Connaissez votre ennemiConnaissez votre ennemiConnaissez votre ennemiConnaissez votre ennemibotnets, spywares, rootkits, phishing…botnets, spywares, rootkits, phishing…
Jean GautierJean GautierPSS Security in EMEAPSS Security in EMEA
Pascal SaulierePascal SauliereConsultant Principal Sécurité, CISSP, Consultant Principal Sécurité, CISSP, Microsoft FranceMicrosoft France
Cyril VoisinCyril VoisinChef de programme Sécurité, Microsoft Chef de programme Sécurité, Microsoft FranceFrance
L’Art de la Guerre, Sun TzuL’Art de la Guerre, Sun Tzu
Connais ton ennemi et connais-toi toi-Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à même; eussiez-vous cent guerres à soutenir, cent fois vous serez soutenir, cent fois vous serez victorieux.victorieux.
Si tu ignores ton ennemi et que tu te Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de connais toi-même, tes chances de perdre et de gagner seront égales.perdre et de gagner seront égales.
Si tu ignores à la fois ton ennemi et toi-Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats même, tu ne compteras tes combats que par tes défaites.que par tes défaites.
SommaireSommaire
PhishingPhishingSpywaresSpywaresBotnetsBotnets
PrésentationPrésentationDémonstration !Démonstration !
RootkitsRootkitsDéfinition d’un Définition d’un rootkitrootkitScénario d’attaqueScénario d’attaqueFonctionnement d’un Fonctionnement d’un rootkitrootkit
En mode utilisateurEn mode utilisateurEn mode noyauEn mode noyau
Démonstration !Démonstration !
PhishingPhishingPhishingPhishing
Usurpation de marque & vol Usurpation de marque & vol d’informationsd’informations
PhishingPhishing
Usurpation de marque dans le but de voler Usurpation de marque dans le but de voler votre identité (informations personnelles telles votre identité (informations personnelles telles que comptes et mot de passe, numéro de que comptes et mot de passe, numéro de carte bleu, informations bancaires…)carte bleu, informations bancaires…)Par le biais d’e-mail ou de pop-upPar le biais d’e-mail ou de pop-upFréquemmentFréquemment
AlarmisteAlarmisteNon personnaliséNon personnaliséLien dans le messageLien dans le message(Fautes d’orthographe / grammaire)(Fautes d’orthographe / grammaire)
Tout le monde a vu la démo du keynote du 14 Tout le monde a vu la démo du keynote du 14 juin? (sinon captures d’écran en annexe de juin? (sinon captures d’écran en annexe de ce .ppt)ce .ppt)
Adresse trompeuseLe code source révèle la vraie adresse : “href=mailto:[email protected]”
Lien trompeurLe code source révèle que l’adresse réelle est : href=http://www.online-msnupdate.com/?sess=qCKWmHUBPPZwT8n4GEMNh7owHDEGt40IHKG5tAGiqGOjNeovRc&[email protected]
La différence entre ces deux URL pourrait être un signe que le message est faux (en outre, si les 2 URL étaient les mêmes, il faudrait quand même rester sur ses gardes.)
Message alarmisteTentative flagrante de faire croire à une urgence pour obtenir une réponse sans réflexion. En général, il y a aussi des fautes de frappe, d’orthographe, de grammaire
Message non personnaliséSoignez méfiant(e) si une entreprise avec laquelle vous êtes régulièrement en contact, ne vous appelle pas par votre nom.
Connaissance de la sociétéIci eBay, en général, n’envoie pas d’e-mails contenant des liens de login à ses clients. Regarder dans la barre d’état et constater que le lien ne pointe pas sur le site eBay.com
Se méfier des liens dans un e-mail qui s’affichent différemment dans la barre d’état. Dans ce cas, ouvrir un nouveau navigateur et taper soit-même l’URL normale.
PHISHING
Regardez attentivement le lien. Vous voyez le signe @ ? C’est un classique pour le phishing. Dans certains navigateurs, ce qui est à gauche du @ n’est pas pris en compte et la connexion a lieu sur ce qui est à droite.
