JNS2

Journes Nationales de la Scurit JNS2

Evaluation de la cybercriminalit au Maroc

Cas dun tablissement universitaire ENSA de Marrakech

Mohamed CHINY - Anas ABOU EL KALAM - Abdellah AIT OUAHMAN Laboratoire OSCARS ENSA de Marrakech

Plan

Introduction Pot de miel (honeypot) Architecture Honeymole Rsultats obtenus Conclusion et perspectives

Introduction

JNS2

Les systmes informatiques sont devenus des moyens incontournables qui assurent des services vitaux sur lesquels reposent lconomie des tats et entreprises. Ces systmes ont tir grand profit de leurs mise en rseau assurant ainsi partage, communication et ouverture peine imaginable. Ils sont, en contre partie, convoits par des individus qui cherchent compromettre leur fonctionnement normal en cherchant violer leur confidentialit, intgrit et disponibilit. Ces individus sont soit des script kiddies ou des pirates chevronns.
3

Introduction

JNS2

Depuis un peu plus dune dcennie le Maroc connait une croissance considrable dans le domaine de linformatique. Cette croissance est perceptible sur les plans personnels, professionnels , organisationnels et administratifs. Par consquent, les menaces relevant de la cybercriminalit ont galement volu. Cependant il nexiste au Maroc, notre connaissance, aucune tude qui a pu quantifier avec prcision les paramtres relatifs la cybercriminalit.

Introduction

Les administrateurs rseau, de leur cot, se basent sur lexprience passe pour identifier les menaces. Pour tablir des contre-meruses:
ils font appel, soit des solutions cl en main dveloppes par des entreprise spcialises et qui publient priodiquement des mises jours pour leurs solutions (antivirus, IDS, IPS) ils tablissent des rgles de scurit sur leurs firewall contre les vulnrabilits connues ils appliquent des patchs dvelopps par les constructeurs des systmes

JNS2

Mais, ils ne personnalisent pas les rgles de scurit selon leur propres besoin, en fonction des menaces rels qui mettent en pril leurs systmes informatiques, car aucune source dinformation sur ces menaces ne leur est disponible.
5

Introduction

JNS2

Dans ce contexte nous avons men une tude permettant dvaluer, sur une chelle rduite mais avec assez de prcision, les actions de la cybercriminalit visant un tablissement universitaire marocain qui est lENSA de Marrakech. Nous avons utilis des pots de miels (honeypots) bass sur la technologie Honeymole en collaboration avec lUniversit de Maryland. Pour la premire fois au Maroc, nous avons pu identifier les menaces relles compromettant une cible bien prcise.

Pot de miel (Honeypot)

En 2002 Lance Spitzner a dfini les honeypots comme tant "une ressource pour la scurit dont lutilit est dtre sonde, attaque ou compromise". Un honeypot na donc aucune valeur de prodoction, et toute interaction avec lui est considre comme suspecte. Il sagit dun systme de leurre et dtude et contient des vulnrabilits intentionnelles pour motiver les pirates le compromettre.

JNS2

Pot de miel (Honeypot)

JNS2

Pot de miel (Honeypot)

JNS2

Un honeypot de leurre permet de dtourner lattention des pirates des serveurs de production prsents dans le rseau. Un honeypot dtude (ou de recherche) permet dtudier les dmarches des pirates pour compromettre un systme et valuer les motivations, techniques, niveau de collaboration et rpartition gographique des attaquants. Notre tude sinteresse au deuxime point.

Pot de miel (Honeypot)

JNS2

Suivant le niveau dinteraction avec le pirate on dnombre trois types de honeypots: Honeypot faible interaction: Systme et services virtuels qui interagissent avec le pirate comme tant de vritables services (Ex: Honeyd) Honeypot haute interaction: Un vrai systme qui execute de vrais services. Ce type de honeypot offre de plus grandes possibilits (Ex: Nepenthes) Honeypot interaction moyenne: Systme et services virtuels mais plus sophistiqus et plus ouverts (Ex: Sebek)
10

Honeymole
Secure Ethernet Bridge over TCP/IP

Pour notre tude nous avons utilis des honeypots faible interaction qui se basent sur la technologie Honeymole.

JNS2
Architecture Honeymole
11

Honeymole
http://www.honeynet.org.pt/index.php/HoneyMole

JNS2

Architecture de honeypots distribus (Honeynet ou honeypot farm) Utilise des sondes (honeypots virtuels) mis en place sur le rseau tudier (ENSA), pour collecter le trafic et le renvoyer travers un tunnel chiffr vers un serveur qui contrle un ensemble de honeypots (situs lUniversit de Maryland). Il offre la possibilit de mettre en place autant de sondes que lon souhaite, donc autant de honeypots dsirs, ce qui permet de recueillir de meilleurs rsultats, avec le minimum de ressources.
12

Honeypots installs lENSA

Deux honeypots simulant respectivement quelques services de Windows et Linux.

JNS2
Extrait de ports ouverts sur les deux honeypots
13

Rsultats obtenus

Evolution de sources dattaques

JNS2

Evolution de nombre de source mettrices de paquets en destination des honeypots.

