apt : diminuer le risque grâce à un retour aux bases et aux bonnes pratiques
DESCRIPTION
Les "APT" (Advanced Persistent Threats) ne sont souvent pas si "avancées" que l'on imagine. Le plus souvent leurs auteurs n'exploitent que des faiblesses basiques dans l'architecture et les opérations du réseau. C'est pourquoi un retour aux bases est nécessaire pour rendre ces attaques plus difficiles : architecture Active Directory, gestion des versions et configurations, partitionnement des identifiants, supervision adaptée.TRANSCRIPT
palais des congrès Paris
7, 8 et 9 février 2012
8 février 2012Pascal SauliereArchitecte sécurité, CISSP, CCSKMicrosoft France
APT : Diminuer le risque grâce à un retour aux bases et aux bonnes pratiques
Avoir une idée des « APT »Redéfinir les prioritésRendre les attaques plus difficilesDiminuer les risques
Objectifs de la session
Advanced Persistent Threat (APT)It's taken me a few years, but I've come around to this buzzword. It highlights an important characteristic of a particular sort of Internet attacker.
A conventional hacker or criminal isn't interested in any particular target. He wants a thousand credit card numbers for fraud, or to break into an account and turn it into a zombie, or whatever. Security against this sort of attacker is relative; as long as you're more secure than almost everyone else, the attackers will go after other people, not you. An APT is different; it's an attacker who -- for whatever reason -- wants to attack you. Against this sort of attacker, the absolute level of your security is what's important. It doesn't matter how secure you are compared to your peers; all that matters is whether you're secure enough to keep him out.
APT attackers are more highly motivated. They're likely to be better skilled, better funded, and more patient. They're likely to try several different avenues of attack. And they're much more likely to succeed.
This is why APT is a useful buzzword.
Bruce Schneier, Nov. 2011http://www.schneier.com/crypto-gram-1111.html
2010-2011 : attaques ciblées contre clients sensibles, y compris en Europe et en FranceEnjeux économiques, stratégiques, nationauxImpact très important pour les clients affectésFuites de données hautement confidentiellesDes mois et des dizaines de personnes pour retrouver la maîtrise de son SI
Actualité
Exemple
Sophistication organisationnelle plus que techniqueÉquipes professionnelles travaillant aux heures de bureau du pays source (ou relai) de l’attaqueOpérations spécifiques et cibléesUtilisation d’un large spectre d’attaquesIntention de s’installer pour perdurerRéponse adaptative, pas d’abandonCiblage de la propriété intellectuelle