PHISHING
Exemple en mai 2005Exemple en mai 2005
Courrier de Courrier de phishingphishing visant les clients visant les clients de grandes banques françaises :de grandes banques françaises :
Comment ne pas se faire avoirComment ne pas se faire avoir
Se méfier si on vous contacte soudainement pour vous Se méfier si on vous contacte soudainement pour vous demander des informations personnelles (par e-mail ou pop-up)demander des informations personnelles (par e-mail ou pop-up)Ne pas cliquer sur un lien dans un e-mail qui vous demande des Ne pas cliquer sur un lien dans un e-mail qui vous demande des informations personnelles (au besoin, allez vous-même sur le informations personnelles (au besoin, allez vous-même sur le site de l’institution en tapant l’adresse habituelle)site de l’institution en tapant l’adresse habituelle)Si quelqu’un vous contacte en vous prétendant que vous avez Si quelqu’un vous contacte en vous prétendant que vous avez été victime d’une fraude, vérifiez d’abord son identité avant de été victime d’une fraude, vérifiez d’abord son identité avant de lui communiquer la moindre information (valable pour le site lui communiquer la moindre information (valable pour le site auquel vous vous connectez)auquel vous vous connectez)NE JAMAIS communiquer d’information personnelle secrète NE JAMAIS communiquer d’information personnelle secrète (comme un mot de passe) ou d’information bancaire(comme un mot de passe) ou d’information bancaireVérifiez régulièrement vos relevés bancaires et de carte de Vérifiez régulièrement vos relevés bancaires et de carte de créditcréditSignalez les cas suspects aux autorités compétentesSignalez les cas suspects aux autorités compétentes
SpywaresSpywaresSpywaresSpywares
Que sont les logiciels Que sont les logiciels espions ?espions ?
ExemplesExemplesDescriptionDescription
Pas de nuisance Pas de nuisance potentiellepotentielle
Utilisation de Utilisation de ressources à ressources à distancedistance
Collecte de Collecte de données données personnellespersonnelles
Affichage de pubAffichage de pub
Changements de Changements de paramétragesparamétrages
Numérotation Numérotation automatiqueautomatique
Clairement Clairement malfaisant malfaisant (virus, ver, (virus, ver, troyen)troyen)
Inoffensif
Collecte de données
Publicité
Changements de
configuration
Utilisation de
ressources à distance
Numérotation
Activité malfaisante
Surveillance Enregistrement Enregistrement des frappes des frappes clavierclavier
Pote
nti
el d
e
Pote
nti
el d
e
nu
isan
ce
nu
isan
ce
ExtrêmExtrêmee
AucunAucun
ComportementComportement
+ NotepadNotepad
+ Logiciel du fournisseur d’accèsLogiciel du fournisseur d’accès– Numérotation vers site pornoNumérotation vers site porno
+ Contrôle parentalContrôle parental– Key-loggersKey-loggers
– SasserSasser
+ Barre de recherche autoriséeBarre de recherche autorisée– Collecte de donnéesCollecte de données
+ Logiciel supportant de la pubLogiciel supportant de la pub– Pop-ups non autorisésPop-ups non autorisés
+ Utilitaires de paramétrageUtilitaires de paramétrage– Détournement du navigateurDétournement du navigateur
+ Application partage de cycleApplication partage de cycle– Porte dérobéePorte dérobée
Spyware ou logiciel espion : Programme qui effectue un certain nombre
d’opérations sans le consentement approprié de l’utilisateur
Quelques idées de l’ampleurQuelques idées de l’ampleur
La cause d’au moins 1/3 de tous les crashes des La cause d’au moins 1/3 de tous les crashes des applications Windowsapplications Windows11
Problème majeur chez les OEMs : la cause numéro Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell1 des appels au support chez Dell22
ConsommateursConsommateurs91 % des utilisateurs de l’Internet haut débit sont affectés91 % des utilisateurs de l’Internet haut débit sont affectés33
En moyenne : 5+ « En moyenne : 5+ « spywaresspywares » / « » / « adwaresadwares » par machine » par machine44
Entreprise Entreprise 55
92 % des managers des DI interrogés pensent que leurs 92 % des managers des DI interrogés pensent que leurs sociétés ont des « sociétés ont des « spywaresspywares » »
1Analyses MS Watson/OCA, Jan-Mar 20042FTC Workshop, Avril 20043,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 20045Websense Web@Work Survey, Avril 2004
Par où viennent-ils ?Par où viennent-ils ?
