord

firewalls

IDS, IPS

Antivirus multifonctions

SupervisionCorrélation

XP SP2, IE 6Office 2000

Adobe Reader, FlashAdministrateurs

Autorun

Consen

Rendre la tâche des attaquants un peu plus difficileRégler les bases en prioritéGRC (gouvernance, risques, conformité) pour définir les prioritésSolutions simples et éprouvées

Pour conclure

palais des congrès Paris

7, 8 et 9 février 2012