Documente Academic
Documente Profesional
Documente Cultură
Stratégies et techniques
d’intrusion
• Introduction
• Les différentes phases d’une attaque
– Identification de la cible
– Scanning
– Exploitation
– Progression
• Conclusion, questions
NS1.325I.COM 216.149.77.66
NS3.NJD.XO.COM 216.156.2.3
[root@Evil /root]#
N e tn a m e : N IN E N E T A V E -1
N e tb lo c k : 2 1 6 .1 4 9 .0 .0 - 2 1 6 .1 4 9 .2 5 5 .2 5 5
M a in ta in e r: 9 N E T
C o o rd in a to r:
G ro s s o , P a tric k (P G 6 4 -A R IN ) p a tg @ 9 N E T A V E .C O M
8 8 8 -9 6 3 -8 2 8 3
D o m a in S y s te m in v e rs e m a p p in g p ro v id e d b y :
N S 2 .9 N E T A V E .C O M 2 1 6 .1 5 6 .2 .2
N S 3 .9 N E T A V E .C O M 2 1 6 .1 5 6 .2 .3
A D D R E S S E S W IT H IN T H IS B L O C K A R E N O N -P O R T A B L E
R e c o rd la s t u p d a te d o n 2 7 -J a n -2 0 0 0 .
D a ta b a s e la s t u p d a te d o n 1 0 -S e p -2 0 0 1 2 3 :1 6 :2 6 E D T .
T h e A R IN R e g is tra tio n S e rv ic e s H o s t c o n ta in s O N L Y In te rn e t
N e tw o rk In fo rm a tio n : N e tw o rk s , A S N 's , a n d re la te d P O C 's .
P le a s e u s e th e w h o is s e rv e r a t rs .in te rn ic .n e t fo r D O M A IN re la te d
In fo rm a tio n a n d w h o is .n ic .m il fo r N IP R N E T In fo rm a tio n .
[ro o t@ E v il /ro o t]#
b o u n ce te st.
------------------------------------------------
vé rifié p a r in te rsca n (a n tiviru s)
------------------------------------------------
• Identifier
– les IP utilisées
• ICMP ou TCP ACK
– les services accessibles
– toutes informations de topologie détaillée
• OS
• versions des services
• Subnets
• Règles firewall
• …
• Technique du « ping-sweep »
– Envoi séquentielle de ICMP Echo Request à toutes
les IP à tester
– Réponse ICMP Echo Reply pour les IP actives
• Technique ACK-Scan
– Envoi de paquets ACK vers un port aléatoire
– Si machine active, réponse RST
– Passe certains firewalls !
• Scanning UDP
– Pas de méthode générique
– Envoi d’un paquet de test
• Si réponse UDP: port ouvert
• Si réponse ICMP Port Unreach: port
fermé
• Si rien: on ne sait pas
HTTP/1.1 200 OK
Date: Thu, 13 Sep 2001 21:45:25 GMT
Server: Apache/1.3.12 Ben-SSL/1.40 (Unix) PHP/4.0.1pl2 FrontPage/4.0.4.3
Last-Modified: Mon, 20 Sep 1999 15:25:36 GMT
ETag: "555cf-f08-37e651f0"
Accept-Ranges: bytes
Content-Length: 3848
Connection: close
Content-Type: text/html
<HTML>
• Traceroute
– Détermination de tous les intermédiaires (
-> routeurs) entre l’agresseur et la cible
– Envoi de paquets avec TTL incrémenté
• Firewalking
– Variation de traceroute
– Détermination des ACL au niveau du
firewall
En-tête IP (40)
En-tête IP (0) 20 B
0
A
40 B
70 C 190 En-tête IP (70)
80 D C
En-tête IP (80)
D
(1 )
g
A g re s s e u r S e rv e u r F T P
0, de rin
xx a 8
,2 o t e
xx s 1
,1 m n
1)
68 ve E
(1
22 ive ,20
8,
92
50 E (19
,1 si 27
12
s
7 m 1
e
,1
0 nt 4,
92 as xx2
E o 28
8, e d:
d
U er 51
n d ,
o
12 iv n
n in ,2
t e e 1)
1) m
p x
0, ss a
,
kn g 1
x
ri
,2 a m
n
o p 7,
):
,1 g p o m
g
w a 1
(1
,
n s s ,1
68 in c
co iv 50
,1 e r n
(1
92 nt ow
m e m ,2 3
m o )
( 1 E kn
an d
7 n
22 U
d e
:
xx 00
22
xx 5
7
(4 )
(2 )
F ire w a ll
(3 )
Remote OS guesses: Windows Me or Windows 2000 RC1 through final release, Windows Millenium Edition v4.90.3000
Au final
Internet
E1: 2Mb/s
Xxx.cust-paris.uu.net
Cisco IOS 1005 11.2(14)P
A.b.c.d
Mail.xxxxx.com (192.1.1.150)
Lotus SMTP MTA SMTP v4.6
A.b.c.e
192.168.20.1
relais.xxxx.com
Microsoft NT 4 SP 5 + Proxy Server 2.0
+ Interscan Viruswall v3.3
www.xxxx.com (192.1.1.210)
Microsoft Windows 2000 Server + IIS 5
Intranet
10.0.0.x/24
DMZ
• Fautes d’implémentation
– Buffers overflows, métacharactères, format
strings, …
• Fautes de conception
– Mauvais algorithme
• Virii, chevaux de Troie, Worms
#include <stdio.h>
#include <unistd.h>
strcpy(buf, host) ;
…
}
• Mauvais algorithme
– Les mots de passe des partages sous
Microsoft W9x
• Comparaison des x premiers caractères
du mot de passe requis avec le mot de
passe envoyé par l’utilisateur, où x est
un nombre spécifié par l’utilisateur !!!
• Bruteforce (login/passwd)
• Trust relationships (r-services, NFS,
…)
• Interception (sniffers, Man-in-the-
middle)
• Vol de session (hijacking)
USER bob
PASS m0nP4sS
SYST
PASV
LIST
CWD /tmp
PASV
LIST
QUIT
[CLOSED]
K
N +AC
2. SY Machine A autorisée
Déni de service:
Flooding
Serveur RSH 1 . SY
N
3. AC
préd K (avec
iction
SEQ
)
Agresseur
• Interception Man-in-the-Middle
– Agresseur situé (topologiquement) entre
deux machines échangeant un flux
– L’agresseur intercepte le flux, et y insère
ses propres données
– Par exemple: interception de sessions
telnet entre 2 machines
Connexion A / B
Machine A Machine B
co
yn t
)
Fa xio
és s e
ch
nn
(D Re
us n A
e
se /
B
Agresseur
• Inspection de la machine
– Simulation du comportement d’un
utilisateur légitime
– Recherche des fichiers journaux et des
copies vers d’autres machines
– Identification des HIDS/NIDS
• Intérêts
– Revenir plus facilement
– Tromper les systèmes de surveillance
– Introduire des covert channels
• Types
– Rootkits
– Backdoors kernel
– Programmes dissimulés
– Changements de configuration
• Prise d’information
– Repérer les données ciblées
– Recommencer la phase d’exploitation puis
progression
– Jusqu’à trouver l’information
– La rapatrier en utilisant un covert channel