Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Botnet, défense en profondeur
Un exemple concret Jean Gautier
2
Agenda Rappels sur les botnets Une workstation en tête de pont
Le backend est compromis L’infrastructure est compromise
3
Fonctionnement d’un botnet
Serveur de contrôle
4
(1) Infecter la 1ère victime
avec un bot Serveur de contrôle
5
(2) Connexion au serveur IRC
Connexion du bot au serveur IRC Connexion du bot au serveur IRC Serveur de contrôle
6
(3) Connexion du gardien
au serveur IRC Serveur de contrôle
7
(4) Propagation Commande de propagation Serveur de contrôle Botnet
8
(5) Botnet prêt Commande de propagation Serveur de contrôle Botnet
9
Demo d’un botnet
10
Les 3 facettes de la sécurité
Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLS Clusters Détection d’intrusion Gestion de systèmes Supervision Pare-feu Antivirus Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur
11
La défense en profondeur
Personnes et Procédures Réseau Périmètre Machine Application Données Securité physique
12
L’utilisateur Un est envoyé à un ensemble de salariés de l’entreprise Un au moins des salariés exécute l’attachement Une connexion sortante est créée L’attaquant dispose d’un accès à l’intérieur du périmètre
13
Envoi d’un mail aux utilisateurs
Le client de messagerie informe l’utilisateur Personnes et Procédures Réseau Périmètre Machine Application Données Client Messagerie bloque l’attachement Anti-Virus Client Filtrage des connections sortantes Filtre SMTP AntiVirus Serveur Formation des utilisateurs Sécurité physique
14
Poste sensible L’attaquant compromet un poste sensible:
Comptabilité, Paye Il installe un keylogger sur ce système et un outil de prise de contrôle à distance (dameware, vnc, …) Il observe les habitudes de travail ainsi que les codes des applications mises en oeuvre Il crée des membres du personnel fictifs avec des salaires bien réels
15
Poste sensible Signature au moyen de carte à puce Données
Personnes et Procédures Réseau Périmètre Machine Application Données Authentification forte lors d’opérations sensibles Segmentation Réseau Filtrage du traffic Securité physique
16
Les périmètres l’attaquant obtient des informations:
Sites Intranet/Internet (historique, favoris) Configuration du poste client Il peut attaquer d’autres postes clients Il identifie les serveurs d’infrastructure Un serveur Intranet utilisant un système obsolète non mis à jour est compromis
17
Les périmètres Données Anti-Virus sur le serveur Application
Personnes et Procédures Réseau Périmètre Machine Application Données Anti-Virus sur le serveur Mises à jour de sécurité Pare-feu actif sur le serveur Routeurs filtrants Pare-feu ‘interne’ Securité physique
18
La configuration applicative
Le serveur Intranet est dédié à la gestion du profil utilisateur, notamment la gestion du compte de messagerie. Cette gestion est réalisée par une application COM+ qui utilise un compte administrateur du domaine pour réaliser ces opérations. Utilisant un outil permettant d’accéder aux secrets LSA, l’attaquant obtient le mot de passe de ce compte privilégié.
19
La configuration applicative
Personnes et Procédures Réseau Périmètre Machine Application Données Principe de moindre privilège Audit des comptes administrateur Securité physique
20
L’infrastructure En utilisant le compte d’administrateur du domaine, l’attaquant compromet un DC Il extrait les condensés cryptographiques de tous les comptes Il télécharge ces condensés pour les attaquer hors ligne Il dispose désormais d’un très grand nombre de clés
21
L’infrastructure Données Application Machine Personnes et Procédures
Réseau Périmètre Machine Application Données Bloquer tout traffic des serveurs vers Internet Audit de l’utilisation des comptes administrateur Securité physique
22
Serveur SQL Une application Intranet, à usage interne, est vulnérable aux injections SQL L’application web utilise le compte ‘sa’ pour se connecter au serveur de base de données L’attaquant prend le contrôle du serveur SQL et détruit toutes les bases.
23
Serveur SQL Gestion fine des autorisations Données
Personnes et Procédures Réseau Périmètre Machine Application Données Application du moindre privilège Isolation des rôles Application de développement sécurisé Procédures de sauvegarde/restauration documentées et testées Sécurité physique
24
Questions?
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.