Tendances et attaques : Analyse des nouvelles attaques - Cert-IST

cert.ist.com

Tendances et attaques : Analyse des nouvelles attaques - Cert-IST

Computer Emergency Response TeamIndustrie Service TertiaireTendances et attaques :Analyse des nouvelles attaquesPhilippe BourgeoisJuin 2008Plan de la présentation Attaques et vulnérabilités marquantes de 2008 Analyse des attaques visant les internautesLe "Drive-by download"Infections web massivesLe phénomène botnet Attaques au travers de panneaux publicitaires SPAM : messages NDR (effet "backscatter") Evolution des menaces et impacts pour les entreprisesIndustrie Service TertiaireComputer Emergency Response TeamIndustrie Services & Tertiaire Cert-IST Juin 2008page 2 / 21


Plan de la présentation Attaques et vulnérabilités marquantes de 2008 Analyse des attaques visant les internautesLe "Drive-by download"Infections web massivesLe phénomène botnet Attaques au travers de panneaux publicitaires SPAM : messages NDR (effet "backscatter") Evolution des menaces et impacts pour les entreprisesIndustrie Service TertiaireComputer Emergency Response TeamIndustrie Services & Tertiaire Cert-IST Juin 2008page 3 / 21Alertes et Dangers Potentiels émis en 2008 Pas d'alerte, mais 6 Dangers PotentielsRéférenceCERT-IST/DG-2008.001CERT-IST/DG-2008.002CERT-IST/DG-2008.003CERT-IST/DG-2008.004CERT-IST/DG-2008.005CERT-IST/DG-2008.006 Ces menaces :DescriptionActivités malveillantes autour de vulnérabilités de RealPlayerNouvelle vulnérabilité RTSP critique dans QuickTime d'AppleInfections massives de sites webPropagation de fichiers PDF malicieux (CVE-2007-5659)Multiples attaques massive de sites webVulnérabilité "0-day" dans Adobe Flash PlayerVersions1.0 - 07 janvier 20081.0 - 11 janvier 20081.1 - 07 février 20081.0 - 17 janvier 20081.0 - 11 février 20081.0 - 17 mars 20081.0 - 28 mai 20083.0 - 30 mai 2008Utilisent des vulnérabilités de logiciels tiers (Flash, PDF, QuickTime)Visent les internautes lors de leur navigation web (attaques "Drive-bydownload ") Autres événements marquants de 2008SPAM : NDR SPAM (Non Delivery Report et effet "backscatter")Industrie Service TertiaireComputer Emergency Response TeamIndustrie Services & Tertiaire Cert-IST Juin 2008page 4 / 21


SPAM Le volume du SPAM sur Internet ne décroit pas …81 % à 97 % du trafic email est du SPAM En avril 2008 le nombre de messages NDR liés au SPAMest monté en flècheNDR = Non Delivery Receipt (Message de non acheminement)Plusieurs adhérents nous ont signalé un taux anormal de NDR (certainsutilisateurs reçoivent des flots de NDR) Il s'agit d'un effet "backscatter" lié au SPAMUtilisation de champ "From:" usurpéCertains ont considéré cela comme une technique de SPAM …Depuis, les solutions anti-spam savent détecter ces NDR et les écarterIndustrie Service TertiaireComputer Emergency Response TeamIndustrie Services & Tertiaire Cert-IST Juin 2008page 17 / 21SPAM [image explicative du NDR] [image bsn.borderware.com ]Industrie Service TertiaireComputer Emergency Response TeamIndustrie Services & Tertiaire Cert-IST Juin 2008page 18 / 21


Evolution des menaces etImpacts pour les entreprises (2/2) Malgré un calme apparent (plus de Sasser ou de Codered)La menace est réelle et plus pernicieuse (attaque discrète) Jusque là tout va bien … ☺Mais la responsabilité du RSSI reste engagéeLes moyens de lutte et les bonnes pratiques existent Elle nécessite un travail systématique avant la criseDéfense en profondeurAnalyse des menaces et de l'exposition du SISurveillance des journaux pour identifier les anomalies Recommandations techniques spécifiquesMaintenir les plates-formes à jourFiltrer le trafic sortant (TCP et UDP)Surveiller le trafic sortant rejeté (identification de postes infectés)Industrie Service TertiaireComputer Emergency Response TeamIndustrie Services & Tertiaire Cert-IST Juin 2008page 21 / 21

More magazines by this user
Similar magazines