BlackSheep, un système distribué de surveillance pour lutter contre les Rootkits noyau SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Acteurs

BlackSheep, un système distribué de surveillance pour lutter contre les Rootkits noyau

Par Rédaction, secuobs.com
Le 12/11/2012

Résumé : Un papier récemment publié décrit BlackSheep, un système distribué permettant l’identification de changements caractéristiques qui vont permettre de détecter d’éventuelles infections de type Rootkits sur un parc de machines physiques ou virtuelles. - Lire l'article

Version imprimable de cet article
Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Acteurs en RSS

Un groupe de chercheurs de l’université de Californie à Santa Barbara affirme dans un récent papier qu’un système distribué est en mesure de détecter les changements caractérisant une infection par des Rootkits. Ce système nécessitant que de multiples ordinateurs fonctionnent sur des systèmes d’exploitation similaires et partagent donc des configurations communes.

En s’inspirant de la nature homogène caractérisant les réseaux d’entreprise, ces chercheurs ont donc développé le système distribué BlackSheep qui se base sur des comparaisons effectuées entre des extractions mémoire des noyaux. Ces dernières provenant d’un nombre important de machines initialement homogènes qui constituent le parc à surveiller pour cette détection.

Ne requérant aucune signature ou connaissance du code offensif de l’attaquant, la technique ici employée pourrait ainsi théoriquement aider des entreprises à détecter de telles attaques face auxquelles les mesures défensives actuelles sont souvent inutiles. Le papier présentant d’ailleurs des résultats positifs lors de tests effectués dans un environnement de type Cloud.

BlackSheep a en effet était capable de détecter l’ensemble des infections par Rootkits sur un parc de 40 machines virtuelles fonctionnant à l’aide de systèmes d’exploitation Microsoft Windows Seven, le tout sans aucun faux positif. Lors d’un second test, sur des machines physiques cette fois, ce taux de détection est passé à 75% et le taux de faux positifs à 5.5%.

La différence s’expliquant par le délai supplémentaire demandé par les extractions et la collecte depuis les machines physiques, la mémoire s’avèrant alors inconsistante de par les changements survenus. Ces inconsistances étant d’ailleurs le véritable challenge à relever pour une application pratique dans un environnement de production où ils sont légion.

Le papier présenté à la conférence ACM ( lien )

Source :

« Finding Rootkits By Monitoring For 'Black Sheep' » sur Dark Reading ( lien )

Les mots clés pour les articles publiés sur SecuObs : système noyau
Les articles de la revue de presse sur les mots clés : surveillance noyau
Les videos sur SecuObs pour les mots clés : surveillance
Voir tous les articles de "Rédaction" publiés sur SecuObs (691 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (998 résultats)

Version imprimable de cet article

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Acteurs en RSS

- Article suivant : CounterSploit 1.0, transformer Metasploit en une plateforme de Forensic
- Article précédent : Attaques cryptographiques de type Side-Channel entre des machines virtuelles
- Article suivant dans la catégorie Acteurs : L' Electronic Frontier Foundation dépose une plainte collective contre la NSA pour Prism
- Article précédent dans la catégorie Acteurs : Une troisième fuite cette année pour le code source de Vmware ESX

Les derniers commentaires de la catégorie Acteurs:

- ESRT @ChrisJohnRiley @r_netsec - 0day Full disclosure: American Express ... - ESRT @RonGula - Very interesting article on CloudFlare and the Honeynet Project ... - ESRT @grecs @elinormills - Caller ID spoofing and automated credit card phone systems -- Privacy FAIL ... - Stealing ATM PINs with thermal cameras ... - ESRT @vcuinfosec - Pwnie recipients were announced at Blackhat earlier today ...

Les derniers articles de la catégorie Acteurs :

- OWASP Framework Security Project, répertorier et fixer les contrôles de sécurité manquants - Intégration de SELinux dans la nouvelle version d Android - L Electronic Frontier Foundation dépose une plainte collective contre la NSA pour Prism - BlackSheep, un système distribué de surveillance pour lutter contre les Rootkits noyau - Une troisième fuite cette année pour le code source de Vmware ESX - AppGate MOVE, une clé USB flashable et bootable ajoute le BYOL à AppGate Security Server - SCALe ou la mise en conformité des systèmes aux standards CERT de sécurité - ThreatMetrix lutte contre les fraudes transactionnelles à l aide de données anonymes - Core Security Technologies annonce le support de Metasploit dans CORE IMPACT Pro - Désinstaller automatiquement les logiciels de P2P avec la nouvelle version de GFI LANguard + d'articles de la catégorie Acteurs

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre + de mots clés avec l'annuaire des articles publiés sur SecuObs

Mini-Tagwall de l'annuaire video :

curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter