Beruflich Dokumente
Kultur Dokumente
Mohamed CHINY - Anas ABOU EL KALAM - Abdellah AIT OUAHMAN Laboratoire OSCARS ENSA de Marrakech
Plan
Introduction Pot de miel (honeypot) Architecture Honeymole Rsultats obtenus Conclusion et perspectives
Introduction
JNS2
Les systmes informatiques sont devenus des moyens incontournables qui assurent des services vitaux sur lesquels reposent lconomie des tats et entreprises. Ces systmes ont tir grand profit de leurs mise en rseau assurant ainsi partage, communication et ouverture peine imaginable. Ils sont, en contre partie, convoits par des individus qui cherchent compromettre leur fonctionnement normal en cherchant violer leur confidentialit, intgrit et disponibilit. Ces individus sont soit des script kiddies ou des pirates chevronns.
3
Introduction
JNS2
Depuis un peu plus dune dcennie le Maroc connait une croissance considrable dans le domaine de linformatique. Cette croissance est perceptible sur les plans personnels, professionnels , organisationnels et administratifs. Par consquent, les menaces relevant de la cybercriminalit ont galement volu. Cependant il nexiste au Maroc, notre connaissance, aucune tude qui a pu quantifier avec prcision les paramtres relatifs la cybercriminalit.
Introduction
Les administrateurs rseau, de leur cot, se basent sur lexprience passe pour identifier les menaces. Pour tablir des contre-meruses:
ils font appel, soit des solutions cl en main dveloppes par des entreprise spcialises et qui publient priodiquement des mises jours pour leurs solutions (antivirus, IDS, IPS) ils tablissent des rgles de scurit sur leurs firewall contre les vulnrabilits connues ils appliquent des patchs dvelopps par les constructeurs des systmes
JNS2
Mais, ils ne personnalisent pas les rgles de scurit selon leur propres besoin, en fonction des menaces rels qui mettent en pril leurs systmes informatiques, car aucune source dinformation sur ces menaces ne leur est disponible.
5
Introduction
JNS2
Dans ce contexte nous avons men une tude permettant dvaluer, sur une chelle rduite mais avec assez de prcision, les actions de la cybercriminalit visant un tablissement universitaire marocain qui est lENSA de Marrakech. Nous avons utilis des pots de miels (honeypots) bass sur la technologie Honeymole en collaboration avec lUniversit de Maryland. Pour la premire fois au Maroc, nous avons pu identifier les menaces relles compromettant une cible bien prcise.
En 2002 Lance Spitzner a dfini les honeypots comme tant "une ressource pour la scurit dont lutilit est dtre sonde, attaque ou compromise". Un honeypot na donc aucune valeur de prodoction, et toute interaction avec lui est considre comme suspecte. Il sagit dun systme de leurre et dtude et contient des vulnrabilits intentionnelles pour motiver les pirates le compromettre.
JNS2
JNS2
JNS2
Un honeypot de leurre permet de dtourner lattention des pirates des serveurs de production prsents dans le rseau. Un honeypot dtude (ou de recherche) permet dtudier les dmarches des pirates pour compromettre un systme et valuer les motivations, techniques, niveau de collaboration et rpartition gographique des attaquants. Notre tude sinteresse au deuxime point.
JNS2
Suivant le niveau dinteraction avec le pirate on dnombre trois types de honeypots: Honeypot faible interaction: Systme et services virtuels qui interagissent avec le pirate comme tant de vritables services (Ex: Honeyd) Honeypot haute interaction: Un vrai systme qui execute de vrais services. Ce type de honeypot offre de plus grandes possibilits (Ex: Nepenthes) Honeypot interaction moyenne: Systme et services virtuels mais plus sophistiqus et plus ouverts (Ex: Sebek)
10
Honeymole
Secure Ethernet Bridge over TCP/IP
Pour notre tude nous avons utilis des honeypots faible interaction qui se basent sur la technologie Honeymole.
JNS2
Architecture Honeymole
11
Honeymole
http://www.honeynet.org.pt/index.php/HoneyMole
JNS2
Architecture de honeypots distribus (Honeynet ou honeypot farm) Utilise des sondes (honeypots virtuels) mis en place sur le rseau tudier (ENSA), pour collecter le trafic et le renvoyer travers un tunnel chiffr vers un serveur qui contrle un ensemble de honeypots (situs lUniversit de Maryland). Il offre la possibilit de mettre en place autant de sondes que lon souhaite, donc autant de honeypots dsirs, ce qui permet de recueillir de meilleurs rsultats, avec le minimum de ressources.
12
JNS2
Extrait de ports ouverts sur les deux honeypots
13
Rsultats obtenus
JNS2
Le nombre de sources volue dans un rythme irrgulier mais manifeste des piques assez importants laissant penser que des tentatives de DoS sont menes par les attaquants.
