![Page 1: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/1.jpg)
Laboratoire de Haute SécuritéTélescope réseau, sécurité des réseaux etVirologie
Frédéric Beck (SED) & Olivier Festor (Madynes)Fabrice Sabatier & Jean-Yves Marion (Carte)
CLUSIR Est - 15 Décembre 2011
![Page 2: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/2.jpg)
Inria : Institut de recherche en sciencesdu numérique• Sciences informatiques et mathématiques
2
RECHERCHE DEVELOPPEMENTTECHNOLOGIQUE
ETEXPERIMENTATION
ENSEIGNEMENTET
FORMATIONTRANSFERT
ETINNOVATION
Un institut public à caractère scientifique et technologiquesous la double tutelle du ministère de la Recherche
et du ministère de l’Industrie
![Page 3: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/3.jpg)
Mathématiques appliquées, Calcul et Simulation 1
Algorithmique, Programmation, Logiciels et Architectures
Réseaux, Systèmes et Services, Calcul distribué
Perception, Cognition, Interaction
STIC pour les sciences de la vie et de l’environnement
Principaux domaines de recherche
3
2
3
4
5
![Page 4: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/4.jpg)
Centres de recherche Inria
4
Inria RENNESBretagne Atlantique
Inria BORDEAUXSud-Ouest
Inria PARIS - Rocquencourt
Inria LILLENord Europe
Inria NANCYGrand Est
Inria SACLAYÎle-de-France
Inria GRENOBLE Rhône-Alpes
Inria SOPHIA ANTIPOLISMéditerranée
![Page 5: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/5.jpg)
Laboratoire de Haute Sécurité
Plate-forme unique en France et en Europe
Objectifs• Expertise en Sécurité Informatique (audit, recherche de vulnérabilités...)• Défense pro-active contre les programmes malicieux et nouvelles menaces• Études, expérimentations à grande échelle et publications• Collecte et analyse de données• Développement et mise à disposition d'outils et logiciels• Valider, valoriser et distribuer les travaux
https://lhs.loria.fr
2 axes principaux• Sécurité réseau
• Télescope réseau• Expérimentations et études
• Virologie
5
![Page 6: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/6.jpg)
Laboratoire de Haute Sécurité
6
![Page 7: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/7.jpg)
Sécurité réseau (équipe Madynes)
Améliorer la sécurité des réseaux et des services• Collecte et analyse de données d'attaque (télescope réseau)• Définition et mise en œuvre de mécanismes de protections (logiciels,
recommandations)• Gestions de vulnérabilités (découverte, protection)• Détection des mal-fonctions et des compromissions (monitoring/supervision)
Objectifs• Définitions et extensions de protocoles et algorithmes• Développements et maintenance de solutions logicielles• Expérimentations à grande échelle• Domaines d'application variés (IPv4/IPv6, VoIP, P2P, capteurs sans-fils, réseaux ad-
hoc, SCADA...)
7
Olivier Festor
![Page 8: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/8.jpg)
Télescope réseau
• Architecture multi-provider• 3 ADSL (Orange, SFR, Free)• 1 SDSL 2Mbits avec /24 public
• Architecture virtualisée et cloisonnée
• 3 environnements distincts• Collecte des données• Stockage et confinement des
données• Support aux expérimentations
8
Capture à grande échelle de malwares et de traces réseau
Télescope réseau
![Page 9: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/9.jpg)
Télescope réseau
Capture de code et binaires malicieux• Émulation de vulnérabilités
• Permet d'éviter la propagation des attaques ou la compromission des sondes• Capture des malwares qui les exploitent
• Binaires transmis à l'équipe virologie• Utilisation de sandbox pour analyser le comportement du malware et l'identifier• Capture d'informations supplémentaires sur l'attaquant
• IP source, localisation géographique, site hébergeant le binaire• Capture d'attaques dites zero-day essentielle pour la mise en œuvre de défenses
pro-actives
Capture de traces et flux réseau• Capture au format PCAP et NetFlow des traces d'attaque• Analyse des mécanismes d'infection et de propagation des malwares• Objectif
• Définition de mécanismes de défense périmétrique pro-active• Bloquer les attaques à la source
9
![Page 10: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/10.jpg)
Honeypots et services émulés
Utilisation de honeypots à faible interactions• Environ 25 instances déployées à l'heure actuelle• Dionaea
• RPC/Netbios, HTTP, FTP/TFTP, SIP/VoIP, MSSQL• Amun
• Émulation de vulnérabilités via plugins python• Kippo
• Brute force SSH toujours un succès et accès à un shell minimaliste• Sessions enregistrées pour tracer les activités
• Leurrecom.org Honeypot project• « pots de miels » distribués et répartis dans le monde
