Détection post intrusion
Lorsqu’une intrusion réussi, le pirate obtient des droits privilégiés sur la machine cible (super utilisateur).
La suite des opérations dépend alors du but recherché, parmi les actions les plus souvent opérées, on peut citer les suivantes :
– désarmer les anti-virus et autres outils de sécurité qui peuvent être installés ;
– installer des certificats dans la liste des certificats de confiance des navigateurs ;
– utiliser la machine corrompue comme émetteur de spams ou comme scanneur nmap ;
Les rootkits sont des outils prêts à l’emploi qui permettent d’automatiser les opérations post intrusion. Le but est toujours le même : rendre furtives et persistantes les opérations malveillantes opérées par les pirates. La suite de ce chapitre présente par l’exemple les techniques utilisées par les rootkits pour Linux ainsi que quelques détecteurs de présence de rootkits.
1 - Les rootkits
Les rootkits font partie de l’Internet souterrain, ils ne s’affichent évidemment pas toujours. Une liste non exhaustive et non à jour peut toutefois être consultée par http://packetstormsecurity.org/UNIX/penetration/rootkits/index.html. Le site http://www.eviltime.com/ diffuse également les dernières versions de quelques rootkits, on peut notamment y trouver adore-ng et suckit.
Plusieurs techniques sont utilisées par les rootkits pour dissimuler des processus ou des répertoires, parmi celles-ci citons les suivantes :
– le remplacement des commandes usuelles utilisées par les administrateurs (ls, ps, netstat, top, ...) par des versions masquant la réalité ;
– la modification de certaines bibliothèques partagées utilisées dynamiquement par les commandes de base ;
– la modification ou l’ajout de modules au noyau du système. Ce procédé est le plus redoutable car il donne accès à l’espace mémoire géré par le noyau (kerneland).
1.1 - adore-ng
adore-ng est un rootkit pour Linux qui permet d’ajouter des fonctionnalités cachées au noyau. adore-ng peut être utilisé avec des noyaux 2.4 ou 2.6 et procure les fonctionnalités suivantes :
– masquage de fichiers et répertoires : les commandes telles ls ne montrent pas les fichiers et répertoires désignés par le hacker ;
– masquage de processus : les commandes telles top, ps, ... ne montrent pas les processus désignés par le hacker ;
– mise en place de portes dérobées ;
– nettoyage des traces.
La figure 1 montre adore-ng en action via la commande ava qui est ici utilisée pour cacher un processus (la figure 2 montre la détection du processus caché par zeppoo).
Fig. 1 – adore-ng cache un processus
Une fois installé (cf. insmod de la figure 1), adore-ng permet également de cacher des fichiers ou répertoires (ava h) ou de lancer des commandes en passant root (ava r).
2 - Les anti rootkits
2.1 - Zeppoo
zeppoo est un outil qui permet de détecter des rootkits évoluant en mode utilisateur (userland) ou en mode noyau (kerneland). Pour ce faire il s’appuie principalement sur une base de signatures du système sain (mode utilisateur) et sur un parcours de /dev/kmem (la mémoire utilisée par le noyau) pour comparer les processus présents avec ceux observés dans le pseudo répertoire /proc (un processus caché apparaˆitra dans le parcours de /dev/kmem mais ne sera pas présent dans /proc)..
Fig. 2 – zeppoo détecte un processus caché par adore-ng.
Aucun commentaire:
Enregistrer un commentaire