Connaissez votre ennemi botnets, spywares, rootkits, phishing… Jean Gautier PSS Security in EMEA Pascal Sauliere Consultant Principal Sécurité, CISSP, Microsoft France Cyril Voisin Chef de programme Sécurité, Microsoft France

Bon à savoir Pour récupérer les présentations mises à jour, se connecter sur rubrique événements Pour poser une question que vous navez pas eu le temps de poser durant une session

LArt de la Guerre, Sun Tzu Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de perdre et de gagner seront égales. Si tu ignores à la fois ton ennemi et toi- même, tu ne compteras tes combats que par tes défaites.

SommairePhishingSpywaresBotnetsPrésentation Démonstration ! Rootkits Définition dun rootkit Scénario dattaque Fonctionnement dun rootkit En mode utilisateur En mode noyau Démonstration !

PhishingPhishing Usurpation de marque & vol dinformations

Phishing Usurpation de marque dans le but de voler votre identité (informations personnelles telles que comptes et mot de passe, numéro de carte bleu, informations bancaires…) Par le biais d ou de pop-up FréquemmentAlarmiste Non personnalisé Lien dans le message (Fautes dorthographe / grammaire) Tout le monde a vu la démo du keynote du 14 juin? (sinon captures décran en annexe de ce.ppt)

Adresse trompeuse Le code source révèle la vraie adresse msn-network.com Lien trompeur Le code source révèle que ladresse réelle est : href= msnupdate.com/?sess=qCKWmHUBPPZwT8n 4GEMNh7owHDEGt40IHKG5tAGiqGOjNeovRc msnupdate.com/?sess=qCKWmHUBPPZwT8n 4GEMNh7owHDEGt40IHKG5tAGiqGOjNeovRc La différence entre ces deux URL pourrait être un signe que le message est faux (en outre, si les 2 URL étaient les mêmes, il faudrait quand même rester sur ses gardes.) Message alarmiste Tentative flagrante de faire croire à une urgence pour obtenir une réponse sans réflexion. En général, il y a aussi des fautes de frappe, dorthographe, de grammaire Message non personnalisé Soignez méfiant(e) si une entreprise avec laquelle vous êtes régulièrement en contact, ne vous appelle pas par votre nom.

Connaissance de la société Ici eBay, en général, nenvoie pas de- mails contenant des liens de login à ses clients. Regarder dans la barre détat et constater que le lien ne pointe pas sur le site eBay.com Se méfier des liens dans un qui saffichent différemment dans la barre détat. Dans ce cas, ouvrir un nouveau navigateur et taper soit-même lURL normale. PHISHING

Regardez attentivement le lien. Vous voyez le ? Cest un classique pour le phishing. Dans certains navigateurs, ce qui est à gauche nest pas pris en compte et la connexion a lieu sur ce qui est à droite. PHISHING

Exemple en mai 2005 Courrier de phishing visant les clients de grandes banques françaises :

Comment ne pas se faire avoir Se méfier si on vous contacte soudainement pour vous demander des informations personnelles (par ou pop-up) Ne pas cliquer sur un lien dans un qui vous demande des informations personnelles (au besoin, allez vous-même sur le site de linstitution en tapant ladresse habituelle) Si quelquun vous contacte en vous prétendant que vous avez été victime dune fraude, vérifiez dabord son identité avant de lui communiquer la moindre information (valable pour le site auquel vous vous connectez) NE JAMAIS communiquer dinformation personnelle secrète (comme un mot de passe) ou dinformation bancaire Vérifiez régulièrement vos relevés bancaires et de carte de crédit Signalez les cas suspects aux autorités compétentes

SpywaresSpywares

Que sont les logiciels espions ? ExemplesDescription Pas de nuisance potentielle Utilisation de ressources à distance Collecte de données personnelles Affichage de pub Changements de paramétrages Numérotation automatique Clairement malfaisant (virus, ver, troyen) Inoffensif Collecte de données Publicité Changements de configuration Utilisation de ressources à distance Numérotation Activité malfaisante Surveillance Enregistrement des frappes clavier Potentiel de nuisance Extrême Aucun Comportement + Notepad + Logiciel du fournisseur daccès – Numérotation vers site porno + Contrôle parental – Key-loggers – Sasser + Barre de recherche autorisée – Collecte de données + Logiciel supportant de la pub – Pop-ups non autorisés + Utilitaires de paramétrage – Détournement du navigateur + Application partage de cycle – Porte dérobée Spyware ou logiciel espion : Programme qui effectue un certain nombre dopérations sans le consentement approprié de lutilisateur

Quelques idées de lampleur La cause dau moins 1/3 de tous les crashes des applications Windows1 Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell2 Consommateurs 91 % des utilisateurs de lInternet haut débit sont affectés3 En moyenne : 5+ « spywares » / « adwares » par machine4 Entreprise 5 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spywares » 1 Analyses MS Watson/OCA, Jan-Mar FTC Workshop, Avril ,4 NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril Websense Survey, Avril 2004

