Se préparer pour l’inforensique en directSébastien Bourdon-RichardGRCGroupe Intégré de la Criminalité Technologique

Martin SaloisRDDC ValcartierGroupe Robustesse et analyse des logiciels

3-4 octobre 2011Entretiens Jacques CartierColloque sur la sécurité informatique,l’inforensique et la lutte contre la cybercriminalitéUniversité Concordia, Montréal, Québec Canada

Gendarmerie Royale du CanadaRoyal Canadian Mounted Police

(NON-CONTROLLED GOODS) DMC AREVIEW: GCEC APRIL 2011

2

Techniques permettant de collecter, de conserver et d’analyser les données contemporaines d’un système opérationnel

Ces données recueillies correspondent à l’état du système à un moment précisL’exécution de ces techniques doivent respecter certaines procédures afin d’être plus facilement présentées à la cour

3

Plan de match

Motivation: Pourquoi l’inforensique en direct?1ère partie: Enquête criminelle– Critères de validité/volatilité– Outils testés– Outils à tester

2ème partie: Réponse aux cyber incidents– « Quiconque veut entrer entre »– Outils d’inforensique

traditionnels déficients pource genre d’analyse

– Exemple réel– Préparation pour la réponse

aux incidents en direct– Produits prometteurs

Conclusions

4

Enquête criminelle

PARTIE I

5

Présentation du projet

Solution d’acquisition et d’analyse des données volatilesSolution scientifiquement reproductible preuves numériques volatiles admissibles à la courSolution facilement utilisable par tous les enquêteurs des crimes technologiques au Canada

Objectifs du projet

1) Validation des outils d’acquisition de données volatiles et de la mémoire vive

2) Validation des outils d’analyse de la mémoire vive

3) Cas appliqués: extraction de données de la mémoire vive

6

Collaboration

Entente de 3 ans signée entre la GRC et RDDC Valcartier

Soutenue par le Centre Canadien de Recherches Policières

Les techniques développées dans le projet sont enseignées au Collège Canadien de Police

7

Motivations

Données perdues lors de la mise hors tensionProcédures actuelles orientées disque durLimitations d’une investigation post-mortem contournées– Systèmes/fichiers chiffrés– Connexions réseau/Stockage en ligne (cloud)– Clavardage sans sauvegarde

Réponse plus rapide aux incidents (maliciels actifs)

Ordinateur suspect opérationnel

Mise hors tension et analyse post-mortem

Inforensiqueen direct

8

L’inforensique en direct

L’inforensique en direct

Analyse en direct

Données importantesdu disque dur

Collecte des données volatiles

Données perdues quand l’ordinateur est éteint

Recherche de périphériques (ex:

historique USB branchés)

Utile lors de l’interrogatoire (ex: utilisateurs connectés,

historique sites web, …)

Complément auforensique traditionnel

Permet d’effectuer une corrélation avec les

données du disque dur

9

Objectifs techniquesde l’inforensique en direct

Modification minimale du système suspect

Solution scientifiquement reproductible preuves numériques volatiles admissibles à la cour

Utilisation minimale des fonctions du système suspect

Respect de l’ordre de volatilité

Intervention minimale de l’enquêteur avec le système suspect (minimisation du risque d’erreur)

10

Arguments contre

Modifie la «preuve»: VRAIAjoute de la «preuve»: VRAIDétruit de la «preuve»: VRAIPeut activer une «bombe logique»: VRAIN’est peut-être pas requis pour gagner un procès à la cour: VRAI…dans plusieurs cas…

L’inforensique en direct

11

Arguments pour

Modifie la «preuve»: VRAI (ex: prise d’empreintes, moulage de pneus/pieds)

Ajoute de la «preuve»: VRAI (ex: entrer sur une scène de crime laisse des traces)

Détruit de la «preuve»: VRAI (ex: analyse de l’ADN)

Une «bombe logique» est peut-être déjà active: VRAI (ex: Rootkit)

La criminalistique traditionnelle

L’inforensique en direct peut être requise pour gagner un procès à la cour: VRAI(ex: système complètement chiffré…)

12

Capture de la mémoire vive

Matérielles+ Indépendance vis-à-vis des codes malicieux+ Aucun impact sur la mémoire du système pendant l’acquisition- Aucune acquisition de pagefile(s)- Certaines solutions doivent être préinstallées

Les procédures d’acquisition de la mémoire vive peuvent être

Logicielles+ Acquisition de pagefile(s)- Dépendance vis-à-vis du système d’exploitation- Espace mémoire requis par les outils peut effacer de la preuve- Droits administrateurs requis