Par e-mail ou via des pièces jointes Par e-mail ou via des pièces jointes attractivesattractives
Faux bulletins de sécurité Microsoft Faux bulletins de sécurité Microsoft Non signés bien entendu (comment Non signés bien entendu (comment reconnaître un message authentique : reconnaître un message authentique : http://www.microsoft.com/security/incident/ahttp://www.microsoft.com/security/incident/authenticate_mail.mspx)uthenticate_mail.mspx)
PhotosPhotos
Via des Via des installations installations de logicielsde logiciels
Par où viennent-ils ?Par où viennent-ils ?
Connexion réseau avec absence de Connexion réseau avec absence de correctif et de pare-feucorrectif et de pare-feu
Téléchargement lors de la navigation Téléchargement lors de la navigation ActiveX camouflé par ex.ActiveX camouflé par ex.
IE 6.0SP2 (Windows XP SP2) et ultérieur a IE 6.0SP2 (Windows XP SP2) et ultérieur a une interface plus claire et plus sure pour une interface plus claire et plus sure pour l’utilisateurl’utilisateur
Pop-ups et autres astucesPop-ups et autres astucesBannières, pop-oversBannières, pop-overs
Lutter contre les logiciels Lutter contre les logiciels non désirésnon désirés
Utiliser un compte normal (LUA)Utiliser un compte normal (LUA)
Désactiver le contenu actif dans IEDésactiver le contenu actif dans IECeci peut empêcher certains sites de Ceci peut empêcher certains sites de fonctionnementfonctionnement
Par exemple : Windows UpdatePar exemple : Windows Update
Fermer les fenêtres par combinaison de Fermer les fenêtres par combinaison de touche ou par la croix blanche sur fond rougetouche ou par la croix blanche sur fond rouge
Télécharger seulement depuis des sites de Télécharger seulement depuis des sites de bonne réputation qui certifient que les bonne réputation qui certifient que les logiciels sont propreslogiciels sont propres
Utiliser un logiciel antispywareUtiliser un logiciel antispyware
Microsoft Windows Microsoft Windows AntiSpywareAntiSpyware
Communauté SpyNet™ : identifier les nouveaux Communauté SpyNet™ : identifier les nouveaux spywaresspywares
Mise à jour automatique des signaturesMise à jour automatique des signatures
Corrige les problèmes de ralentissement, de Corrige les problèmes de ralentissement, de pop-upspop-ups, etc., etc.
Analyses planifiées pour maintenir sécurité et confidentialitéAnalyses planifiées pour maintenir sécurité et confidentialité
Surveillance temps réelSurveillance temps réel de plus de 50 points d'entrées de plus de 50 points d'entrées
Alertes personnalisables selon vos préférencesAlertes personnalisables selon vos préférences
Lutte contre les logiciels espionsLutte contre les logiciels espions
Aide à protéger les utilisateurs de Aide à protéger les utilisateurs de Windows contre les logiciels espions et Windows contre les logiciels espions et autres logiciels non désirésautres logiciels non désirés
Détecter et supprimer Détecter et supprimer les spywaresles spywares
Améliorer la sécurité Améliorer la sécurité de la navigation sur de la navigation sur
InternetInternet
Stopper les dernières Stopper les dernières menacesmenaces
Windows AntiSpywareWindows AntiSpyware
Plus de 10 millions de Plus de 10 millions de téléchargements (en 10 semaines)téléchargements (en 10 semaines)Retours positifs et nombreux Retours positifs et nombreux commentaires constructifscommentaires constructifsSignatures anti-spyware mises à Signatures anti-spyware mises à jour toutes les semainesjour toutes les semaines
Site Microsoft Anti-spyware Site Microsoft Anti-spyware
http://www.microsoft.com/spywarehttp://www.microsoft.com/spyware
Protection “temps réel” de Protection “temps réel” de MS AntispywareMS Antispyware
MSAS scanne les points de MSAS scanne les points de démarrage des spywares toutes les démarrage des spywares toutes les 10s10s
Blocage avec MS AntispywareBlocage avec MS Antispyware
Si une nouvelle entrée apparaît, il fait Si une nouvelle entrée apparaît, il fait apparaître une fenêtre de notificationapparaître une fenêtre de notification
Choisir “block”Choisir “block”entraîne la entraîne la suppression de la suppression de la nouvelle entréenouvelle entrée
Évolution de MS Antispyware Évolution de MS Antispyware
