(non-controlled goods) dmc a review: gcec april 2011 · 2014. 3. 17. · un logiciel corrompu test...
TRANSCRIPT
-
Se préparer pour l’inforensique en directSébastien Bourdon-RichardGRCGroupe Intégré de la Criminalité Technologique
Martin SaloisRDDC ValcartierGroupe Robustesse et analyse des logiciels
3-4 octobre 2011Entretiens Jacques CartierColloque sur la sécurité informatique,l’inforensique et la lutte contre la cybercriminalitéUniversité Concordia, Montréal, Québec Canada
Gendarmerie Royale du CanadaRoyal Canadian Mounted Police
(NON-CONTROLLED GOODS) DMC AREVIEW: GCEC APRIL 2011
-
2
Techniques permettant de collecter, de conserver et d’analyser les données contemporaines d’un système opérationnel
Ces données recueillies correspondent à l’état du système à un moment précisL’exécution de ces techniques doivent respecter certaines procédures afin d’être plus facilement présentées à la cour
-
3
Plan de match
Motivation: Pourquoi l’inforensique en direct?1ère partie: Enquête criminelle– Critères de validité/volatilité– Outils testés– Outils à tester
2ème partie: Réponse aux cyber incidents– « Quiconque veut entrer entre »– Outils d’inforensique
traditionnels déficients pource genre d’analyse
– Exemple réel– Préparation pour la réponse
aux incidents en direct– Produits prometteurs
Conclusions
-
4
Enquête criminelle
PARTIE I
-
5
Présentation du projet
Solution d’acquisition et d’analyse des données volatilesSolution scientifiquement reproductible preuves numériques volatiles admissibles à la courSolution facilement utilisable par tous les enquêteurs des crimes technologiques au Canada
Objectifs du projet
1) Validation des outils d’acquisition de données volatiles et de la mémoire vive
2) Validation des outils d’analyse de la mémoire vive
3) Cas appliqués: extraction de données de la mémoire vive
-
6
Collaboration
Entente de 3 ans signée entre la GRC et RDDC Valcartier
Soutenue par le Centre Canadien de Recherches Policières
Les techniques développées dans le projet sont enseignées au Collège Canadien de Police
-
7
Motivations
Données perdues lors de la mise hors tensionProcédures actuelles orientées disque durLimitations d’une investigation post-mortem contournées– Systèmes/fichiers chiffrés– Connexions réseau/Stockage en ligne (cloud)– Clavardage sans sauvegarde
Réponse plus rapide aux incidents (maliciels actifs)
Ordinateur suspect opérationnel
Mise hors tension et analyse post-mortem
Inforensiqueen direct
-
8
L’inforensique en direct
L’inforensique en direct
Analyse en direct
Données importantesdu disque dur
Collecte des données volatiles
Données perdues quand l’ordinateur est éteint
Recherche de périphériques (ex:
historique USB branchés)
Utile lors de l’interrogatoire (ex: utilisateurs connectés,
historique sites web, …)
Complément auforensique traditionnel
Permet d’effectuer une corrélation avec les
données du disque dur
-
9
Objectifs techniquesde l’inforensique en direct
Modification minimale du système suspect
Solution scientifiquement reproductible preuves numériques volatiles admissibles à la cour
Utilisation minimale des fonctions du système suspect
Respect de l’ordre de volatilité
Intervention minimale de l’enquêteur avec le système suspect (minimisation du risque d’erreur)
-
10
Arguments contre
Modifie la «preuve»: VRAIAjoute de la «preuve»: VRAIDétruit de la «preuve»: VRAIPeut activer une «bombe logique»: VRAIN’est peut-être pas requis pour gagner un procès à la cour: VRAI…dans plusieurs cas…
L’inforensique en direct
-
11
Arguments pour
Modifie la «preuve»: VRAI (ex: prise d’empreintes, moulage de pneus/pieds)
Ajoute de la «preuve»: VRAI (ex: entrer sur une scène de crime laisse des traces)
Détruit de la «preuve»: VRAI (ex: analyse de l’ADN)
Une «bombe logique» est peut-être déjà active: VRAI (ex: Rootkit)
La criminalistique traditionnelle
L’inforensique en direct peut être requise pour gagner un procès à la cour: VRAI(ex: système complètement chiffré…)
-
12
Capture de la mémoire vive
Matérielles+ Indépendance vis-à-vis des codes malicieux+ Aucun impact sur la mémoire du système pendant l’acquisition- Aucune acquisition de pagefile(s)- Certaines solutions doivent être préinstallées
Les procédures d’acquisition de la mémoire vive peuvent être
Logicielles+ Acquisition de pagefile(s)- Dépendance vis-à-vis du système d’exploitation- Espace mémoire requis par les outils peut effacer de la preuve- Droits administrateurs requis
-
13
Bonnes pratiques
Prendre des notes détaillées
Sauvegarder le plus précisément possible les données
correspondantes à l’état du système
Minimiser le changement sur les données pendant
l’acquisition
Effectuer l’acquisitiondes données les plus volatiles en premier
Ne pas éteindre le PC avant d’avoir terminé l’acquisition et la pré-analyse des données volatiles