13

Bonnes pratiques

Prendre des notes détaillées

Sauvegarder le plus précisément possible les données

correspondantes à l’état du système

Minimiser le changement sur les données pendant

l’acquisition

Effectuer l’acquisitiondes données les plus volatiles en premier

Ne pas éteindre le PC avant d’avoir terminé l’acquisition et la pré-analyse des données volatiles

Ne pas faire confiance aux programmes

installés sur le système

14

Procédures d’exécution d’une perquisition

ForensiquePost-mortem

2èmeacquisition(si requise)

Pré-analyseAcquisition

inforensiqueen direct

1.Connexion du disque dur USB sur l’ordinateur suspect

2.Exécution des outils d’inforensiqueen direct

3.Connexion en lecture seulement du disque USB sur le PC d’analyse

4.Production du rapport de l’outil

5.Pré-Analyse: - Chiffrement? - Historique USB- Triage…

6.Reconnexion du disque USB sur l’ordinateur suspect

7.Acquisition du disque dur en direct si nécessaire

8.Mise hors tension de l’ordinateur

9.Acquisition du disque dur hors ligne

15

Données pour les preuves à la cour

AdmissiblesConformes à certaines règles légales pour être admises

AuthentiquesPossibilité de les relier à l’incident

FiablesL’acquisition et la manipulation ne doit soulever aucun doute sur l’authenticité et la véracité des preuves

CrédiblesLes preuves doit être crédibles et compréhensibles pour la cour

ComplètesHistoire complète et non seulement une perspective particulière

16

Critères de validation des outilsCritères de validation des outils Sous-critères

R1. Modification minimale du système suite à l’exécution 15R2. Ordre de volatilité respecté lors de l’acquisition 1R3. L’outil effectue l’acquisition des données volatiles système 104R4. Conserve l’intégrité et l’horodatage des preuves volatiles 2R5. Utilisation minimal des fonctions du système actif 2R6. L’outil doit valider les exécutables qu’il utilise 4R7. L’outil doit fonctionner sur différents systèmes d’exploitation 7R8. Fonctionne avec différents niveaux d’authentification 3R9. L’architecture de l’outil doit être modifiable et évolutive 4R10. Intervention minimale de l’usager avec le système actif 1R11. Facilité d’utilisation et polyvalence de l’outil (optionnel) 5R12. Peut effectuer l’analyse rapide d’un système (optionnel) 121

17

Méthodologie de validation

Test #2 Analyser l’impact de chaque processus créé

Test #3 Analyser l’impact sur le pagefile et la mémoire vive

Test #4 Déterminer les dépendances (librairies, exe…)

Test #5 Tester l’efficacité face à un système compromis ou un logiciel corrompu

Test #6 Vérifier que les composantes ne sont pas détectées comme des virus

Test #7 Exécuter sous différents systèmes d’exploitation avec différents comptes utilisateurs

Test #1 Analyser l’impact sur le système de fichier

18

Démo validation automatique

19

Microsoft Windows (toutes les versions après 98)

X-Ways Capture http://www.x-ways.netAgile Risk Management Nigilant32 http://www.agileriskmanagement.comMantech MDD http://sourceforge.net/projects/mdddd/dcfldd/win32dd/win64dd…Cold Boot (solution de dernier recours!)http://cradpdf.drdc-rddc.gc.ca/PDFS/unc108/p534323_A1b.pdf

Capture de la mémoire (outils testés)

http://www.e-fense.com

http://www.f-response.com

FastDump Prohttp://www.hbgary.com

WinEnhttp://www.guidancesoftware.com

FTK Imagerhttp://accessdata.com

20

Capture de la mémoire (outils testés)

Microsoft DOS jusqu’à Windows 98 – Memdump http://www.tssc.de/products/tools/memdump/default.htm

Linux/BSD/Solaris

– Fmem– Memdump http://www.porcupine.org– e-fense Helix3 Pro http://www.e-fense.com– X-Ways Capture http://www.x-ways.net

Apple

– (pas encore testé)Field Editionhttp://www.macmarshal.com

http://pikewerks.com

21

Analyse de la mémoire (à tester)

Microsoft Windows (all versions after 98)

– Crash Dump Analyzer (CDA) & Raw Image Analyzer (RIA)http://cci.cocolog-nifty.com

Responderhttp://www.hbgary.com

Volatility Frameworkhttps://www.volatilesystems.comhttp://www.mandiant.com

22

Analyse de la mémoire (à tester)