• Dans le passé• Nepenthes, ancêtre de Dionaea• Hali en collaboration avec l'université du Luxembourg, honeypot SSH type
Kippo
10
![Page 11: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/11.jpg)
Le télescope en chiffres
En fonctionnement depuis le 09 Septembre 2008
Total (au 13/12/2011)• 415 940 593 attaques • Dont 125 915 793 attaques malicieuses• 101 445 523 malwares téléchargés• 292 599 binaires uniques capturés
Quotidiennement• 350 000 attaques dont 106 000 malicieuses• + de 8 500 binaires téléchargés
Traces réseau• 5,7 To de données PCAP• 88 Go de flux NetFlow• 6 Go de flux Tor anonymisés
11
![Page 12: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/12.jpg)
Détection de vulnérabilitésStateful fuzzing avec feedback• + de 50 vulnérabilités trouvées• Mécanisme breveté de fingerprinting avec un seul paquet• KIF
• Fuzzing contre les états protocolaires• Apprentissage automatique de la machine à états d'après traces correctes• Mécanisme de feedback : suivi des données et graphes d'exécution• Exemple : vulnérabilité permettant de décrocher sans intervention utilisateur
• Domaines d'application• SIP• DNS• IPv6• DHCP• PDF
12
![Page 13: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/13.jpg)
Protection contre les vulnérabilitésSecSIP, un framework de protection contre les attaques SIP• Première ligne de défense stateful pour le protocole SIP• Identification des vulnérabilités avec KIF• Modélisation des vulnérabilités et leurs contre-mesures dans le langage Veto• Génération automatique des règles de prévention
• D'après la définition de la vulnérabilité avec algorithmes génétiques
13
veto SJPhone_Vul@SJPhone uses SJPhoneDefs begin
(ev_INVITE) -> { if (SIP:headers.Content_Length !@eq
"SIP:body.length") drop;}
(ev_INVITE(Malformed)) -> drop;
veto end
![Page 14: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/14.jpg)
Sécurité VoIPMonitoring des services VoIP• Identifier les attaques et fraudes • Détection d'anomalies dans les logs/traces• Développement d'un BotNet VoIP • Honeypot VoIP : Artemisa
Risk management dans les réseaux VoIP• Design et développement d'un IDS VoIP• Modélisation du risque dans les infrastructures VoIP• Stratégie de gestion des risques avec mise en œuvre dynamique de contre-mesures • Prototype fonctionnel implémenté dans Asterisk
14
![Page 15: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/15.jpg)
Sécurité des réseaux P2P
Monitoring et protection du réseau KAD• Design d'algorithmes et d'une infrastructure permettant la supervision du réseau KAD
au niveau d'Internet• Prise de contrôle de l'indexation des ressources par attaque Sybille• Logs anonymisés des activités de publication et de recherche• Collaboration avec la Gendarmerie Nationale pour l'application à la supervision de
mots clés pédophiles• Définition d'un système de protection contre les attaques Sybille
15
![Page 16: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/16.jpg)
Sécurité des réseaux de demainSécurité des réseaux IPv6
• NDPMon, Neighbor Discovery Protocol Monitor
• Version IPv6 d'ArpWatch avec fonctionnalités additionnelles
• Supervision du Neighbor Discovery Protocol (NDP)
• Nouvelle station, changement d'adresse...
• Détection d'attaques contre le NDP
• Usurpation d'identité, DoS, mauvaises annonces réseau...
• Historique du pairing adresses IPv6 et Ethernet
• Permet de tracer les stations Windows utilisant IPv6
• Alertes configurables
16
![Page 17: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/17.jpg)
Travaux en cours et futurs
Modélisation de flux réseaux malicieux• Analyse et corrélation des flux et paquets réseaux collectés• Classification des malwares selon leurs mécanismes de propagation• Mise en œuvre de nouveaux mécanismes de défense périmétrique
• Extension Snort ?
Supervision des services : DNS• Analyse passive des requêtes DNS récursives
• Traces du télescope et du réseau de l'Inria Nancy – Grand Est• Anonymisation des adresses• Audit des logs pour détecter le trafic malicieux
• Classification et clustering automatique des domaines malicieux• Communications avec contrôleurs de Botnets ou serveurs hébergeant des
malwares identifiées « in the wild »• Objectif
• Ouvrir et proposer le service au public
17
![Page 18: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/18.jpg)
Calculabilité, complexité et virologie (équipe Carte)
Deux axes thématiques• Calculabilité et complexité :
• calculs analogues, • terme de sécurité de réécriture, • algorithme robuste et distribuées, • théorie des jeux algorithmiques, • complexité implicite computationnelle.
