les tendances de 2016 - cours · 2016. 9. 27. · command1&1control1(c&c) •...

Jean-Marc Robert

Les tendances de 2016

Jean-‐Marc Robert -‐ Les tendances de 2016 2

Objec&f du cours G

TI619:

Vous perme:

re d’analyser u

n tel docum

ent


Yaho

o:

Vien

t de divulgue

r une

brèche ayant e

xposé

500 millions de comptes personn

els e

n 2014


Abod

e Flash:

Respon

sable de

la m

ajorité

des a:aque

s « zero-‐day »

Les tendances de 2016 •  Les cibles •  Les vecteurs d’infecMons

– Menaces WEB and Vulnérabilités –  SPAM: Phishing, Spear Phishing

•  Les objecMfs –  Individus

•  Botnet (rediffusion) •  Ransomware

–  InsMtuMons •  Données privées

•  Note posiMve


Les nouvelles cibles

•  Tout appareil connecté – Appareil mobile –  Internet of Things


Vecteurs: Drive-‐by downloads


Vecteurs: SPAM

•  En 2015, près de la moiMé des courriels seraient des SPAMS

•  « Snowshoe SPAM campaign » – Nouvelle tendance – Envois massifs et rapides provenant d’un large éventail d’adresses IP afin d’éviter les mécanismes de protecMon

•  Fait par un Botnet ?


SPAM : ObjecMfs parMculiers

•  InfecMon / propagaMon – Malware

•  Phishing –  SPAM pointant vers un faux site semblant légiMme

•  Vol de numéro de comptes bancaires , d’authenMfiants, …

•  Sprear phishing –  Ciblant un peMt groupe –  Vol d’idenMté, vol de propriétés intellectuels, …


Spear phishing


Une fois infecté: Les botnets

•  Un botnet est un réseau d’ordinateurs infectés (ou bots) – Logiciel Trojan perme:ant à un Mers de contrôler à distance un ordinateur infecté


h:ps://www.usenix.org/legacy/event/hotbots07/tech/full_papers/wang/wang_html/

Command & Control (C&C)

•  Terminologie militaire

•  Communique avec les bots afin de leur envoyer les « ordres » à exécuter – Moyens de communicaMon: IRC, h:p ou P2P (plus versaMle) – ObjecMfs: SPAM, DoS, etc.

•  Structures de communicaMon variées – De Hiérarchique à des réseaux pairs-‐à-‐pairs


C&C Hiérarchique

•  Pour –  Rapide

•  Contre –  Point unique de défaillance –  Facile à retracer (et à éradiquer -‐ et même poursuivre en jusMce)


h:ps://www.damballa.com/downloads/r_pubs/WP_Botnet_CommunicaMons_Primer.pdf

C&C Pairs-‐à-‐pairs

•  Pour –  Résilient –  Difficile à retracer (et à éradiquer) –  ParMMonnement afin de le louer

•  Contre –  Lent


h:ps://www.damballa.com/downloads/r_pubs/WP_Botnet_CommunicaMons_Primer.pdf

Diffusion de l’informaMon


h:p://www.iis.sinica.edu.tw/~swc/pub/fast_flux_bot_detecMon.html

•  Réseau « Fast flux » –  Plusieurs adresses IP pour un même domaine

•  Chaque bot peut s’inscrire pour le domaine recherché distribuant le contenu malveillant

–  Plus difficile à retracer

Les mobiles ne sont pas épargnés

•  Botnets de mobile – CommunicaMon via SMS


Une fois infecté : les ransomwares


Les ransomwares

•  Cibles – Les individus – Les organisaMons

•  Menaces et ransoms


Les ransomwares

•  Chiffrer les fichiers – Parfois AES-‐256 (impossible à inverser)

•  Effacer des fichiers –  Impossible à inverser-‐ si bien fait!

•  Changer le MBR -‐ Master Boot Record – Le SE ne peut plus accéder aux fichiers – Une demande de ransom est faite – Facile à inverser


Les ransomwares


h:p://seclab.ccs.neu.edu/staMc/publicaMons/dimva2015ransomware.pdf

Les ransomwares

•  Ransoms: entre $150 et $250 – Bitcoin (moins de 5%) – Systèmes de paiement non-‐retraçables (près de 90%)

•  Moneypak •  Paysafecard •  Ukcash



Sans com

pter la brèche de

Yahoo

en 2014

De 500 m

illions de comptes personn

els

Une

fois que

l’en

trep

rise est infectée

Les ransomwares


Un peu de publicité


Un peu de publicité

•  Détecter les processus qui – accèdent à beaucoup de fichiers (lecture/écriture) –  transforment ces fichiers

•  Fichiers structurés (jpeg) à Fichiers non structurés



Note po

si&v

e: M

oyen

s de protec&o

n

les tendances de 2016 - cours · 2016. 9. 27. · command1&1control1(c&c) •...

Documents