Ne pas faire confiance aux programmes
installés sur le système
-
14
Procédures d’exécution d’une perquisition
ForensiquePost-mortem
2èmeacquisition(si requise)
Pré-analyseAcquisition
inforensiqueen direct
1.Connexion du disque dur USB sur l’ordinateur suspect
2.Exécution des outils d’inforensiqueen direct
3.Connexion en lecture seulement du disque USB sur le PC d’analyse
4.Production du rapport de l’outil
5.Pré-Analyse: - Chiffrement? - Historique USB- Triage…
6.Reconnexion du disque USB sur l’ordinateur suspect
7.Acquisition du disque dur en direct si nécessaire
8.Mise hors tension de l’ordinateur
9.Acquisition du disque dur hors ligne
-
15
Données pour les preuves à la cour
AdmissiblesConformes à certaines règles légales pour être admises
AuthentiquesPossibilité de les relier à l’incident
FiablesL’acquisition et la manipulation ne doit soulever aucun doute sur l’authenticité et la véracité des preuves
CrédiblesLes preuves doit être crédibles et compréhensibles pour la cour
ComplètesHistoire complète et non seulement une perspective particulière
-
16
Critères de validation des outilsCritères de validation des outils Sous-critères
R1. Modification minimale du système suite à l’exécution 15R2. Ordre de volatilité respecté lors de l’acquisition 1R3. L’outil effectue l’acquisition des données volatiles système 104R4. Conserve l’intégrité et l’horodatage des preuves volatiles 2R5. Utilisation minimal des fonctions du système actif 2R6. L’outil doit valider les exécutables qu’il utilise 4R7. L’outil doit fonctionner sur différents systèmes d’exploitation 7R8. Fonctionne avec différents niveaux d’authentification 3R9. L’architecture de l’outil doit être modifiable et évolutive 4R10. Intervention minimale de l’usager avec le système actif 1R11. Facilité d’utilisation et polyvalence de l’outil (optionnel) 5R12. Peut effectuer l’analyse rapide d’un système (optionnel) 121
-
17
Méthodologie de validation
Test #2 Analyser l’impact de chaque processus créé
Test #3 Analyser l’impact sur le pagefile et la mémoire vive
Test #4 Déterminer les dépendances (librairies, exe…)
Test #5 Tester l’efficacité face à un système compromis ou un logiciel corrompu
Test #6 Vérifier que les composantes ne sont pas détectées comme des virus
Test #7 Exécuter sous différents systèmes d’exploitation avec différents comptes utilisateurs
Test #1 Analyser l’impact sur le système de fichier
-
18
Démo validation automatique
-
19
Microsoft Windows (toutes les versions après 98)
X-Ways Capture http://www.x-ways.netAgile Risk Management Nigilant32 http://www.agileriskmanagement.comMantech MDD http://sourceforge.net/projects/mdddd/dcfldd/win32dd/win64dd…Cold Boot (solution de dernier recours!)http://cradpdf.drdc-rddc.gc.ca/PDFS/unc108/p534323_A1b.pdf
Capture de la mémoire (outils testés)
http://www.e-fense.com
http://www.f-response.com
FastDump Prohttp://www.hbgary.com
WinEnhttp://www.guidancesoftware.com
FTK Imagerhttp://accessdata.com
-
20
Capture de la mémoire (outils testés)
Microsoft DOS jusqu’à Windows 98 – Memdump http://www.tssc.de/products/tools/memdump/default.htm
Linux/BSD/Solaris
– Fmem– Memdump http://www.porcupine.org– e-fense Helix3 Pro http://www.e-fense.com– X-Ways Capture http://www.x-ways.net
Apple
– (pas encore testé)Field Editionhttp://www.macmarshal.com
http://pikewerks.com
-
21
Analyse de la mémoire (à tester)
Microsoft Windows (all versions after 98)
– Crash Dump Analyzer (CDA) & Raw Image Analyzer (RIA)http://cci.cocolog-nifty.com
Responderhttp://www.hbgary.com
Volatility Frameworkhttps://www.volatilesystems.comhttp://www.mandiant.com
-
22
Analyse de la mémoire (à tester)
Linux
Apple
– volafox http://code.google.com/p/volafox/
http://pikewerks.com
Volatility Frameworkhttps://www.volatilesystems.com
Forensic Editionhttp://www.macmarshal.com
-
23
Réponse aux cyber incidents
PARTIE II
-
24
La sécurité traditionnelle ne fonctionne pas à un coût raisonnable
Significant Cyber Incidents Since 2006,Center for Strategic & International Studies, septembre 2011http://csis.org/publication/cyber-events-2006
– 69 attaques ou crimes économiques avec plus de 1M $ de perteAgences gouvernementalesIndustries de défense ou de haute technologie
Revealed: Operation Shady RAT,McAfee, août 2011http://blogs.mcafee.com/mcafee-labs/revealed-operation-shady-rat
– 72 entités compromisesdepuis 5 ans(dont 22 gouv.,13 tech,13 défense)
Si ceux-ci ne peuvent pas se défendre…
-
25
Tests de pénétration + exploitation
Produits à l’étude(pointe et clique)
Produits similaires(sans la partie exploitation)
http://www.immunitysec.com
http://www.rapid7.com
http://www.coresecurity.com
http://www.tenable.com
http://www.openvas.org
SATANhttp://www.porcupine.org/satan
http://www.saintcorporation.com
etc.