Par où viennent-ils ? Par ou via des pièces jointes attractives Faux bulletins de sécurité Microsoft Non signés bien entendu (comment reconnaître un message authentique : enticate_mail.mspx) Photos Via des installations de logiciels

Par où viennent-ils ? Connexion réseau avec absence de correctif et de pare-feu Téléchargement lors de la navigation ActiveX camouflé par ex. IE 6.0SP2 (Windows XP SP2) et ultérieur a une interface plus claire et plus sure pour lutilisateur Pop-ups et autres astuces Bannières, pop-overs

Lutter contre les logiciels non désirés Utiliser un compte normal (LUA) Désactiver le contenu actif dans IE Ceci peut empêcher certains sites de fonctionnement Par exemple : Windows Update Fermer les fenêtres par combinaison de touche ou par la croix blanche sur fond rouge Télécharger seulement depuis des sites de bonne réputation qui certifient que les logiciels sont propres Utiliser un logiciel antispyware

Microsoft Windows AntiSpyware Communauté SpyNet : identifier les nouveaux spywares Mise à jour automatique des signatures Corrige les problèmes de ralentissement, de pop-ups, etc. Analyses planifiées pour maintenir sécurité et confidentialité Surveillance temps réel de plus de 50 points d'entrées Alertes personnalisables selon vos préférences Lutte contre les logiciels espions Aide à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés Détecter et supprimer les spywares Améliorer la sécurité de la navigation sur Internet Stopper les dernières menaces

Windows AntiSpyware Plus de 10 millions de téléchargements (en 10 semaines) Retours positifs et nombreux commentaires constructifs Signatures anti-spyware mises à jour toutes les semaines Site Microsoft Anti-spyware

Protection temps réel de MS Antispyware MSAS scanne les points de démarrage des spywares toutes les 10s

Blocage avec MS Antispyware Si une nouvelle entrée apparaît, il fait apparaître une fenêtre de notification Choisir block entraîne la suppression de la nouvelle entrée

Évolution de MS Antispyware Détection et suppression des logiciels non désirés Protection en continu Mise à jour des défense (signatures) Version de base gratuite (plutôt pour les particuliers mais peut être utilisée en entreprise si on en accepte les limitations) Version entreprise : Déploiement centralisé (client et signatures) Rapports étendus Options de configuration et contrôle Admin des signatures

Nettoyage manuel Car un antispyware classique Repose sur des signatures Peut être la cible dun logiciel indésirable Peut ne pas être installé sur une machine touchée Des outils comme ceux de peuvent être utiles Démarche : Identifier les processus (Process Explorer) Les suspendre puis les terminer Identifier les sources de démarrage automatique de ces processus (Autoruns) Les supprimer Supprimer les fichiers et répertoires de ces logiciels indésirables (Sigcheck en partie)

Autoruns Fournit plus dinfos que msconfig de Windows XP Montre les endroits qui peuvent être configurés pour exécuter du code au démarrage ou à louverture de session ServicesTâches Modules additionnels de lexplorateur et dIE (barres doutils, Browser Helper Objects, …) Affiche le chemin complet et la version Recherche sur le Web facile Focalisation aisée sur le code non Microsoft (cache les entrées MS signées) Version en ligne de commande (script, réseau)

Autoruns

Process Explorer Plus complément que le Gestionnaire de tâches de Windows XP Permet une exploration approfondie des processus Arborescence de processus Ligne de commande Chemin complet Information de version Chaînes Vérification de signature de code Chercheur de fenêtre Recherche sur le Web Processus suspects : Pas de description ou de nom déditeur Situés dans %windir% Pas dicône Drôles dURL dans les chaînes

Process Explorer

Signature de code Le code de Microsoft est signé numériquement Autoruns et Process Explorer vérifient les signatures Sigcheck permet danalyser les signatures des exécutables Analyser de tout le système (au moins %windir%) Regarder de près les images non signées

Sigcheck Ligne de commande pour afficher des informations sur les exécutables non signés : sigcheck -e -u -s c:\

BotnetsBotnets

Botnets : terminologie Bot (robot) Programme exécutant une action ou un groupe daction à la demande dun programme distant. Installé sur lordinateur de la victime (zombie) Botnet Réseau de machines zombies formant une armée dordinateurs contrôlée à partir dun point central Canal de contrôle Méthode pour communiquer avec les victimes « Gardien » (pirate, attaquant…) Gardien des robots, contrôleur, Bot Herder Possède le canal de contrôle et commande le botnet Motivations : argent, puissance

Fonctionnalité : vol de données Documents ou données sur lordinateur infecté Mots de passe, mots de passe IRC Numéros de comptes bancaires, mots de passe Comptes Paypal Données liées aux cartes de crédit Touches frappées au clavier (keylogger) Numéros de série de logiciels (Windows, Office, jeux, etc.)

