les tendances de 2016 - cours · 2016. 9. 27. · command1&1control1(c&c) •...
Post on 20-Jan-2021
1 Views
Preview:
TRANSCRIPT
Jean-Marc Robert
Les tendances de 2016
Jean-‐Marc Robert -‐ Les tendances de 2016 2
Objec&f du cours G
TI619:
Vous perme:
re d’analyser u
n tel docum
ent
Jean-‐Marc Robert -‐ Les tendances de 2016 3
Yaho
o:
Vien
t de divulgue
r une
brèche ayant e
xposé
500 millions de comptes personn
els e
n 2014
Jean-‐Marc Robert -‐ Les tendances de 2016 4
Abod
e Flash:
Respon
sable de
la m
ajorité
des a:aque
s « zero-‐day »
Les tendances de 2016 • Les cibles • Les vecteurs d’infecMons
– Menaces WEB and Vulnérabilités – SPAM: Phishing, Spear Phishing
• Les objecMfs – Individus
• Botnet (rediffusion) • Ransomware
– InsMtuMons • Données privées
• Note posiMve
Jean-‐Marc Robert -‐ Les tendances de 2016 5
Les nouvelles cibles
• Tout appareil connecté – Appareil mobile – Internet of Things
Jean-‐Marc Robert -‐ Les tendances de 2016 6
Vecteurs: Drive-‐by downloads
Jean-‐Marc Robert -‐ Les tendances de 2016 7
Vecteurs: Drive-‐by downloads
Jean-‐Marc Robert -‐ Les tendances de 2016 8
Vecteurs: Drive-‐by downloads
Jean-‐Marc Robert -‐ Les tendances de 2016 9
Vecteurs: SPAM
• En 2015, près de la moiMé des courriels seraient des SPAMS
• « Snowshoe SPAM campaign » – Nouvelle tendance – Envois massifs et rapides provenant d’un large éventail d’adresses IP afin d’éviter les mécanismes de protecMon
• Fait par un Botnet ?
Jean-‐Marc Robert -‐ Les tendances de 2016 10
SPAM : ObjecMfs parMculiers
• InfecMon / propagaMon – Malware
• Phishing – SPAM pointant vers un faux site semblant légiMme
• Vol de numéro de comptes bancaires , d’authenMfiants, …
• Sprear phishing – Ciblant un peMt groupe – Vol d’idenMté, vol de propriétés intellectuels, …
Jean-‐Marc Robert -‐ Les tendances de 2016 11
Spear phishing
Jean-‐Marc Robert -‐ Les tendances de 2016 12
Une fois infecté: Les botnets
• Un botnet est un réseau d’ordinateurs infectés (ou bots) – Logiciel Trojan perme:ant à un Mers de contrôler à distance un ordinateur infecté
Jean-‐Marc Robert -‐ Les tendances de 2016 13
h:ps://www.usenix.org/legacy/event/hotbots07/tech/full_papers/wang/wang_html/
Command & Control (C&C)
• Terminologie militaire
• Communique avec les bots afin de leur envoyer les « ordres » à exécuter – Moyens de communicaMon: IRC, h:p ou P2P (plus versaMle) – ObjecMfs: SPAM, DoS, etc.
• Structures de communicaMon variées – De Hiérarchique à des réseaux pairs-‐à-‐pairs
Jean-‐Marc Robert -‐ Les tendances de 2016 14
C&C Hiérarchique
• Pour – Rapide
• Contre – Point unique de défaillance – Facile à retracer (et à éradiquer -‐ et même poursuivre en jusMce)
Jean-‐Marc Robert -‐ Les tendances de 2016 15
h:ps://www.damballa.com/downloads/r_pubs/WP_Botnet_CommunicaMons_Primer.pdf
C&C Pairs-‐à-‐pairs
• Pour – Résilient – Difficile à retracer (et à éradiquer) – ParMMonnement afin de le louer
• Contre – Lent
Jean-‐Marc Robert -‐ Les tendances de 2016 16
h:ps://www.damballa.com/downloads/r_pubs/WP_Botnet_CommunicaMons_Primer.pdf
Diffusion de l’informaMon
Jean-‐Marc Robert -‐ Les tendances de 2016 17
h:p://www.iis.sinica.edu.tw/~swc/pub/fast_flux_bot_detecMon.html
• Réseau « Fast flux » – Plusieurs adresses IP pour un même domaine
• Chaque bot peut s’inscrire pour le domaine recherché distribuant le contenu malveillant
– Plus difficile à retracer
Les mobiles ne sont pas épargnés
• Botnets de mobile – CommunicaMon via SMS
Jean-‐Marc Robert -‐ Les tendances de 2016 18
Une fois infecté : les ransomwares
Jean-‐Marc Robert -‐ Les tendances de 2016 19
Les ransomwares
• Cibles – Les individus – Les organisaMons
• Menaces et ransoms
Jean-‐Marc Robert -‐ Les tendances de 2016 20
Les ransomwares
• Chiffrer les fichiers – Parfois AES-‐256 (impossible à inverser)
• Effacer des fichiers – Impossible à inverser-‐ si bien fait!
• Changer le MBR -‐ Master Boot Record – Le SE ne peut plus accéder aux fichiers – Une demande de ransom est faite – Facile à inverser
Jean-‐Marc Robert -‐ Les tendances de 2016 21
Les ransomwares
Jean-‐Marc Robert -‐ Les tendances de 2016 22
h:p://seclab.ccs.neu.edu/staMc/publicaMons/dimva2015ransomware.pdf
Les ransomwares
• Ransoms: entre $150 et $250 – Bitcoin (moins de 5%) – Systèmes de paiement non-‐retraçables (près de 90%)
• Moneypak • Paysafecard • Ukcash
Jean-‐Marc Robert -‐ Les tendances de 2016 23
Jean-‐Marc Robert -‐ Les tendances de 2016 24
Sans com
pter la brèche de
Yahoo
en 2014
De 500 m
illions de comptes personn
els
Une
fois que
l’en
trep
rise est infectée
Les ransomwares
Jean-‐Marc Robert -‐ Les tendances de 2016 25
Un peu de publicité
Jean-‐Marc Robert -‐ Les tendances de 2016 26
Un peu de publicité
• Détecter les processus qui – accèdent à beaucoup de fichiers (lecture/écriture) – transforment ces fichiers
• Fichiers structurés (jpeg) à Fichiers non structurés
Jean-‐Marc Robert -‐ Les tendances de 2016 27
Jean-‐Marc Robert -‐ Les tendances de 2016 28
Note po
si&v
e: M
oyen
s de protec&o
n
Jean-‐Marc Robert -‐ Les tendances de 2016 29
Note po
si&v
e: M
oyen
s de protec&o
n
Jean-‐Marc Robert -‐ Les tendances de 2016 30
Note po
si&v
e: M
oyen
s de protec&o
n
top related