APT : Advanced (?) Persistent Threat
Étapes
Accès Intrusion initiale dans le réseau
Escalade Accumulation de privilèges
ExtensionCompromission d’environnements additionnels
PersistanceCréation d’une présence permanente sur le réseau
1.L’attaquant envoie un email de “phishing” à la cible
2.La cible ouvre le mail, la machine est compromise
3.L’attaquant moissonne les credentials sur la machine
4.L’attaquant utilise les credentials pour compromettre plus de machines
5.L’attaquant récupère les credentials d’admininistrateur de serveurs
6.L’attaquant récupère les credentials d’administrateur de domaine
7. L’attaquant prend le contrôle du domaine.
Game Over
1. Exploitation vulnerabilité
2. Installation malware3. Mot de passe admin
AD
RDP vers systèmes internesInstallation de malwareExécution de commandes à distance
Systèmes connectés en VPN
DMZ
Intranet
Autre méthode rencontrée
Windows Credentials Editor (WCE)Évolution de Pass-the-Hash.Les hashes sont aussi efficaces que le mot de passeDans un contexte administrateur local, WCE récolte les hashes des utilisateurs / services authentifiés localement
Dont en particulier les comptes admins du domaine
Note – l’accès à un partage réseau n’expose pas les hashes sur le serveur de fichiers
Exemple : WCE
DEMO
D’administrateur local à administrateur du domaine en 5 minutes
Ce n’est pas une vulnérabilitéAdministrateur LocalSystemAccès à tous les secrets du système localInclut les sessions locales
Le cache de logon (cached credentials) ne contient pas les hashes des mots de passeLes smartcards obligatoires n’empêchent rienLe hash est dans la sessionNe restreint que le logon local
Précisions
Mauvaises pratiquesSystèmes et applications pas à jourWindows XP non patchéAdobe Reader non patché, etc.Une simple pièce jointe suffit
Mauvaise utilisation des comptes privilégiésL’utilisateur est admin local (sinon, élévation de privilège non patchée…)Admin du domaine sur une machine compromise
Pourquoi cette attaque marche
Active DirectoryServeurs de fichiersServeurs ExchangeServeurs SharepointServeurs SQLDonnées métier au sens large
Cibles
Attaques pas très sophistiquéesUtilisent des méthodes connuesCopie des POC d’exploits postés en ligneProfitent de failles dans des principes de base de la sécuritéVersions, configurations, architecture, administrateursHabitudes : réutilisation de mots de passe
RentablesIl faut compliquer la tâche des attaquants de façon à augmenter le coût des intrusions
La tâche des attaquants est trop simple
Les fondamentaux
Versions, mises à jour
Architecture Active Directory
Gestion de configuration
Partitionnement des credentials
Supervision sécurité
Les bases à traiter avant toute chose
ConformitéCe que vous devez faire
GouvernanceCe que vous devriez faire
Gestion des risquesCe que vous choisissez de faire
GRC
Inventaire à jour ?Classification des donnéesIdentifier les « joyaux de la couronne » à protéger en priorité
Avant tout, connaître son parc
#1 – versions et mises à jour
Windows et IE
Fonctionnalités de sécurité
Office Protected View
Managed Service Accounts
Active Directory Federation Services
AppLocker
Read-Only Domain
ControllerRestricted Groups
BitLockerActive Directory
Rights Mgt Services
App-V
Office File Validation
DNS Sec SmartScreen
Quasiment aucun 0day dans les attaquesToujours des vulnérabilités anciennes, voire très anciennesMises à jour disponibles
Vulnérabilités applicativesFichiers PDFFlashOffice (vulnérabilités de 2006-2009 non patchées…)
Mises à jour
http://www.microsoft.com/securityupdateguide
Exploits contre CVE-2011-0611
1310 16 19 22 25 28 1 4 7 10 13 16 19 22 25 28 31 3 6 9 12 15 18 21 24 27 30 3 6 9 12 15 18 21 24 27 30April May June July
0
5,000
10,000
15,000
20,000
25,000
30,000
35,000
40,000
45,000Zero-day
April 11 – Adobe Advisory APSA11-02; MMPC re-ceives its first public sample
April 12 – MMPC signature released
April 15 – Flash Player update
April 21 – Adobe Reader/Acrobat up-dates
1 month after update
2+ months after update
April 8 – First reportsof public exploitation
ArchitectureForêts avec des trusts filtrés
Peu d’administrateurs, délégation, groupes restreints
RODC pour les sites exposés
StratégiesGPO alignés sur les politiques de sécurité
Désactiver LanMan et autres protocoles faibles
Restreindre l’utilisation des comptes privilégiés
#2 – architecture ADReflète souvent les choix faits lors de la migration de NT4 à Windows 2000
#3 – gestion de configuration
Start Secure
• Managed desktop, server images
• Least privilege• Asset inventory
Stay Secure
• Desired Configuration Manager
• Change control processes
Confirm You’re Secure• Continually
compare actual to expected
Principe de moindre privilège ignoréAD « facilitateur d’administration »
« Si ça ne marche pas, j’utilise un compte admin »Administration quotidienne, helpdeskComptes de services, tâches planifiées