-
26
Exemple réel
Investigation d’une attaque sur ~3000 machinesPresque tous les ordinateurs suspects ont été débranchésNous avons reçu– 23 images de disque (2.7 téraoctets)
2,318, 468 fichiers détruits – 2 images incomplètes de mémoire– ~75 fichiers suspects
(trouvés par une série d’antivirus et de hash)~20 ont du être analysés manuellement ~10 étaient directement reliés à l’attaque
Une analyse complète d’un seul disque peut prendre plusieurs jours
-
27
Exemple réel
Leçons apprises– Être prêt d’avance pour répondre à ce genre d’incident– Outils existants non conçus pour ce genre d’analyse
Goulot d’étranglement Plusieurs bons outils mais aucune intégration
– 1 pour réseau, 1 pour disque, 1 pour mémoire…Conçus pour être utilisés par un seul analyste
– Taux de détection très bas des outils actuelsNe détectent pas les APTs et les maliciels inconnus
– Tous ceux qui sont personnalisés pour cibler quelqu’un
– Tous les nouveaux
APT: Advanced Persistent Threat
-
28
La voie à suivre...
Ne pas fermer les machines– Outils d’analyse à distance, sur l’ordinateur
Nouvelles techniques pour la détection des APTs– Analyse automatisée
(ex. traceur, désobfuscation/dépaquetage)– Analyse de la mémoire
Processus et outils conçus pour la collaborationentre analystes et l’automatisation
Visualisation/indexation intégrées deTOUTE l’information– Disque, mémoire, réseau, commentaires, etc.
-
29
Produits commerciaux prometteurs
Silicium Security ECAT http://www.siliciumsecurity.com– “Attackers will get through any security system”– Un petit agent sur chaque machine
Fait l’inventaire des exécutables, DLLs et pilotes (drivers)Vérifie les structures internes et les anomalies du systèmeEnvoie l’information récoltée à un serveur pour analyse
– Un serveurCompare les résultats avec un système de référence (baseline)Identifie les bons fichiers grâce à leur signature et Bit9 GSR*Scrute les fichiers inconnus avec OPSWAT Metascan+
Signale et mets en corrélation les comportements anormaux
Produits similaires– HBGary Active Defense http://www.hbgary.com– Mandiant Intelligent Response http://www.mandiant.com
*Bit9 Global Software Registry http://www.bit9.com +OPSWAT Metascan Antivirus Engine http://www.opswat.com
-
30
Défense proactive
Produits à l’étude Produits similaires à venir…
http://www.validedge.com
http://www.fireeye.com
RAZORhttp://www.hbgary.com
http://www.norman.com
-
31
Conclusion
Méthodologie pour l’inforensique en direct– Incluse dans les procédures policières– Validée pour les exigences identifiées
Réponse aux incidents– La sécurité traditionnelle coûte très cher
(temps + ressources) et est souvent hors de portée– Se concentrer sur une réponse aux incidents en direct
Plus rapide/efficaceCollaborativeAutomatiséeVisualisée/indexée réduction de la charge cognitive
-
32
Sébastien Bourdon-RichardGRCGroupe Intégré de la Criminalité Technologique
Martin SaloisRDDC Valcartier
Groupe Robustesse etanalyse des logiciels