Transcript SSTIC05-Roger-Anti_forensic
Slide 1
Ministère de la Défense
DGA/DET/CELAR
[email protected]
Slide 2
Anti-forensic
Définition
Historique
Processus
Modélisation
Conclusion
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 3
Définition
Anti-forensic
:
procédures et techniques ayant pour
objectif de limiter les moyens d ’enquête ou
d ’examen d ’un système
moyens : détruire, camoufler, modifier des
traces , prévenir la création de traces
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 4
Nombre de publications
9
8
7
6
5
4
3
2
1
0
1999
MINISTÈRE DE LA DÉFENSE
2001
2002
DGA/DET/CELAR
2003
2004
03-06-05
2T 2005
Diapositive N°‹#›
Slide 5
Historique
A tta c k S o p h is tic a tio n v s .
In tru d e r T e ch n ic a l K n o w le d ge
C ro s s s ite s c rip tin g
T o o ls
“s te a lth ” / a d v a n c e d
s c a n n in g te c h n iq u e s
H ig h
p a c k e t s p o o fin g
d e n ia l o f s e rv ic e
d is trib u te d
a tta c k to o ls
s n iffe rs
In tru d e r
K n o w le d g e
s w e e p e rs
w w w a tta c k s
a u to m a te d p ro b e s /s c a n s
GUI
b a c k d o o rs
n e tw o rk m g m t. d ia g n o s tic s
d is a b lin g a u d its
b u rg la rie s
A tta c k
S o p h is tic a tio n
h ija c k in g
s e s s io n s
e x p lo itin g k n o w n v u ln e ra b ilitie s
p a s s w o rd c ra c k in g
s e lf-re p lic a tin g c o d e
A tta c k e rs
p a s s w o rd g u e s s in g
Low
1980
1985
1990
1995
In te llig e nc e - p a g e 8
© 2 0 0 1 b y C a r ne g ie M e llo n U n ive rs ity
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
2000
03-06-05
Diapositive N°‹#›
Slide 6
Historique
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 7
Historique
Hit
parade des moyens (nombre de citations
dans les publications examinées)
Camouflage : 12
Destruction : 10
Modification : 10
Prévention des traces : 3
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 8
Activités de l’attaquant
Action
Menaces
Camouflage
Installation
Vulnérabilités
Intrusion
Espionnage
Exploration
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
Valeurs
03-06-05
Diapositive N°‹#›
Slide 9
Processus forensique
Identification d’activité
Menaces
Acquisition
Préservation
Vulnérabilités
Analyse
Identification des preuves
Présentation
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Valeurs
Diapositive N°‹#›
Slide 10
Mise en parallèle
Identification d’activité
Menaces
Acquisition
Camouflage
Préservation
Installation
Analyse
Vulnérabilités
Présentation
DGA/DET/CELAR
Intrusion
Espionnage
Identification des preuves
MINISTÈRE DE LA DÉFENSE
Action
Valeurs
03-06-05
Exploration
Diapositive N°‹#›
Slide 11
Etape 1 - identification d’activité
Moyens anti-forensic
Identification d’activité
Action
Acquisition
Camouflage
Préservation
Installation
Contraception
Analyse
Intrusion
Camouflage
Identification des preuves
Espionnage
Légitimité
Présentation
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
Exploration
03-06-05
Diapositive N°‹#›
Slide 12
Etape 1 - identification d’activité
Légitimité
-Ingénierie sociale
-Requêtes du système
Camouflage
- Obfuscation ou suppression des traces
d’activité système ou réseaux -> demo evt
Contraception
- Minimisation des traces d’activité système ou réseaux
- Utilisation des supports les plus volatiles
