Advanced persistent threats : attaques ciblées et contre-mesures

Présentation

• Les menaces APT
• Historique des attaques ciblées
• Identifier les auteurs des menaces
• Examiner des études de cas
• Évaluer les différents éléments d'une attaque APT

Reconnaissance initiale

Reconnaissance passive

• Utiliser Google Hacking et Maltego
• Rassembler des informations utiles

Analyses techniques

• Mapper l'infrastructure DMZ avec l'architecture de vos applications
• Évaluer les vulnérabilités de votre stratégie de sécurité

Déploiement de mesures défensives pour lutter contre la fuite des informations

• Mettre en place des restrictions (« shunning » et « dropping ») sur le routage
• Mettre en œuvre des bonnes pratiques en matière de sécurité opérationnelle (OPSEC) pour sécuriser les informations non protégées

Le « compromis initial »

Effectuer des vulnérabilités techniques

• Lancer des attaques avancées par injection de SQL et des attaques de type XSS (cross-site scripting)
• Pirater des sessions et des processus exécutés avec des privilèges

Exploiter les faiblesses humaines

• Mettre au point des attaques contre les appareils portables / périphériques USB
• Créer et acheminer des charges utiles efficaces

Techniques de défense contre les attaques par exfiltration et à distance

• Déployer des agents de protection contre la perte des données
• Limiter les attaques contre les applications Web

Analyse de la sécurité des systèmes internes

Évaluation des sous-réseaux privés

• Utiliser les modules auxiliaires de Metasploit
• Rechercher les vecteurs d'attaque internes

Recherche des ressources critiques

• Identifier les adresses, les services et les types d'appareils
• Découvrir les points faibles des systèmes SCADA

Détection des actes de malveillance

• Rechercher les nœuds en mode promiscuous
• Analyser le trafic suspect

Diriger des attaques par rebonds vers de nouvelles cibles

Routage de sessions de piratage

• Prérequis pour les attaques par rebonds
• Comparer les différentes techniques d'attaques par déplacement latéral

Compromission de nouvelles victimes

• Choisir un vecteur d'attaque
• Mettre en place des canaux de communication cachés

Recherche des vulnérabilités en amont

• Lancer une analyse pour détecter les vulnérabilités
• Évaluer les anomalies concernant les protocoles ou le trafic

Exploitation des ressources

Contournement des privilèges

• Contourner le Contrôle de compte d'utilisateur (UAC)
• Compromission par migration de processus

Stratégie anti-inforensique

• Falsifier la date et l'heure
• Effacer les traces avec la falsification des journaux et la suppression de l'espace non alloué (slack wiping)

Diminution des exploits et des actes de malveillance

• Lutter contre l'escalade des privilèges et la migration des processus
• Surveiller et vérifier l'intégrité du système de fichiers

Exfiltration des données confidentielles

Recherche des données sensibles

• Rechercher des informations de la plus haute importance
• Identifier les ressources associées

Découvrir différentes méthodes d'exfiltration

• Préparer le vol des données
• Choisir une méthode de tunneling

Lutte contre l'exfiltration des données

• Déployer et tester une stratégie de lutte contre la perte des données
• Analyser les journaux et le trafic

Élaboration d'une stratégie de défense

• Définir un niveau de sécurité de référence
• Dresser la liste blanche des applications
• Mettre en œuvre un plan de diagnostic et de réduction des attaques en continu
• Utiliser l'inforensique pour rechercher les menaces
• Déployer des honeypots (pots de miel) en interne
• Constituer une checklist de sécurité