|
|
|
|
|
|
Introduction |
|
Les diff�rentes phases d�une attaque |
|
Identification de la cible |
|
Scanning |
|
Exploitation |
|
Progression |
|
Conclusion, questions |
|
|
|
|
|
Cadre: uniquement les attaques sur Internet |
|
Hors chevaux de Troie, virii, d�nis de service |
|
Pourquoi ce choix ? |
|
Internet n�est pas la seule porte d�entr�e |
|
C�est m�me souvent la plus dure � forcer ! |
|
|
|
|
|
Collecter le plus de renseignements possibles
sur la cible |
|
En utilisant des informations publiques |
|
Bases d�IP, DNS |
|
Moteurs, collectes d�informations sur site |
|
Bounces Mail |
|
Sans engager quoique ce soit d�hostile |
|
|
|
|
|
|
Identifier |
|
les IP utilis�es |
|
ICMP ou TCP ACK |
|
les services accessibles |
|
toutes informations de topologie d�taill�e |
|
OS, versions des services, subnets, � |
|
|
|
|
|
Scanning TCP |
|
TCP connect |
|
SYN Scan |
|
FIN/Null/XMAS Scan |
|
FTP Bounce Scanning |
|
Scanning UDP |
|
Envoi de paquet UDP, attente r�ponse ICMP ou UDP
(ou rien) |
|
|
|
|
|
D�terminer l�OS distant: r�ponse � des paquets
types |
|
Traceroute / Firewalking |
|
D�terminer les versions des services: analyse
applicative |
|
Banni�res |
|
Comportements face � des requ�tes types |
|
|
|
|
|
Techniques de Scanning avanc�es: contourner IDS
et firewalls |
|
Ports sources sp�ciaux: 20 (TCP), 53 (UDP), � |
|
Rebonds � partir de proxies applicatifs (caches
HTTP, socks, �) |
|
Fragmentation IP (short frag et overlap) |
|
Bugs des stacks IP, firewalls |
|
|
|
|
Cibler le service le plus favorable (absence de
traces, taux de r�ussite, facilit� de r�alisation, �) |
|
Approche opportuniste: une faille suffit ! |
|
Point de non retour atteint |
|
|
|
|
La plupart des services Internet vuln�rables |
|
Exploits en libre circulation |
|
Exploits priv�s (0-day) conserv�s par des
groupes d�initi�s |
|
|
|
|
|
Fautes d�impl�mentation |
|
Buffers overflows, m�tacharact�res, format
strings, � |
|
Fautes de conception |
|
Mauvais algorithme |
|
Virii, chevaux de Troie |
|
|
|
|
|
Usurpation d�identit� |
|
Bruteforce (login/passwd) |
|
Trust relationships (r-services, NFS, �) |
|
Interception (sniffers, Man-in-the-middle) |
|
Vol de session (hijacking) |
|
|
|
|
|
El�vation des privil�ges: vers root ou SYSTEM |
|
Souvent directement le cas |
|
Sinon, exploit local |
|
|
|
|
|
Inspection de la machine |
|
Simulation du comportement d�un utilisateur
l�gitime |
|
Recherche des fichiers journaux et des copies
vers d�autres machines |
|
Identification des HIDS/NIDS |
|
|
|
|
|
Nettoyage des traces |
|
Pas possible dans tous les cas (Tripwire,
backups, �) |
|
N�cessite potentiellement la compromission
d�autres machines (serveurs de logs) |
|
|
|
|
|
Int�r�ts |
|
Revenir plus facilement |
|
Tromper les syst�mes de surveillance |
|
Introduire des covert channels |
|
Types |
|
Rootkits |
|
Backdoors kernel |
|
Programmes dissimul�s |
|
Changements de configuration |
|
|
|
|
|
Prise d�information |
|
Rep�rer les donn�es cibl�es |
|
Recommencer la phase d�exploitation puis
progression |
|
Jusqu�� trouver l�information |
|
La rapatrier en utilisant un covert channel |
|
|
|
|
|
L�intrusion sur Internet |
|
Des techniques et strat�gies complexes |
|
A la port�e de tous gr�ce aux outils publics |
|
La protection |
|
Contre-mesures et r�actions en cons�quence ! |
|
|
|
|
Merci et bonne journ�e! |
|
|
|
T�l�chargez ce document sur: |
|
www.secway.com |
|