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 13
Etape 2 - acquisition
Moyens anti-forensic
MINISTÈRE DE LA DÉFENSE
Identification d’activité
Action
Acquisition
Camouflage
Destruction
Préservation
Installation
Contraception
Analyse
Intrusion
Identification des preuves
Espionnage
Présentation
Exploration
DGA/DET/CELAR
03-06-05
Camouflage
Diapositive N°‹#›
Slide 14
Etape 2 – acquisition
Camouflage
Supports de stockage inhabituels
Téléphones portables (SIM, flash, SD)
Disques durs enfouis (magnétoscope, console de jeux …)
Montres, autoradios
Clés USB
Balladeurs
ATA : Device Configuration Overlay T5K80_spv2.1.pdf
Image courtesy of www.scit.wlv.ac.uk
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 15
Etape 2 - acquisition
Destruction
Courtesy of PC911- Alex MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 16
Etape 3 - préservation
Moyens anti-forensic
MINISTÈRE DE LA DÉFENSE
Identification d’activité
Action
Acquisition
Camouflage
Destruction
Préservation
Installation
Camouflage
Analyse
Intrusion
Identification des preuves
Espionnage
Présentation
Exploration
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 17
Etape 3 – préservation
Camouflage
Collision
de hash -> démo stripwire
fire.bin = vec1 + AES [charge, sha1(vec1)]
ice.bin = vec2 + AES [charge, sha1(vec1)]
MD5(fire.bin) = MD5(ice.bin)
Action
Dan Kaminsky - MD5 to be considered harmful someday
Attaques
MINISTÈRE DE LA DÉFENSE
spécifiques sur les produits
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 18
Etape 3 - préservation
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Destruction
Diapositive N°‹#›
Slide 19
Etape 4 – 5 - 6
Moyens anti-forensic
MINISTÈRE DE LA DÉFENSE
Identification d’activité
Action
Acquisition
Camouflage
Préservation
Installation
Analyse
Intrusion
Identification des preuves
Espionnage
Présentation
Exploration
DGA/DET/CELAR
03-06-05
Destruction
Camouflage
Diapositive N°‹#›
Slide 20
Etape 4 – analyse
Camouflage
Etape 5 – identification des preuves
Modification
de l’intégrité du système
sans modification de fichier :
Ajout d’un seul fichier au démarrage
Fichier non existant au démarrage
Obfuscation,
chiffrement, polymorphisme
Brouillage de la limite entre code et
données
Forensic Discovery - Dan Farmer et Wietse Venema
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 21
Etape 6 – présentation
Comment expliquer à des personnes
non techniques les moyens utilisés
par l’attaquant ?
-> projet SIRAGE : simulateur de
restitution de scénario d’agression
Comment être certain de l’identité de
l’attaquant ? de sa volonté de nuire ou de
ses motivations (« syndrome du troyen ») ?
-> projet META : méthodes d’analyse
des traces – thèse Thomas Duval(Supélec)
La présence d’activités spécifiquement anti-forensic peut elle être un
élément à charge ?
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
?
Diapositive N°‹#›
Slide 22
Modélisation (IRF-CMM)
Il est (encore ?) temps pour les organisations de prendre en compte
l’antiforensic dans leur processus de réponse à incident !
Afin de mesurer cette prise en compte et sa dynamique de progrès,
la déclinaison des modèles de maturité CMM (Capability Maturity
Model) sur une thématique spécifique de « réponse à incident et
forensic» nous semble pertinent.