« Si je change les mots de passe, plus rien ne marche »Comptes de services, tâches planifiées
« Je ne vais pas changer de compte juste pour aller sur Facebook »
#4 – administrateurs
Élément RésultatTrop d’administrateurs 75%Admins avec “Mot de passe n’expire jamais"
91%
LAN Manager Hash présent 75%Stratégies de groupe non utilisées pour appliquer la sécurité
61%
Pas de plan de reprise sur incident documenté
50%
Sauvegardes non sécurisées 53%
Concrètement
Compilation de 8000 ADRAP
AD est au cœur de la sécurité du SIDomain Admins = TOUS les droits sur TOUTTrès peu de tâches nécessitent un compte administrateur
Utiliser la délégationMalheureusement sous-utilisée
Protéger les adminsPas uniquement Domain Admins« Comptes privilégiés »
Administrateurs
Administrateurs du domainelogon sur un DC uniquementou sur une station dédiée, « sécurisée »outils d’administration à distanceou forêt séparée (voir offre MCS)
Protection des admins du domaine
“A less sensitive system may depend on a more sensitive system for its security...A more sensitive system must never depend on a less sensitive system for its security”
Windows Server 2008 Security Resource Kit,
“Securing the Network”
Mots de passe de ces comptesrègle de complexité : c’est un minimumles administrateurs doivent s’astreindre à plus de complexité
Comptes de serviceau plus, admin d’une machine et d’une seuleidem pour les tâches planifiées
Comptes privilégiés
Membre d'un groupe "à pouvoir" du domaine (domain admins, etc.)Compte qui a des privilèges Windows donnés par GPO pour certains membresMembre d'un groupe local admin sur un membre (SAM)Compte Trusted for delegationCompte pour lequel il existe des ACL explicites sur des objets de l'AD
Comptes privilégiés
Victime typiquedes IDSdes anti-malwareun gestionnaire d’événements de sécurité corrélant des gigaoctets de données chaque jourrépond à des centaines d’alertes chaque jour
Mais…ils ont été compromisils l’ont appris par d’autre moyens
#5 – supervision
Commencer par surveiller uniquement les systèmes les plus importantsCollecter uniquement les données nécessairesAnalyser en priorité les tendances, puis le contenu si nécessairePrévoir la diversité assez tôt, éviter la complexité et les volumes importants
Supervision sécurité
CollecterCollecter les données pour analyse ultérieure
CompterÉtats binairesComportements anormaux (systèmes silencieux…)
ComparerTendances dans une populationDifférences avec un groupe homogène
AnalyserAnalyse détaillée du contenu
Actions possibles
Type de données
Informations Utilisation
Réseau
Données des proxies
Connexion vers des IP externes
Comparer : transfertsAnalyser : comms avec des IP malveillantes connues
Données de Netflow
Connexions à l’intérieur du réseau
Collecter : uniquement sur les routeurs clés, garder pour IR
Données AV Santé des systèmes
Comparer : volumes de connexion et d’infection
Données WER Santé des systèmes
Comparer : nombre de systèmes qui crashent, distribution des applications
Contrôleurs
de domaine
Événements d’audit
Activité des systèmes
Compter : DC inactifsComparer : volume d’évts par DC
Événements de cycle de vie des comptes
Nouveaux comptes, appartenance aux groupes
Compter : alertes sur tout événement impliquant des administrateurs
Événements d’audit des tickets Kerberos
Accès aux ressources
Comparer : utilisation des ressources par administrateur
Données essentielles
Compléments
ClassificationIsolation de domaine IPsecDLP / RMSEFS, BitLocker
Protection des données
AutorunClés USB (cf. Stuxnet)Mais aussi partages réseau (cf. Conficker)
BitLockerVol de portables
Postes de travail
Chez un client : 8000 règles de firewallChez un autre : 20 firewalls à traverser entre deux sitesSans compter les VLAN
Le réseau ne peut pas être à 100% « propre »
ConsumérisationProtéger données et services sensiblesSolutions simples
Isolation de domaine IPsecDétection des devices
Réseau
Un antivirus protège des malwares qu’il connaît (La Palice)Ne protège pas d’un administrateurHow to bypass an antivirus :http://resources.infosecinstitute.com/how-to-bypass-an-antivirus
Un antivirus sur un système non patché ne sert à rien
Antivirus / antimalware
1. Versions et mises à jour2. Architecture Active Directory3. Gestion de configuration4. Partitionnement des credentials (protection des
administrateurs)5. Supervision
Résumé des bases
Les bases d’abord
firewalls
IDS, IPS
Antivirus multifonctions
SupervisionCorrélation
XP SP2, IE 6Office 2000
Adobe Reader, FlashAdministrateurs
Autorun
Consen
Rendre la tâche des attaquants un peu plus difficileRégler les bases en prioritéGRC (gouvernance, risques, conformité) pour définir les prioritésSolutions simples et éprouvées
Pour conclure
palais des congrès Paris
7, 8 et 9 février 2012