Descriptif de scénario “Infection virale”
Transcription
Descriptif de scénario “Infection virale”
Descriptif de scénario “Infection virale” Analyse de capture réseau Type de scénario : Analyse postincident Introduction : Suite à une attaque ou une infection virale, il est très souvent nécessaire d’utiliser tous les éléments disponibles pour essayer de réunir le plus d’informations possible. Description : Un des postes du réseau local d’une entreprise a été infecté. A l’aide d’un fichier de capture réseau et du logiciel Wireshark, vous devez retrouver la source de l’attaque ainsi que le ou les poste(s) infecté(s). Vous devrez aussi extraire le binaire supposé infectieux et l’envoyer sur un site tel que www.virustotal.com pour déterminer si le code est malicieux. Objectifs : Retracer le processus d’infection virale d’un poste de travail. Se familiariser avec des outils d’analyse de trafic réseau. Déroulement : Fonctionnement de Wireshark : Wireshark est un logiciel graphique de capture de trafic réseau. Dans le monde professionnel vous n’aurez pas toujours accès à une interface graphique, il peut donc être intéressant de vous intéresser à l’utilisation de tcpdump ou tshark qui sont deux outils en ligne de commande. Pour connaitre en détail les options et les menus, nous vous invitons à consulter les pages de manuel de Wireshark. Pour capturer le trafic réseau, Wireshark doit être lancé en tant que superutilisateur (afin d'accéder aux différentes interfaces réseau). sudo wireshark L’interface de Wireshark est assez simple. Sélectionnez à l’aide de “Interface List” l’interface de la machine reliée au réseau, puis lancez une capture avec “Start”. Vous allez voir défiler toutes les requêtes passant sur le réseau, il est possible d’appliquer des filtres avec la zone “Filter” afin d'affiner la vue. Cidessous un exemple de capture des requêtes DNS : On distingue 3 zones importantes dans Wireshark de haut en bas: ● La liste des trames correspondant aux filtres (avec quelques informations comme le type de trame, l’émetteur, le destinataire, etc...). ● Un parsing de la trame sélectionné avec un décryptage de toutes les informations qu’elle contient. ● Un affichage de la trame en hexadécimal (beaucoup moins lisible pour l’homme !) Pour vous familiariser avec le logiciel, essayez grâce aux filtres, de ne capturer que les requêtes ARP, DNS, HTTP, etc... Vous trouverez des informations supplémentaires sur les filtres sur http://wiki.wireshark.org/CaptureFilters . Après vous être familiarisé avec le logiciel Wireshark, ouvrez le fichier infection1.pcap. Vous êtes dans la peau d’un administrateur réseau. Vous faites des captures régulières du trafic réseau et vous avez été contacté par un utilisateur du réseau à propos d’un problème sur une machine (apparition d’un virus), avec le fichier pcap de capture du trafic, essayer de remonter jusqu’à la source de l’erreur afin de comprendre ce qu’il s’est passé et essayez de retrouver le binaire supposé infectieux. Faites de même avec le fichier infection2.pcap. Indice, les fonctions Follow TCP Stream et Export selected bytes pourront vous aider. Afin d’analyser un fichier binaire pour savoir s’il contient du code malveillant, il existe des sites comme www.virustotal.com. Guide : Ce guide est destiné a l’enseignant, il donne des pistes et des astuces à suivre pour aiguiller les étudiants bloqués, l’analyse d’un fichiers pcap peut donner de nombreuses informations, mais il est pas forcément évident de savoir ou les chercher. 1. Filtrer les requêtes dns uniquement (Filtre : udp.port eq 53) 2. A l’aide des requêtes trouver l’ip de l’attaquant (99.234.157.198) facilement identifiables au nom des sites visités. 3. Repérer les téléchargements de fichier via http (Filtre : http.connection) 4. Trouver les trames suspectes. 5. Extraire les données binaires de ces paquets. (Export Selected Packets Bytes) 6. Envoyer les données extraites sur www.virustotal.com afin de vérifier si elle sont malveillantes. Réponses: Fichier infection1.pcap : Source de l’attaque : 99.234.157.198 Destination de l’attaque : 10.0.0.130 tcp.stream eq 13 Paquet numéro 568 Fichier infection2.pcap : Source de l’attaque : 72.36.162.50 Destination de l’attaque : 10.0.0.130 tcp.stream eq 14 Paquet numéro 806 Descriptif de scénario Attaque DOS et DDOS Type de scénario :Attaque réseau Description : Dans ce scénario, “Vulnérable” va subir une attaque DOS . Il va s'agir pour “Attaquante” de lancer une attaque de déni de service, et ainsi bloquer/perturber l'accès au service web proposé par “Vulnérable”. Objectifs : On montre ici la simplicité d'une attaque DOS qui peut depuis plusieurs machine se transformer en DDOS pour permettre de faire tomber des machines plus puissantes. La difficulté de protection est évidente, puisqu'aucune solution directe permet de sans protéger au sens ou tant que “Attaquant” possède plus de "puissance" réseau que l'attaquée (ici “Vulnérable”). Outils utilisés : hping tcpdump (A) = l’action se déroule sur la machine “Attaquante” (V) = l’action se déroule sur la machine “Vulnérable” Déroulement : 1. Lancer votre live Vulnerable 2. Récupérer votre IP grâce à la commande ifconfig 3. verifier que le service apache est lancé 4. Si non, lancer le service manuellement • /etc/init.d/apache start 5. Installer hping3 • apt-get install hping3 6. Vous allez être la machine cible de votre voisin puis inversement, afin de voir chacun votre tour l'attaquant , et le coté attaqué 7. Tester une attaque avec l’option -u de hping avec pour intervalle 1ms 8. Observer le résultat sur “vulnérable” 9. Test une attaque avec l’option --flood de hping3 • hping3 -S --flood -p port ip 10.(V) Observer le résultat sur “vulnérable” 11.