Descriptif de scénario “Infection virale”

Descriptif de scénario “Infection virale”
Analyse de capture réseau
Type de scénario : Analyse post­incident
Introduction :
Suite à une attaque ou une infection virale, il est très souvent nécessaire d’utiliser tous les éléments
disponibles pour essayer de réunir le plus d’informations possible.
Description :
Un des postes du réseau local d’une entreprise a été infecté. A l’aide d’un fichier de capture réseau et
du logiciel Wireshark, vous devez retrouver la source de l’attaque ainsi que le ou les poste(s) infecté(s).
Vous devrez aussi extraire le binaire supposé infectieux et l’envoyer sur un site tel que
www.virustotal.com pour déterminer si le code est malicieux.
Objectifs :
Retracer le processus d’infection virale d’un poste de travail.
Se familiariser avec des outils d’analyse de trafic réseau.
Déroulement :
Fonctionnement de Wireshark :
Wireshark est un logiciel graphique de capture de trafic réseau. Dans le monde professionnel vous
n’aurez pas toujours accès à une interface graphique, il peut donc être intéressant de vous intéresser à
l’utilisation de tcpdump ou tshark qui sont deux outils en ligne de commande.
Pour connaitre en détail les options et les menus, nous vous invitons à consulter les pages de manuel de
Wireshark.
Pour capturer le trafic réseau, Wireshark doit être lancé en tant que super­utilisateur (afin d'accéder aux
différentes interfaces réseau).
sudo wireshark
L’interface de Wireshark est assez simple. Sélectionnez à l’aide de “Interface List” l’interface de la
machine reliée au réseau, puis lancez une capture avec “Start”.
Vous allez voir défiler toutes les requêtes passant sur le réseau, il est possible d’appliquer des filtres
avec la zone “Filter” afin d'affiner la vue.
Ci­dessous un exemple de capture des requêtes DNS :
On distingue 3 zones importantes dans Wireshark de haut en bas:
● La liste des trames correspondant aux filtres (avec quelques informations comme le type de
trame, l’émetteur, le destinataire, etc...).
● Un parsing de la trame sélectionné avec un décryptage de toutes les informations qu’elle
contient.
● Un affichage de la trame en hexadécimal (beaucoup moins lisible pour l’homme !)
Pour vous familiariser avec le logiciel, essayez grâce aux filtres, de ne capturer que les requêtes ARP,
DNS, HTTP, etc...
Vous trouverez des informations supplémentaires sur les filtres sur
http://wiki.wireshark.org/CaptureFilters .
Après vous être familiarisé avec le logiciel Wireshark, ouvrez le fichier infection1.pcap.
Vous êtes dans la peau d’un administrateur réseau. Vous faites des captures régulières du trafic réseau
et vous avez été contacté par un utilisateur du réseau à propos d’un problème sur une machine
(apparition d’un virus), avec le fichier pcap de capture du trafic, essayer de remonter jusqu’à la source
de l’erreur afin de comprendre ce qu’il s’est passé et essayez de retrouver le binaire supposé infectieux.
Faites de même avec le fichier infection2.pcap.
Indice, les fonctions Follow TCP Stream et Export selected bytes pourront vous aider.
Afin d’analyser un fichier binaire pour savoir s’il contient du code malveillant, il existe des sites comme
www.virustotal.com.
Guide :
Ce guide est destiné a l’enseignant, il donne des pistes et des astuces à suivre pour aiguiller les étudiants
bloqués, l’analyse d’un fichiers pcap peut donner de nombreuses informations, mais il est pas forcément
évident de savoir ou les chercher.
1. Filtrer les requêtes dns uniquement (Filtre : udp.port eq 53)
2. A l’aide des requêtes trouver l’ip de l’attaquant (99.234.157.198) facilement identifiables au
nom des sites visités.
3. Repérer les téléchargements de fichier via http (Filtre : http.connection)
4. Trouver les trames suspectes.
5. Extraire les données binaires de ces paquets. (Export Selected Packets Bytes)
6. Envoyer les données extraites sur www.virustotal.com afin de vérifier si elle sont malveillantes.
Réponses:
Fichier infection1.pcap :
Source de l’attaque : 99.234.157.198
Destination de l’attaque : 10.0.0.130
tcp.stream eq 13
Paquet numéro 568
Fichier infection2.pcap :
Source de l’attaque : 72.36.162.50
Destination de l’attaque : 10.0.0.130
tcp.stream eq 14
Paquet numéro 806
Descriptif de scénario
Attaque DOS et DDOS
Type de scénario :Attaque réseau
Description :
Dans ce scénario, “Vulnérable” va subir une attaque DOS . Il va s'agir pour “Attaquante” de lancer
une attaque de déni de service, et ainsi bloquer/perturber l'accès au service web proposé par
“Vulnérable”.
Objectifs :
On montre ici la simplicité d'une attaque DOS qui peut depuis plusieurs machine se transformer en
DDOS pour permettre de faire tomber des machines plus puissantes.
La difficulté de protection est évidente, puisqu'aucune solution directe permet de sans protéger au
sens ou tant que “Attaquant” possède plus de "puissance" réseau que l'attaquée (ici “Vulnérable”).