Fonctionnalité : DDoS Quelques centaines de machines peuvent rendre indisponible un site de commerce Au Kentucky, des sites Internet ont été rendus inaccessibles pendant une semaine ; ils avaient refusé de payer $ Crime organisé : en Angleterre, des casinos en ligne se sont vus proposer une « protection » contre $/an

Fonctionnalité : Spam (en 2004) Entre 70% et 80% du Spam est envoyé à partir de machines zombies Des botnets sont « loués » pour lenvoi de Spam Exemples réels : Entre 2,5 et 6 cents par bot par semaine Entre 200 et 900 $ par semaine Machines constamment disponibles : entre et Septembre forums de SpecialHam.com, Spamforum.biz

Fonctionnalités : autres sources de revenus Installation de Spyware, Adware Simulation de « clics » sur les publicités de sites web – les annonceurs paient au nombre de clics …

FonctionnementServeur de contrôle

(1) Infecter la 1 ère victime Infecter la 1 ère victime avec un bot Serveur de contrôle

(2) Connexion au serveur IRC Connexion du bot au serveur IRC Serveur de contrôle Connexion du bot au serveur IRC

(3) Connexion du gardien Serveur de contrôle Connexion du gardien au serveur IRC

(4) Propagation Serveur de contrôle Commande de propagation Botnet

(5) Botnet prêt Serveur de contrôle Commande de propagation Botnet

Canal de contrôle : IRC Protocole connu depuis presque 25 ans Un des premiers systèmes de chat décentralisé (channel ~ chat room) Premiers bots créés pour contrôler ses propres channels, puis pour des fonctions évoluées (jeux, serveurs de fichiers, etc.) Exemple : solution de repli pour le P2P Avantages Outils et connaissance disponibles Protocole léger et simple à programmer Jusquà clients par serveur Inconvénients Facilement repérable Dépendant de larchitecture DNS Le botnet repose sur un seul serveur

Boîte à outils Bots disponibles, avec sources (C/C++) et documentation Certains sont portables : Windows, Linux Serveurs IRC gratuits (basés sur IRCd) De plus en plus de serveurs modifiés, adaptés aux volumes et fonctions des botnets Client IRC Autres canaux : HTTPICQ

(à but éducatif uniquement…) Mais encore ?

Contre-mesures Les bots se propagent par le réseau Pare-feu Mises à jour Anti-virus Attention aux nouvelles machines personnelles et à leur 1 ère connexion à lInternet

RootkitsRootkits

Rootkit - Définition Définition : Un rootkit est un ensemble de composants logiciels modifiant/déroutant le chemin dexécution du système. Cette modification porte atteinte à lintégrité de la « Trusted Computing Base » (TCB). Objectif : Maintenir la présence malveillante sur un système compromis par lutilisation de techniques de furtivité.

Rootkit - Capacités Cacher : des processus des fichiers des pilotes des ports et des connexions réseau des clés de registre Installer des portes dérobées Ajouter des privilèges à une session Ajouter des groupes à une session Manipuler lobservateur dévènements Faire tout ce quun programme peut faire

Scénarios dattaque Lattaquant acquiert des privilèges élevés sur un système Lattaquant installe le rootkit Le rootkit se dissimule lui-même ainsi que tout autre composant configuré Lattaquant peut alors réaliser tous types dactions sur le système avec peu de risques de détection

Rootkit en mode utilisateur Modifie les exécutables et libraries Reroute les APIs : CreateFile, FindFirstFile, … RegGetValue, RegEnumKey, … EnumProcesses, EnumProcessModules, … …

Rootkit en mode noyau Modifie les tables/fonctions Kernel: KiServiceTableSST/SDT Déroute linterruption Int 2E Modifie les tables Kernel (Direct Kernel Object Manipulation) EPROCESS FLINK/BLINK – Le système exécute des threads, pas des process. Ajoute des groupes, des privilèges, etc aux jetons. Modifie les listes de lOrdonnanceur KiWaitInListHeadKiWaitOutListheadKiDispatcherReadyListHead

Principe de fonctionnement Kernel Mode (Ring 0) User Mode (Ring 3) App CreateFile(); Kernel32.dll CreateFileW ntdll.dll ZwCreateFile mov eax, 25h mov edx, 7FFE0300h call dword ptr [edx] retn 4 mov edx, esp sysenter (or int 2E) ret KiSystemService (maybe via KiFastCallEntry) 2E Interrupt Dispatch Table 7FFE0300h NtCreateFile IoCreateFile IopCreateFile (25h)NtCreateFile Service Descriptor Table 0

DémonstrationDémonstration Rootkit

Contre-mesuresContre-mesures

Contre-mesures Cf sessions précédentes : Windows XP SP2 LUA Outils et infos

Remerciements Mark Russinovich Chief Software Architect Winternals Software pour la partie spywares

Microsoft France 18, avenue du Québec Courtaboeuf Cedex

AnnexeAnnexe

Démos de phishing : comparaison de Windows XP Service Pack 1 et de Windows XP Service Pack2 Cyril Voisin Chef de programme Sécurité Microsoft France

dans Outlook Express Démo 1 : phishing par dans Outlook Express

ActiveX et camouflage Démo 2 : tentative dinstallation dun cheval de Troie par tromperie

Vol de mot de passe par usurpation de linterface Démo 3 : Internet Explorer en mode plein écran pour tromper lutilisateur