• Virologie :• Détection des codes auto-modifiants• Neutralisation d'un botnet• Étude morphologique sur les malwares• Réalisation d'un antivirus
18
Jean-Yves Marion
![Page 19: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/19.jpg)
Détection des codes auto-modifiants
Mise en évidence des vagues de traitement• Représentation des phases d'exécution
19
![Page 20: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/20.jpg)
Détection des codes auto-modifiants
20
![Page 21: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/21.jpg)
Neutralisation du botnet Waledac
Wikipédia• Waledac est présenté comme l'un des dix plus
importants botnets aux État-Unis, mais constitué de centaines de milliers d'ordinateurs infectés à travers le monde. Des ordinateurs zombies principalement utilisés à leur insu pour inonder la planète de spam, à raison de plus de 1,5 milliard de messages par jour !
Exploitation d'une erreur de conception• La liste des machines à contacter (les protecteurs) était
triée par ordre d'importance !
21
![Page 22: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/22.jpg)
Neutralisation du botnet Waledac
22
![Page 23: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/23.jpg)
Neutralisation du botnet Waledac
23
![Page 24: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/24.jpg)
Étude morphologique de malwares
Élaboration du graphe de flot de contrôle (CFG) • Scan direct du binaire (analyse statique)• Exécution du binaire en environnement (analyse
dynamique)• Application des réductions
24
![Page 25: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/25.jpg)
Étude de malwares par sa morphologie
Recherche du sous-graphe dans un autre CFG • Le graphe une fois réduit va servir de signature
25
![Page 26: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/26.jpg)
Application aux trojans Stuxnet - Duqu
26
![Page 27: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/27.jpg)
Application aux trojans Stuxnet - Duqu
27
![Page 28: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/28.jpg)
Application aux trojans Stuxnet - Duqu
28
![Page 29: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/29.jpg)
Quelques résultats
29
Allaple.AAllaple.B
Allaple.DAllaple.E
AutoIt.rCosmu.abix
Kido.buKido.ih
Texel.k
0
10000
20000
30000
40000
50000
60000
Détection statique
EchantillonsSignaturesGraphe trop petitDétectésFaux négatifs
Allaple.AAllaple.B
Allaple.DAllaple.E
AutoIt.rCosmu.abix
Kido.buKido.ih
Texel.k
0
10000
20000
30000
40000
50000
60000
Détection dynamique
EchantillonsSignaturesGraphe trop petitDétectésFaux négatifs
Allaple.BAllaple.DAllaple.EAutoIt.rCosmu.abixKido.buKido.ihObfuscated.genVirut.avMalwaresTexel.kKido.bj
![Page 30: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/30.jpg)
Travaux en cours et futurs
Améliorations de l'antivirus• Au niveau performances (taille de la base de données, vitesse de recherche de
sous-graphes, etc.)• Le proposer sous forme d'un Service Web (« in the cloud »)• Support des techniques de « dépackage » (unpack)• Développer un module Kernel ou interne à l'hyperviseur (virtualisation) pour scanner
en permanence la mémoire• Prise en compte des techniques anti-débuggage
Collection de malwares• Capturer ou collecter encore plus d'échantillons de malwares• Affiner la base de signatures (suppression des faux positifs)
30
![Page 31: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/31.jpg)
Merci de votre attention
31Frédéric Beck (SED) & Olivier Festor (Madynes)Fabrice Sabatier & Jean-Yves Marion (Carte) CLUSIR Est - 15 Décembre 2011
![Page 32: Laboratoire de Haute Sécurité - CLUSIR-Estclusir-est.org/resources/LHS.pdf · Traces réseau • 5,7 To de données PCAP • 88 Go de flux NetFlow ... • Première ligne de défense](https://reader035.vdocuments.net/reader035/viewer/2022071401/60eb79dfeccf0e77ce36b1a6/html5/thumbnails/32.jpg)
Contacts
Équipe projet Madynes• Olivier Festor – [email protected]• Isabelle Chrisment – [email protected]• http://madynes.loria.fr
Équipe projet Carte• Jean-Yves Marion – [email protected]• Guillaume Bonfante – [email protected]• Fabrice Sabatier – [email protected]• http://carte.loria.fr
Service Expérimentations et Développements• Frédéric Beck – [email protected]• http://lhs.loria.fr• https://sed-ncy.inria.fr/
32