5 - Optimisé
Optimiser
4 - Maîtrisé Améliorer
3 - Défini Mesurer
Manager
Définir
2 - Reproductible
Suivre
1 - Initial Planifier
Contrôler
Coordonner
Réaliser
0 - non réalisé
Surveiller
Brouillard
MINISTÈRE DE LA DÉFENSE
Vérifier
DGA/DET/CELAR
Eveil
Progrès
03-06-05
Sagesse
Plénitude
Diapositive N°‹#›
Slide 23
Modélisation (IRF-CMM)
Ingénierie
de la réponse à
incident et investigation
PA 01 : Administrer la réponse à incident
PA 02 : Evaluer les impacts
PA 03 : Evaluer les risques
PA 04 : Evaluer les menaces
PA 05 : Evaluer les vulnérabilités
PA 06 : Donner l ’assurance de la
réponse à incident
PA 07 : Coordonner la réponse à incident
PA 08 : Contrôler la réponse à incident
PA 09 : Fournir des ressources
PA 10 : Spécifier les besoins de
réponse à incident
PA 11 : Vérifier et valider la réponse à incident
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
Projet et organisation
PA 12 : Assurance qualité
PA 13 : Gestion de configuration
PA 14 : Manager les risques projet
PA 15 : Contrôler et maîtriser l ’effort
technique
PA 16 : Planifier l ’effort technique
PA 17 : Définir les processus d ’ingénierie
système de l ’organisation
PA 18 : Améliorer les processus
d ’ingénierie système de l ’organisation
PA 19 : Manager l ’évolution des
produits ou services
PA 20 : Manager l ’environnement support
de l ’ingénierie des systèmes
PA 21 : Fournir en permanence des
compétences et des connaissances
PA 22 :Coordonner les fournisseurs
03-06-05
Diapositive N°‹#›
Slide 24
Avant dernier transparent
Can a Rootkit hide from RootkitRevealer?
It is theoretically possible for a rootkit to hide from RootkitRevealer.
Doing so would require intercepting RootkitRevealer's reads of Registry
hive data or file system data and changing the contents of the data such
that the rootkit's Registry data or files are not present. However, this
would require a level of sophistication not seen in rootkits to date.
Changes to the data would require both an intimate knowledge of the
NTFS, FAT and Registry hive formats, plus the ability to change data
structures such that they hide the rootkit, but do not cause inconsistent
or invalid structures or side-effect discrepancies that would be flagged
by RootkitRevealer.
RootkitRevealer Help
Copyright (C) 2005 Bryce Cogswell and Mark Russinovich
Sysinternals - www.sysinternals.com
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 25
Conclusion
La
connaissance approfondie des
techniques anti-forensiques permet :
de mettre en place des contre mesures
spécifiques
visant à déclencher des actions de maîtrise
de la sécurité du système
permettant de déceler au plus tôt des
activités nuisibles au processus de réaction
après incident
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 26
Merci de votre attention
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Ministère de la Défense
DGA/DET/CELAR
[email protected]
Slide 2
Anti-forensic
Définition
Historique
Processus
Modélisation
Conclusion
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 3
Définition
Anti-forensic
:
procédures et techniques ayant pour
objectif de limiter les moyens d ’enquête ou
d ’examen d ’un système
moyens : détruire, camoufler, modifier des
traces , prévenir la création de traces
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 4
Nombre de publications
9
8
7
6
5
4
3
2
1
0
1999
MINISTÈRE DE LA DÉFENSE
2001
2002
DGA/DET/CELAR
2003
2004
03-06-05
2T 2005
Diapositive N°‹#›
Slide 5
Historique
A tta c k S o p h is tic a tio n v s .
In tru d e r T e ch n ic a l K n o w le d ge
C ro s s s ite s c rip tin g
T o o ls
“s te a lth ” / a d v a n c e d
s c a n n in g te c h n iq u e s
H ig h
p a c k e t s p o o fin g
d e n ia l o f s e rv ic e
d is trib u te d
a tta c k to o ls
s n iffe rs
In tru d e r
K n o w le d g e
s w e e p e rs
w w w a tta c k s
a u to m a te d p ro b e s /s c a n s
GUI
b a c k d o o rs
n e tw o rk m g m t. d ia g n o s tic s
d is a b lin g a u d its
b u rg la rie s
A tta c k
S o p h is tic a tio n
h ija c k in g
s e s s io n s
e x p lo itin g k n o w n v u ln e ra b ilitie s
p a s s w o rd c ra c k in g
s e lf-re p lic a tin g c o d e
A tta c k e rs
p a s s w o rd g u e s s in g
Low
1980
1985
1990
1995
In te llig e nc e - p a g e 8