Le nombre de sources volue dans un rythme irrgulier mais manifeste des piques assez importants laissant penser que des tentatives de DoS sont menes par les attaquants.
14

Rsultats obtenus

Evolution de sources dattaques

JNS2
Evolution de nombre de source mettrices de paquets en destination des honeypots durant le mois de novembre 2011.

15

Rsultats obtenus

Rpartition gographique des attaquants

JNS2

Loutil AfriNic dont les services sont sollicits par DarkNoc (Plate forme de supervision des honeypots) permet didentifier les pays dorigine des attaques mens contres notre rseau. Sans surprise les Etats Unies et la Chine occupent les premires places avec plus de 50% de lensemble des attaques infliges.

16

Rsultats obtenus

Rpartition gographique des attaquants

JNS2
Pays dorigine des attaques menes contre les honeypots de lENSA

17

Rsultats obtenus

Rpartition gographique des attaquants

JNS2

A noter que le Maroc occupe la troisime place. Il y a quelque temps il tait en 5me place. Les attaques provenant du Maroc sont ngligeable devant les autres pays sur lensemble des rsultats concernant le Honeynet. Ceci prouve que les pirates marocains sont plutt intresss par les systmes informatiques locaux.

18

Rsultats obtenus

Rpartition gographique des attaquants

JNS2
Pays dorigine des attaques menes contre lensemble du Honeynet

19

Rsultats obtenus

Ports cibls
Numro de port 993 TCP 465 TCP 995 TCP 143 TCP 88 TCP 42 TCP 119 TCP Service IMAPS URD POP3S IMAP KERBEROS NAMESERVER NNTP GS400-NAS FTP Nbr doccurrences 51 51 51 49 47 47 47 47 43

JNS2

1023 TCP 21 TCP

Les ports les plus cibls sur les honeypots de lENSA

20

Rsultats obtenus

Ports cibls

JNS2
Les ports les plus cibls sur lensemble du honeynet

21

Rsultats obtenus

Evnements SNORT

JNS2
Nombre dattaques dtects par SNORT durant les deux premire semaine de novembre 2011
22

Rsultats obtenus

Signatures dattaques
Nbr 708 536 190 120 111 97 48 48 48 36 36 24 24 24 20 12 5 3 2 Taux % 33.84 25.62 9.08 5.74 5.31 4.64 2.29 2.29 2.29 1.72 1.72 1.15 1.15 1.15 0.96 0.57 0.24 0.14 0.1

Signature POLICY remote desktop protocol attempted administrator connection request SHELLCODE x86 inc ebx NOOP P2P BitTorrent transfer SCAN Proxyfire.net anonymous proxy scan FINGER 0 query FINGER null request NETBIOS DCERPC NCACN-IP-TCP ISystemActivator RemoteCreateInstance attempt SHELLCODE x86 NOOP SHELLCODE x86 OS agnostic xor dword decoder SPECIFIC-THREATS McAfee ePolicy Orchestrator Framework Services buffer overflow attempt

Signatures dattaques dtects par SNORT sur les honeypots installs lENSA.

JNS2

FINGER remote command execution attempt FINGER remote command pipe execution attempt FINGER version query RPC portmap listing UDP 111 FINGER redirection attempt RPC portmap listing TCP 111 RSERVICES rexec username overflow attempt RSERVICES rexec password overflow SCAN Amanda client-version request

23

Rsultats obtenus

Signatures dattaques

JNS2
Rpartition des signatures dattaques dtects sur les honeypots installs lENSA
24

Rsultats obtenus

Signatures dattaques

JNS2
Rpartition des signatures dattaques dtects lensemble du Honeynet
25

Rsultats obtenus

Les attaques les plus marquantes

Tentative daquesition des droits de ladministrateur via le protocole RDP Tentatives de dbordement de tempon Tentative de listing des utilisateurs systme Peu de tentatives de dni de service

JNS2

26

Rsultats obtenus

Interprtation des rsultats

JNS2

Les attaques sont plutt mens par des personnes isols. Il ny a pas de collaboration perceptible entre les attaquant. Les attaquant visent, surtout, compromettre la confidentialit des donnes en essayant dacqurir les droits de ladministrateur, ou lister les utilisateurs ou encore excuter des shellcodes pour avoir un accs non autoris aux systmes.

27

Conclusion
Daprs les rsultats obtenus par les honeypots nous concluions que: Les motivations des pirates changent en fonction du rseau attaqu (les ports cibls et les signatures dattaques ne sont pas les mme sur les honeypots de lENSA et le reste du Honeynet, sachant que les vulnrabilits sont pratiquement les mmes sur tous les honeypots). En dpit de lvolution des actions de la cybercriminalit au Maroc, celui-ci ne constitue pas une cible qui peut sgaler lEurope ou les Etats-Unis (vu le nombre doccurrences dtects sur les honeypots des diffrents partenaires).

28

JNS2

Perspectives

JNS2

Notre travail principal porte sur la conception dune nouvelle gnration dIDS capable danticiper les menaces avant leur arrive sur le rseaux scuriser. Pour cela, nous envisageons utiliser des agents capables de collecter les informations sur les rseaux ennemi. Lidentification des rseaux ennemi est assure par les honeypots installs lENSA. Nos prochains travaux aborderons la conception dtaille de cette nouvelle approche.

29

Merci

JNS2

30