Détection et suppression des logiciels non Détection et suppression des logiciels non désirésdésirésProtection en continuProtection en continuMise à jour des défense (signatures)Mise à jour des défense (signatures)Version de base gratuite (plutôt pour les Version de base gratuite (plutôt pour les particuliers mais peut être utilisée en particuliers mais peut être utilisée en entreprise si on en accepte les limitations)entreprise si on en accepte les limitations)Version entreprise : Version entreprise :
Déploiement centralisé (client et signatures)Déploiement centralisé (client et signatures)Rapports étendusRapports étendusOptions de configuration et contrôle Admin des Options de configuration et contrôle Admin des signaturessignatures
Nettoyage manuelNettoyage manuel
Car un antispyware classiqueCar un antispyware classiqueRepose sur des signaturesRepose sur des signaturesPeut être la cible d’un logiciel indésirablePeut être la cible d’un logiciel indésirablePeut ne pas être installé sur une machine touchéePeut ne pas être installé sur une machine touchée
Des outils comme ceux de Des outils comme ceux de www.sysinternals.com peuvent être utileswww.sysinternals.com peuvent être utilesDémarche : Démarche :
Identifier les processus (Process Explorer)Identifier les processus (Process Explorer)Les suspendre puis les terminerLes suspendre puis les terminer
Identifier les sources de démarrage automatique Identifier les sources de démarrage automatique de ces processus (Autoruns)de ces processus (Autoruns)
Les supprimerLes supprimer
Supprimer les fichiers et répertoires de ces Supprimer les fichiers et répertoires de ces logiciels indésirables (Sigcheck en partie)logiciels indésirables (Sigcheck en partie)
AutorunsAutoruns
Fournit plus d’infos que msconfig de Windows Fournit plus d’infos que msconfig de Windows XPXPMontre les endroits qui peuvent être configurés Montre les endroits qui peuvent être configurés pour exécuter du code au démarrage ou à pour exécuter du code au démarrage ou à l’ouverture de sessionl’ouverture de session
ServicesServicesTâchesTâchesModules additionnels de l’explorateur et d’IE (barres Modules additionnels de l’explorateur et d’IE (barres d’outils, d’outils, Browser Helper ObjectsBrowser Helper Objects, …), …)
Affiche le chemin complet et la versionAffiche le chemin complet et la versionRecherche sur le Web facileRecherche sur le Web facileFocalisation aisée sur le code non Microsoft Focalisation aisée sur le code non Microsoft (cache les entrées MS signées) (cache les entrées MS signées) Version en ligne de commande (script, réseau)Version en ligne de commande (script, réseau)
AutorunsAutoruns
Process ExplorerProcess Explorer
Plus complément que le Gestionnaire de tâches de Windows XPPlus complément que le Gestionnaire de tâches de Windows XPPermet une exploration approfondie des processusPermet une exploration approfondie des processus
Arborescence de processusArborescence de processusLigne de commandeLigne de commandeChemin completChemin completInformation de versionInformation de versionChaînesChaînesVérification de signature de codeVérification de signature de codeChercheur de fenêtreChercheur de fenêtreRecherche sur le WebRecherche sur le Web
Processus suspects :Processus suspects :Pas de description ou de nom d’éditeurPas de description ou de nom d’éditeurSitués dans %windir%Situés dans %windir%Pas d’icônePas d’icôneDrôles d’URL dans les chaînesDrôles d’URL dans les chaînes
Process ExplorerProcess Explorer
Signature de codeSignature de code
Le code de Microsoft est signé Le code de Microsoft est signé numériquementnumériquement
AutorunsAutoruns et et Process Explorer Process Explorer vérifient vérifient les signaturesles signatures
Sigcheck Sigcheck permet d’analyser les permet d’analyser les signatures des exécutablessignatures des exécutables
Analyser de tout le système (au moins Analyser de tout le système (au moins %windir%)%windir%)
Regarder de près les images non signéesRegarder de près les images non signées
SigcheckSigcheck
Ligne de commande pour afficher des Ligne de commande pour afficher des informations sur les exécutables non signés :informations sur les exécutables non signés :
sigcheck -e -u -s c:\sigcheck -e -u -s c:\
BotnetsBotnetsBotnetsBotnets
BotnetsBotnets : terminologie : terminologie
Bot (robot)Bot (robot)Programme exécutant une action ou un groupe Programme exécutant une action ou un groupe d’action à la demande d’un programme distant. d’action à la demande d’un programme distant. Installé sur l’ordinateur de la victime (zombie)Installé sur l’ordinateur de la victime (zombie)