© 2 0 0 1 b y C a r ne g ie M e llo n U n ive rs ity
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
2000
03-06-05
Diapositive N°‹#›
Slide 6
Historique
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 7
Historique
Hit
parade des moyens (nombre de citations
dans les publications examinées)
Camouflage : 12
Destruction : 10
Modification : 10
Prévention des traces : 3
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 8
Activités de l’attaquant
Action
Menaces
Camouflage
Installation
Vulnérabilités
Intrusion
Espionnage
Exploration
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
Valeurs
03-06-05
Diapositive N°‹#›
Slide 9
Processus forensique
Identification d’activité
Menaces
Acquisition
Préservation
Vulnérabilités
Analyse
Identification des preuves
Présentation
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Valeurs
Diapositive N°‹#›
Slide 10
Mise en parallèle
Identification d’activité
Menaces
Acquisition
Camouflage
Préservation
Installation
Analyse
Vulnérabilités
Présentation
DGA/DET/CELAR
Intrusion
Espionnage
Identification des preuves
MINISTÈRE DE LA DÉFENSE
Action
Valeurs
03-06-05
Exploration
Diapositive N°‹#›
Slide 11
Etape 1 - identification d’activité
Moyens anti-forensic
Identification d’activité
Action
Acquisition
Camouflage
Préservation
Installation
Contraception
Analyse
Intrusion
Camouflage
Identification des preuves
Espionnage
Légitimité
Présentation
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
Exploration
03-06-05
Diapositive N°‹#›
Slide 12
Etape 1 - identification d’activité
Légitimité
-Ingénierie sociale
-Requêtes du système
Camouflage
- Obfuscation ou suppression des traces
d’activité système ou réseaux -> demo evt
Contraception
- Minimisation des traces d’activité système ou réseaux
- Utilisation des supports les plus volatiles
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 13
Etape 2 - acquisition
Moyens anti-forensic
MINISTÈRE DE LA DÉFENSE
Identification d’activité
Action
Acquisition
Camouflage
Destruction
Préservation
Installation
Contraception
Analyse
Intrusion
Identification des preuves
Espionnage
Présentation
Exploration
DGA/DET/CELAR
03-06-05
Camouflage
Diapositive N°‹#›
Slide 14
Etape 2 – acquisition
Camouflage
Supports de stockage inhabituels
Téléphones portables (SIM, flash, SD)
Disques durs enfouis (magnétoscope, console de jeux …)
Montres, autoradios
Clés USB
Balladeurs
ATA : Device Configuration Overlay T5K80_spv2.1.pdf
Image courtesy of www.scit.wlv.ac.uk
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 15
Etape 2 - acquisition
Destruction
Courtesy of PC911- Alex MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 16
Etape 3 - préservation
Moyens anti-forensic
MINISTÈRE DE LA DÉFENSE
Identification d’activité
Action
Acquisition
Camouflage
Destruction
Préservation
Installation
Camouflage
Analyse
Intrusion
Identification des preuves
Espionnage
Présentation
Exploration
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 17
Etape 3 – préservation
Camouflage
Collision
de hash -> démo stripwire
fire.bin = vec1 + AES [charge, sha1(vec1)]
ice.bin = vec2 + AES [charge, sha1(vec1)]
MD5(fire.bin) = MD5(ice.bin)
Action
Dan Kaminsky - MD5 to be considered harmful someday
Attaques
MINISTÈRE DE LA DÉFENSE
spécifiques sur les produits
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 18
Etape 3 - préservation
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Destruction
Diapositive N°‹#›
Slide 19
Etape 4 – 5 - 6
Moyens anti-forensic
MINISTÈRE DE LA DÉFENSE
Identification d’activité
Action
Acquisition
Camouflage
Préservation
Installation
Analyse
Intrusion
Identification des preuves
Espionnage
Présentation
Exploration
DGA/DET/CELAR
03-06-05
Destruction
Camouflage
Diapositive N°‹#›
Slide 20
Etape 4 – analyse
Camouflage
Etape 5 – identification des preuves
Modification
de l’intégrité du système
sans modification de fichier :
Ajout d’un seul fichier au démarrage
Fichier non existant au démarrage
Obfuscation,
chiffrement, polymorphisme
Brouillage de la limite entre code et
données
Forensic Discovery - Dan Farmer et Wietse Venema
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 21
Etape 6 – présentation
Comment expliquer à des personnes
non techniques les moyens utilisés
par l’attaquant ?