Outils utilisés :
hping
tcpdump
(A) = l’action se déroule sur la machine “Attaquante”
(V) = l’action se déroule sur la machine “Vulnérable”
Déroulement :
1. Lancer votre live Vulnerable
2. Récupérer votre IP grâce à la commande ifconfig
3. verifier que le service apache est lancé
4. Si non, lancer le service manuellement
• /etc/init.d/apache start
5. Installer hping3
• apt-get install hping3
6. Vous allez être la machine cible de votre voisin puis inversement, afin de voir chacun votre
tour l'attaquant , et le coté attaqué
7. Tester une attaque avec l’option -u de hping avec pour intervalle 1ms
8. Observer le résultat sur “vulnérable”
9. Test une attaque avec l’option --flood de hping3
• hping3 -S --flood -p port ip
10.(V) Observer le résultat sur “vulnérable”
11.(A)(V) Installer “tcpdump”
• apt-get install tcpdump
12.(A) Lancer tcpdump pour observer votre oeuvre
13.(V) Lancer tcpdump pour rechercher l’origine du problème
Cours:
A lire :
http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
DOS:
Une « attaque par déni de service » (en anglais « Denial of Service », abrégé en DoS) est un type
d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une
organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin
qu'ils ne puissent être utilisés et consultés.
Les attaques par déni de service peut toucher tout type d'équipements réseau tel que les serveurs,
routeurs et Switchs. Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais
de nuire à la réputation de sociétés ayant une présence sur internet et éventuellement de nuire à leur
fonctionnement si leur activité repose sur un système d'information. La plupart des dénis de service
exploitent des failles liées au protocole TCP/IP.
On distingue habituellement deux types de dénis de service :
1. Les dénis de service par saturation, consistant à submerger une machine de requêtes, afin qu'elle
ne soit plus capable de répondre aux requêtes réelles
2.Les dénis de service par exploitation de vulnérabilités, consistant à exploiter une faille du système
distant afin de le rendre inutilisable.Le principe des attaques par déni de service consiste à envoyer
des paquets IP ou des données de taille ou de constitution inhabituelle, afin de provoquer une
saturation ou un état instable des machines victimes et de les empêcher ainsi d'assurer les services
réseau qu'elles proposent.
Lorsqu'un déni de service est provoqué par plusieurs machines, on parle alors de « déni de service
distribué » (noté DDOS pour Distributed Denial of Service).
Le déni de service est donc un type d'attaque qui coûte très cher puisqu'il interrompt le cours normal
des transactions d'une organisation. Sachant qu'à l'heure actuelle, les sommes et les enjeux d'une
entreprise sont généralement énormes, cela peut poser de graves problèmes si une telle situation se
produit ne fût-ce que quelques heures.
Imaginez les impacts :
- Financier d'un grand site de commerce en ligne dont sa plateforme d'hébergement serait
indisponible lors des fêtes de Noël ?
- Sur l'image d'une banque qui ne pourrait plus recevoir ses mails ?
- Globaux pour vous, en tant qu'entreprise qui communiquez avec vos clients ?
Les contre-mesures sont compliquées à mettre en place et doivent être spécifiques à un type
d'attaque. Etant donné que les attaques par déni de service utilisent les services et protocoles
normaux d'Internet, s'en protéger reviendrais à couper les voies de communications normales,
sachant qu'il s'agit de la raison d'être principale des machines concernées (Site web, Messagerie,
Extranet, ...). Il faut donc essayer se protéger au mieux de certains comportements anormaux, ce qui
implique notamment la vérification de l'intégrité des paquets, la surveillance du trafic, établissement
de profils types et de seuils... On est donc loin de la protection absolue, mais il est tout de même
possible de se protéger de façon intelligente et flexible.
Voici quelque attaque courante:
Attaque ARP Poisoning
Cette attaque se base sur l'envoi d'informations ARP falsifiés. Ainsi, les différents équipements du
LAN apprennent des mauvaises correspondances adresses IP avec MAC. La conséquence est de
rompre toutes communications entre deux équipements IP. Les cibles sont souvent les serveurs et
les routeurs rendant indisponible les services associés.
Attaque Ping de la mort
Cette technique d'attaque est dépassée, mais elle a fait ses preuves à l'époque. Elle exploitait une
faiblesse dans l'implémentation de la plus part des piles IP en envoyant un paquet ICMP d'une taille
non conforme (supérieur à 64 octets). Ceci avait pour effet de planter directement la pile IP
attaquée. ( On tente d’écrire au dela de notre capacité mémore ).
Attaque Unreachable Host
Cette attaque envoie des messages ICMP de type "Host Unreachable" à une cible, provoquant la
déconnexion des sessions et paralyse ainsi la victime. La simplicité de cette attaque est qu'elle
demande qu'un faible débit du fait que les envois de datagramme ICMP peuvent être sur une faible
cadence.
Attaque Ping Flood
Le but de cette attaque est d’innonder de flux ICMP la cible afin les rendre indisponibles.
D'ailleurs, que les cibles répondent ou pas à l'ICMP, l'objectif premier étant de saturer leurs bande
passantes d'accès réseau, processeurs, mémoire
Ping Flood est la plus répandu des attaques par déni de service, car de nombreux particuliers et
amateurs s'amusent simplement à pinguer un host distant. Et bien sur, ils se font plaisir en ajoutant
les options permettant d'augmenter la cadence au maximum. ( Ce que vous tentez ici avec Hping3 )
Attaque TCP SYN
Cette attaque consiste à démarrer un ouverture de session TCP via un SYN à destination d'un port
ouvert de la machine cible. L'objectif étant de saturer le nombre maximum de sessions TCP en
cours de l'équipement IP assaillis. Ainsi, lorsque cette limite est atteinte, la cible ne pourra plus
établir aucune session TCP causant une indisponibilité de tous ces applications en écoute de port
TCP. Les SynCookies représente une solution technique relativement efficace. Sur le même principe
que les cookies HTTP, le serveur sollicité renvoie un cookie crypté dans le SYN/ACK, puis il efface
l'entrée de sa file d'attente. Si c'est un client régulier il lui renverra un ACK, dont on peut déduire le
cookie et reconstitué ainsi l'entrée dans la file d'attente. La problématique de cette technique est que
tout le monde n'implémente pas ce mécanisme provoquant ainsi des problèmes de compatibilité.