(A)(V) Installer “tcpdump” • apt-get install tcpdump 12.(A) Lancer tcpdump pour observer votre oeuvre 13.(V) Lancer tcpdump pour rechercher l’origine du problème Cours: A lire : http://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service DOS: Une « attaque par déni de service » (en anglais « Denial of Service », abrégé en DoS) est un type d'attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d'une organisation. Il s'agit la plupart du temps d'attaques à l'encontre des serveurs d'une entreprise, afin qu'ils ne puissent être utilisés et consultés. Les attaques par déni de service peut toucher tout type d'équipements réseau tel que les serveurs, routeurs et Switchs. Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais de nuire à la réputation de sociétés ayant une présence sur internet et éventuellement de nuire à leur fonctionnement si leur activité repose sur un système d'information. La plupart des dénis de service exploitent des failles liées au protocole TCP/IP. On distingue habituellement deux types de dénis de service : 1. Les dénis de service par saturation, consistant à submerger une machine de requêtes, afin qu'elle ne soit plus capable de répondre aux requêtes réelles 2.Les dénis de service par exploitation de vulnérabilités, consistant à exploiter une faille du système distant afin de le rendre inutilisable.Le principe des attaques par déni de service consiste à envoyer des paquets IP ou des données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un état instable des machines victimes et de les empêcher ainsi d'assurer les services réseau qu'elles proposent. Lorsqu'un déni de service est provoqué par plusieurs machines, on parle alors de « déni de service distribué » (noté DDOS pour Distributed Denial of Service). Le déni de service est donc un type d'attaque qui coûte très cher puisqu'il interrompt le cours normal des transactions d'une organisation. Sachant qu'à l'heure actuelle, les sommes et les enjeux d'une entreprise sont généralement énormes, cela peut poser de graves problèmes si une telle situation se produit ne fût-ce que quelques heures. Imaginez les impacts : - Financier d'un grand site de commerce en ligne dont sa plateforme d'hébergement serait indisponible lors des fêtes de Noël ? - Sur l'image d'une banque qui ne pourrait plus recevoir ses mails ? - Globaux pour vous, en tant qu'entreprise qui communiquez avec vos clients ? Les contre-mesures sont compliquées à mettre en place et doivent être spécifiques à un type d'attaque. Etant donné que les attaques par déni de service utilisent les services et protocoles normaux d'Internet, s'en protéger reviendrais à couper les voies de communications normales, sachant qu'il s'agit de la raison d'être principale des machines concernées (Site web, Messagerie, Extranet, ...). Il faut donc essayer se protéger au mieux de certains comportements anormaux, ce qui implique notamment la vérification de l'intégrité des paquets, la surveillance du trafic, établissement de profils types et de seuils... On est donc loin de la protection absolue, mais il est tout de même possible de se protéger de façon intelligente et flexible. Voici quelque attaque courante: Attaque ARP Poisoning Cette attaque se base sur l'envoi d'informations ARP falsifiés. Ainsi, les différents équipements du LAN apprennent des mauvaises correspondances adresses IP avec MAC. La conséquence est de rompre toutes communications entre deux équipements IP. Les cibles sont souvent les serveurs et les routeurs rendant indisponible les services associés. Attaque Ping de la mort Cette technique d'attaque est dépassée, mais elle a fait ses preuves à l'époque. Elle exploitait une faiblesse dans l'implémentation de la plus part des piles IP en envoyant un paquet ICMP d'une taille non conforme (supérieur à 64 octets). Ceci avait pour effet de planter directement la pile IP attaquée. ( On tente d’écrire au dela de notre capacité mémore ). Attaque Unreachable Host Cette attaque envoie des messages ICMP de type "Host Unreachable" à une cible, provoquant la déconnexion des sessions et paralyse ainsi la victime. La simplicité de cette attaque est qu'elle demande qu'un faible débit du fait que les envois de datagramme ICMP peuvent être sur une faible cadence. Attaque Ping Flood Le but de cette attaque est d’innonder de flux ICMP la cible afin les rendre indisponibles. D'ailleurs, que les cibles répondent ou pas à l'ICMP, l'objectif premier étant de saturer leurs bande passantes d'accès réseau, processeurs, mémoire Ping Flood est la plus répandu des attaques par déni de service, car de nombreux particuliers et amateurs s'amusent simplement à pinguer un host distant. Et bien sur, ils se font plaisir en ajoutant les options permettant d'augmenter la cadence au maximum. ( Ce que vous tentez ici avec Hping3 ) Attaque TCP SYN Cette attaque consiste à démarrer un ouverture de session TCP via un SYN à destination d'un port ouvert de la machine cible. L'objectif étant de saturer le nombre maximum de sessions TCP en cours de l'équipement IP assaillis. Ainsi, lorsque cette limite est atteinte, la cible ne pourra plus établir aucune session TCP causant une indisponibilité de tous ces applications en écoute de port TCP. Les SynCookies représente une solution technique relativement efficace. Sur le même principe que les cookies HTTP, le serveur sollicité renvoie un cookie crypté dans le SYN/ACK, puis il efface l'entrée de sa file d'attente. Si c'est un client régulier il lui renverra un ACK, dont on peut déduire le cookie et reconstitué ainsi l'entrée dans la file d'attente. La problématique de cette technique est que tout le monde n'implémente pas ce mécanisme provoquant ainsi des problèmes de compatibilité.