-> projet SIRAGE : simulateur de
restitution de scénario d’agression
Comment être certain de l’identité de
l’attaquant ? de sa volonté de nuire ou de
ses motivations (« syndrome du troyen ») ?
-> projet META : méthodes d’analyse
des traces – thèse Thomas Duval(Supélec)
La présence d’activités spécifiquement anti-forensic peut elle être un
élément à charge ?
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
?
Diapositive N°‹#›
Slide 22
Modélisation (IRF-CMM)
Il est (encore ?) temps pour les organisations de prendre en compte
l’antiforensic dans leur processus de réponse à incident !
Afin de mesurer cette prise en compte et sa dynamique de progrès,
la déclinaison des modèles de maturité CMM (Capability Maturity
Model) sur une thématique spécifique de « réponse à incident et
forensic» nous semble pertinent.
5 - Optimisé
Optimiser
4 - Maîtrisé Améliorer
3 - Défini Mesurer
Manager
Définir
2 - Reproductible
Suivre
1 - Initial Planifier
Contrôler
Coordonner
Réaliser
0 - non réalisé
Surveiller
Brouillard
MINISTÈRE DE LA DÉFENSE
Vérifier
DGA/DET/CELAR
Eveil
Progrès
03-06-05
Sagesse
Plénitude
Diapositive N°‹#›
Slide 23
Modélisation (IRF-CMM)
Ingénierie
de la réponse à
incident et investigation
PA 01 : Administrer la réponse à incident
PA 02 : Evaluer les impacts
PA 03 : Evaluer les risques
PA 04 : Evaluer les menaces
PA 05 : Evaluer les vulnérabilités
PA 06 : Donner l ’assurance de la
réponse à incident
PA 07 : Coordonner la réponse à incident
PA 08 : Contrôler la réponse à incident
PA 09 : Fournir des ressources
PA 10 : Spécifier les besoins de
réponse à incident
PA 11 : Vérifier et valider la réponse à incident
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
Projet et organisation
PA 12 : Assurance qualité
PA 13 : Gestion de configuration
PA 14 : Manager les risques projet
PA 15 : Contrôler et maîtriser l ’effort
technique
PA 16 : Planifier l ’effort technique
PA 17 : Définir les processus d ’ingénierie
système de l ’organisation
PA 18 : Améliorer les processus
d ’ingénierie système de l ’organisation
PA 19 : Manager l ’évolution des
produits ou services
PA 20 : Manager l ’environnement support
de l ’ingénierie des systèmes
PA 21 : Fournir en permanence des
compétences et des connaissances
PA 22 :Coordonner les fournisseurs
03-06-05
Diapositive N°‹#›
Slide 24
Avant dernier transparent
Can a Rootkit hide from RootkitRevealer?
It is theoretically possible for a rootkit to hide from RootkitRevealer.
Doing so would require intercepting RootkitRevealer's reads of Registry
hive data or file system data and changing the contents of the data such
that the rootkit's Registry data or files are not present. However, this
would require a level of sophistication not seen in rootkits to date.
Changes to the data would require both an intimate knowledge of the
NTFS, FAT and Registry hive formats, plus the ability to change data
structures such that they hide the rootkit, but do not cause inconsistent
or invalid structures or side-effect discrepancies that would be flagged
by RootkitRevealer.
RootkitRevealer Help
Copyright (C) 2005 Bryce Cogswell and Mark Russinovich
Sysinternals - www.sysinternals.com
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 25
Conclusion
La
connaissance approfondie des
techniques anti-forensiques permet :
de mettre en place des contre mesures
spécifiques
visant à déclencher des actions de maîtrise
de la sécurité du système
permettant de déceler au plus tôt des
activités nuisibles au processus de réaction
après incident
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›
Slide 26
Merci de votre attention
MINISTÈRE DE LA DÉFENSE
DGA/DET/CELAR
03-06-05
Diapositive N°‹#›