14
Rsultats obtenus
JNS2
Evolution de nombre de source mettrices de paquets en destination des honeypots durant le mois de novembre 2011.
15
Rsultats obtenus
JNS2
Loutil AfriNic dont les services sont sollicits par DarkNoc (Plate forme de supervision des honeypots) permet didentifier les pays dorigine des attaques mens contres notre rseau. Sans surprise les Etats Unies et la Chine occupent les premires places avec plus de 50% de lensemble des attaques infliges.
16
Rsultats obtenus
JNS2
Pays dorigine des attaques menes contre les honeypots de lENSA
17
Rsultats obtenus
JNS2
A noter que le Maroc occupe la troisime place. Il y a quelque temps il tait en 5me place. Les attaques provenant du Maroc sont ngligeable devant les autres pays sur lensemble des rsultats concernant le Honeynet. Ceci prouve que les pirates marocains sont plutt intresss par les systmes informatiques locaux.
18
Rsultats obtenus
JNS2
Pays dorigine des attaques menes contre lensemble du Honeynet
19
Rsultats obtenus
Ports cibls
Numro de port 993 TCP 465 TCP 995 TCP 143 TCP 88 TCP 42 TCP 119 TCP Service IMAPS URD POP3S IMAP KERBEROS NAMESERVER NNTP GS400-NAS FTP Nbr doccurrences 51 51 51 49 47 47 47 47 43
JNS2
20
Rsultats obtenus
Ports cibls
JNS2
Les ports les plus cibls sur lensemble du honeynet
21
Rsultats obtenus
Evnements SNORT
JNS2
Nombre dattaques dtects par SNORT durant les deux premire semaine de novembre 2011
22
Rsultats obtenus
Signatures dattaques
Nbr 708 536 190 120 111 97 48 48 48 36 36 24 24 24 20 12 5 3 2 Taux % 33.84 25.62 9.08 5.74 5.31 4.64 2.29 2.29 2.29 1.72 1.72 1.15 1.15 1.15 0.96 0.57 0.24 0.14 0.1
Signature POLICY remote desktop protocol attempted administrator connection request SHELLCODE x86 inc ebx NOOP P2P BitTorrent transfer SCAN Proxyfire.net anonymous proxy scan FINGER 0 query FINGER null request NETBIOS DCERPC NCACN-IP-TCP ISystemActivator RemoteCreateInstance attempt SHELLCODE x86 NOOP SHELLCODE x86 OS agnostic xor dword decoder SPECIFIC-THREATS McAfee ePolicy Orchestrator Framework Services buffer overflow attempt
Signatures dattaques dtects par SNORT sur les honeypots installs lENSA.
JNS2
FINGER remote command execution attempt FINGER remote command pipe execution attempt FINGER version query RPC portmap listing UDP 111 FINGER redirection attempt RPC portmap listing TCP 111 RSERVICES rexec username overflow attempt RSERVICES rexec password overflow SCAN Amanda client-version request
23
Rsultats obtenus
Signatures dattaques
JNS2
Rpartition des signatures dattaques dtects sur les honeypots installs lENSA
24
Rsultats obtenus
Signatures dattaques
JNS2
Rpartition des signatures dattaques dtects lensemble du Honeynet
25
Rsultats obtenus
Tentative daquesition des droits de ladministrateur via le protocole RDP Tentatives de dbordement de tempon Tentative de listing des utilisateurs systme Peu de tentatives de dni de service
JNS2
26
Rsultats obtenus
JNS2
Les attaques sont plutt mens par des personnes isols. Il ny a pas de collaboration perceptible entre les attaquant. Les attaquant visent, surtout, compromettre la confidentialit des donnes en essayant dacqurir les droits de ladministrateur, ou lister les utilisateurs ou encore excuter des shellcodes pour avoir un accs non autoris aux systmes.
27
Conclusion
Daprs les rsultats obtenus par les honeypots nous concluions que: Les motivations des pirates changent en fonction du rseau attaqu (les ports cibls et les signatures dattaques ne sont pas les mme sur les honeypots de lENSA et le reste du Honeynet, sachant que les vulnrabilits sont pratiquement les mmes sur tous les honeypots). En dpit de lvolution des actions de la cybercriminalit au Maroc, celui-ci ne constitue pas une cible qui peut sgaler lEurope ou les Etats-Unis (vu le nombre doccurrences dtects sur les honeypots des diffrents partenaires).
28
JNS2
Perspectives
JNS2
Notre travail principal porte sur la conception dune nouvelle gnration dIDS capable danticiper les menaces avant leur arrive sur le rseaux scuriser. Pour cela, nous envisageons utiliser des agents capables de collecter les informations sur les rseaux ennemi. Lidentification des rseaux ennemi est assure par les honeypots installs lENSA. Nos prochains travaux aborderons la conception dtaille de cette nouvelle approche.
29
Merci
JNS2
30