BotnetBotnetRéseau de machines zombies formant une armée Réseau de machines zombies formant une armée d’ordinateurs contrôlée à partir d’un point centrald’ordinateurs contrôlée à partir d’un point central
Canal de contrôleCanal de contrôleMéthode pour communiquer avec les victimesMéthode pour communiquer avec les victimes
« Gardien » (pirate, attaquant…)« Gardien » (pirate, attaquant…)Gardien des robots, contrôleur, Gardien des robots, contrôleur, Bot HerderBot HerderPossède le canal de contrôle et commande le Possède le canal de contrôle et commande le botnet botnet Motivations : argent, puissanceMotivations : argent, puissance
Fonctionnalité : vol de Fonctionnalité : vol de donnéesdonnées
Documents ou données sur l’ordinateur Documents ou données sur l’ordinateur infectéinfectéMots de passe, mots de passe IRCMots de passe, mots de passe IRCNuméros de comptes bancaires, mots Numéros de comptes bancaires, mots de passede passeComptes PaypalComptes PaypalDonnées liées aux cartes de créditDonnées liées aux cartes de créditTouches frappées au clavier (Touches frappées au clavier (keyloggerkeylogger))Numéros de série de logiciels Numéros de série de logiciels (Windows, Office, jeux, etc.)(Windows, Office, jeux, etc.)
Fonctionnalité : DDoSFonctionnalité : DDoS
Quelques centaines de machines Quelques centaines de machines peuvent rendre indisponible un site de peuvent rendre indisponible un site de commercecommerce
Au Kentucky, des sites Internet ont été Au Kentucky, des sites Internet ont été rendus inaccessibles pendant une rendus inaccessibles pendant une semaine ; ils avaient refusé de payer semaine ; ils avaient refusé de payer 10.000 $10.000 $
Crime organisé : en Angleterre, des Crime organisé : en Angleterre, des casinos en ligne se sont vus proposer casinos en ligne se sont vus proposer une « protection » contre 50.000 $/anune « protection » contre 50.000 $/an
Fonctionnalité : SpamFonctionnalité : Spam
(en 2004) Entre 70% et 80% du Spam (en 2004) Entre 70% et 80% du Spam est envoyé à partir de machines est envoyé à partir de machines zombieszombies
Des botnets sont « loués » pour l’envoi Des botnets sont « loués » pour l’envoi de Spamde Spam
Exemples réels :Exemples réels :Entre 2,5 et 6 cents par bot par semaineEntre 2,5 et 6 cents par bot par semaine
Entre 200 et 900 $ par semaineEntre 200 et 900 $ par semaine
Machines constamment disponibles : entre Machines constamment disponibles : entre 5.000 et 30.0005.000 et 30.000
Septembre 2004 - forums de SpecialHam.com, Spamforum.biz
Fonctionnalités : autres Fonctionnalités : autres sources de revenussources de revenus
Installation de Spyware, AdwareInstallation de Spyware, Adware
Simulation de « clics » sur les publicités Simulation de « clics » sur les publicités de sites web – les annonceurs paient au de sites web – les annonceurs paient au nombre de clicsnombre de clics
……
FonctionnementFonctionnement
ServeurServeurde contrôlede contrôle
(1) Infecter la 1(1) Infecter la 1èreère victime victime
Infecter laInfecter la11èreère victime victimeavec un botavec un bot
ServeurServeurde contrôlede contrôle
(2) Connexion au serveur IRC(2) Connexion au serveur IRC
Connexion du botConnexion du botau serveur IRCau serveur IRC
ServeurServeurde contrôlede contrôle
Connexion du botConnexion du botau serveur IRCau serveur IRC
(3) Connexion du gardien(3) Connexion du gardien
ServeurServeurde contrôlede contrôle
ConnexionConnexiondu gardiendu gardien
au serveur IRCau serveur IRC
(4) Propagation(4) Propagation
ServeurServeurde contrôlede contrôle
CommandeCommandede propagationde propagation
BotnetBotnet
(5) Botnet prêt(5) Botnet prêt
ServeurServeurde contrôlede contrôle
CommandeCommandede propagationde propagation
BotnetBotnet
Canal de contrôle : IRCCanal de contrôle : IRC
Protocole connu depuis presque 25 ansProtocole connu depuis presque 25 ansUn des premiers systèmes de chat décentralisé Un des premiers systèmes de chat décentralisé ((channelchannel ~ ~ chat roomchat room))Premiers bots créés pour contrôler ses propres Premiers bots créés pour contrôler ses propres channelschannels, puis pour des fonctions évoluées (jeux, , puis pour des fonctions évoluées (jeux, serveurs de fichiers, etc.)serveurs de fichiers, etc.)