Linux

Apple

– volafox http://code.google.com/p/volafox/

http://pikewerks.com

Volatility Frameworkhttps://www.volatilesystems.com

Forensic Editionhttp://www.macmarshal.com

23

Réponse aux cyber incidents

PARTIE II

24

La sécurité traditionnelle ne fonctionne pas à un coût raisonnable

Significant Cyber Incidents Since 2006,Center for Strategic & International Studies, septembre 2011http://csis.org/publication/cyber-events-2006

– 69 attaques ou crimes économiques avec plus de 1M $ de perteAgences gouvernementalesIndustries de défense ou de haute technologie

Revealed: Operation Shady RAT,McAfee, août 2011http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat

– 72 entités compromisesdepuis 5 ans(dont 22 gouv.,13 tech,13 défense)

Si ceux-ci ne peuvent pas se défendre…

25

Tests de pénétration + exploitation

Produits à l’étude(pointe et clique)

Produits similaires(sans la partie exploitation)

http://www.immunitysec.com

http://www.rapid7.com

http://www.coresecurity.com

http://www.tenable.com

http://www.openvas.org

SATANhttp://www.porcupine.org/satan

http://www.saintcorporation.com

etc.

26

Exemple réel

Investigation d’une attaque sur ~3000 machinesPresque tous les ordinateurs suspects ont été débranchésNous avons reçu– 23 images de disque (2.7 téraoctets)

2,318, 468 fichiers détruits – 2 images incomplètes de mémoire– ~75 fichiers suspects

(trouvés par une série d’antivirus et de hash)~20 ont du être analysés manuellement ~10 étaient directement reliés à l’attaque

Une analyse complète d’un seul disque peut prendre plusieurs jours

27

Exemple réel

Leçons apprises– Être prêt d’avance pour répondre à ce genre d’incident– Outils existants non conçus pour ce genre d’analyse

Goulot d’étranglement Plusieurs bons outils mais aucune intégration

– 1 pour réseau, 1 pour disque, 1 pour mémoire…Conçus pour être utilisés par un seul analyste

– Taux de détection très bas des outils actuelsNe détectent pas les APTs et les maliciels inconnus

– Tous ceux qui sont personnalisés pour cibler quelqu’un

– Tous les nouveaux

APT: Advanced Persistent Threat

28

La voie à suivre...

Ne pas fermer les machines– Outils d’analyse à distance, sur l’ordinateur

Nouvelles techniques pour la détection des APTs– Analyse automatisée

(ex. traceur, désobfuscation/dépaquetage)– Analyse de la mémoire

Processus et outils conçus pour la collaborationentre analystes et l’automatisation

Visualisation/indexation intégrées deTOUTE l’information– Disque, mémoire, réseau, commentaires, etc.

29

Produits commerciaux prometteurs

Silicium Security ECAT http://www.siliciumsecurity.com– “Attackers will get through any security system”– Un petit agent sur chaque machine

Fait l’inventaire des exécutables, DLLs et pilotes (drivers)Vérifie les structures internes et les anomalies du systèmeEnvoie l’information récoltée à un serveur pour analyse

– Un serveurCompare les résultats avec un système de référence (baseline)Identifie les bons fichiers grâce à leur signature et Bit9 GSR*Scrute les fichiers inconnus avec OPSWAT Metascan+

Signale et mets en corrélation les comportements anormaux

Produits similaires– HBGary Active Defense http://www.hbgary.com– Mandiant Intelligent Response http://www.mandiant.com

*Bit9 Global Software Registry http://www.bit9.com +OPSWAT Metascan Antivirus Engine http://www.opswat.com

30

Défense proactive

Produits à l’étude Produits similaires à venir…

http://www.validedge.com

http://www.fireeye.com

RAZORhttp://www.hbgary.com

http://www.norman.com

31

Conclusion

Méthodologie pour l’inforensique en direct– Incluse dans les procédures policières– Validée pour les exigences identifiées

Réponse aux incidents– La sécurité traditionnelle coûte très cher

(temps + ressources) et est souvent hors de portée– Se concentrer sur une réponse aux incidents en direct

Plus rapide/efficaceCollaborativeAutomatiséeVisualisée/indexée réduction de la charge cognitive

32

Sébastien Bourdon-RichardGRCGroupe Intégré de la Criminalité Technologique

sebastien.bourdon-richard@rcmp-grc.gc.ca

Martin SaloisRDDC Valcartier

Groupe Robustesse etanalyse des logiciels

martin.salois@drdc-rddc.gc.ca