La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Botnet, défense en profondeur Un exemple concret Jean Gautier

Présentations similaires


Présentation au sujet: "Botnet, défense en profondeur Un exemple concret Jean Gautier"— Transcription de la présentation:

1 Botnet, défense en profondeur Un exemple concret Jean Gautier

2 Agenda Rappels sur les botnets Une workstation en tête de pont Le backend est compromis Linfrastructure est compromise

3 Fonctionnement dun botnet Serveur de contrôle

4 (1) Infecter la 1 ère victime Infecter la 1 ère victime avec un bot Serveur de contrôle

5 (2) Connexion au serveur IRC Connexion du bot au serveur IRC Serveur de contrôle Connexion du bot au serveur IRC

6 (3) Connexion du gardien Serveur de contrôle Connexion du gardien au serveur IRC

7 (4) Propagation Serveur de contrôle Commande de propagation Botnet

8 (5) Botnet prêt Serveur de contrôle Commande de propagation Botnet

9 Demo dun botnet

10 Les 3 facettes de la sécurité Architecture sécurisée Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLSClusters Détection dintrusion Gestion de systèmes Supervision Pare-feu Antivirus PersonnesAdmin. de lEntreprise Admin. Du Domaine Service/Support Développeur Utilisateur Archivage Politique daccès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques

11 Personnes et Procédures La défense en profondeur Réseau Périmètre Machine Application Données Securité physique

12 Lutilisateur Un est envoyé à un ensemble de salariés de lentreprise Un au moins des salariés exécute lattachement Une connexion sortante est créée Lattaquant dispose dun accès à lintérieur du périmètre

13 Personnes et Procédures Envoi dun mail aux utilisateurs Sécurité physique Réseau Périmètre Machine Application Données Filtrage des connections sortantes Anti-Virus Client Formation des utilisateurs Filtre SMTP AntiVirus Serveur Client Messagerie bloque lattachement Le client de messagerie informe lutilisateur

14 Poste sensible Lattaquant compromet un poste sensible: Comptabilité, Paye Il installe un keylogger sur ce système et un outil de prise de contrôle à distance (dameware, vnc, …) Il observe les habitudes de travail ainsi que les codes des applications mises en oeuvre Il crée des membres du personnel fictifs avec des salaires bien réels

15 Poste sensible Personnes et Procédures Réseau Périmètre Machine Application Données Securité physique Segmentation Réseau Filtrage du traffic Authentification forte lors dopérations sensibles Signature au moyen de carte à puce

16 Les périmètres lattaquant obtient des informations: Sites Intranet/Internet (historique, favoris) Configuration du poste client Il peut attaquer dautres postes clients Il identifie les serveurs dinfrastructure Un serveur Intranet utilisant un système obsolète non mis à jour est compromis

17 Les périmètres Personnes et Procédures Réseau Périmètre Machine Application Données Securité physique Anti-Virus sur le serveur Mises à jour de sécurité Pare-feu interne Routeurs filtrants Pare-feu actif sur le serveur

18 La configuration applicative Le serveur Intranet est dédié à la gestion du profil utilisateur, notamment la gestion du compte de messagerie. Cette gestion est réalisée par une application COM+ qui utilise un compte administrateur du domaine pour réaliser ces opérations. Utilisant un outil permettant daccéder aux secrets LSA, lattaquant obtient le mot de passe de ce compte privilégié.

19 La configuration applicative Personnes et Procédures Réseau Périmètre Machine Application Données Securité physique Principe de moindre privilège Audit des comptes administrateur

20 Linfrastructure En utilisant le compte dadministrateur du domaine, lattaquant compromet un DC Il extrait les condensés cryptographiques de tous les comptes Il télécharge ces condensés pour les attaquer hors ligne Il dispose désormais dun très grand nombre de clés

21 Linfrastructure Personnes et Procédures Réseau Périmètre Machine Application Données Securité physique Audit de lutilisation des comptes administrateur Bloquer tout traffic des serveurs vers Internet

22 Serveur SQL Une application Intranet, à usage interne, est vulnérable aux injections SQL Lapplication web utilise le compte sa pour se connecter au serveur de base de données Lattaquant prend le contrôle du serveur SQL et détruit toutes les bases.

23 Serveur SQL Personnes et Procédures Sécurité physique Réseau Périmètre Machine Application Données Procédures de sauvegarde/restauration documentées et testées Isolation des rôles Application du moindre privilège Gestion fine des autorisations Application de développement sécurisé

24 Questions?


Télécharger ppt "Botnet, défense en profondeur Un exemple concret Jean Gautier"

Présentations similaires


Annonces Google