Exemple : solution de repli pour le P2PExemple : solution de repli pour le P2P
AvantagesAvantagesOutils et connaissance disponiblesOutils et connaissance disponiblesProtocole léger et simple à programmerProtocole léger et simple à programmerJusqu’à 45.000 clients par serveurJusqu’à 45.000 clients par serveur
InconvénientsInconvénientsFacilement repérableFacilement repérableDépendant de l’architecture DNSDépendant de l’architecture DNSLe botnet repose sur un seul serveurLe botnet repose sur un seul serveur
Boîte à outilsBoîte à outils
Bots disponibles, avec sources (C/C++) Bots disponibles, avec sources (C/C++) et documentationet documentation
Certains sont portables : Windows, LinuxCertains sont portables : Windows, Linux
Serveurs IRC gratuits (basés sur IRCd)Serveurs IRC gratuits (basés sur IRCd)De plus en plus de serveurs modifiés, De plus en plus de serveurs modifiés, adaptés aux volumes et fonctions des adaptés aux volumes et fonctions des botnetsbotnets
Client IRCClient IRCAutres canaux :Autres canaux :
HTTPHTTPICQICQ
(à but éducatif uniquement…)
Mais encore ?Mais encore ?
Contre-mesuresContre-mesures
Les bots se propagent par le réseauLes bots se propagent par le réseau
Pare-feuPare-feu
Mises à jourMises à jour
Anti-virusAnti-virus
Attention aux nouvelles machines Attention aux nouvelles machines personnelles et à leur 1personnelles et à leur 1èreère connexion à connexion à l’Internetl’Internet
RootkitsRootkitsRootkitsRootkits
Rootkit - DéfinitionRootkit - Définition
Définition :Définition :Un rootkit est un ensemble de composants Un rootkit est un ensemble de composants logiciels modifiant/déroutant le chemin logiciels modifiant/déroutant le chemin d’exécution du système. Cette modification d’exécution du système. Cette modification porte atteinte à l’intégrité de la « Trusted porte atteinte à l’intégrité de la « Trusted Computing Base » (TCB).Computing Base » (TCB).
Objectif :Objectif :Maintenir la présence malveillante sur un Maintenir la présence malveillante sur un système compromis par l’utilisation de système compromis par l’utilisation de techniques de furtivité.techniques de furtivité.
Rootkit - CapacitésRootkit - Capacités
Cacher :des processusdes fichiersdes pilotesdes ports et des connexions réseaudes clés de registre
Installer des portes dérobéesAjouter des privilèges à une sessionAjouter des groupes à une sessionManipuler l’observateur d’évènementsFaire tout ce qu’un programme peut faire
Scénarios d’attaqueScénarios d’attaque
L’attaquant acquiert des privilèges L’attaquant acquiert des privilèges élevés sur un systèmeélevés sur un système
L’attaquant installe le rootkitL’attaquant installe le rootkit
Le rootkit se dissimule lui-même ainsi Le rootkit se dissimule lui-même ainsi que tout autre composant configuréque tout autre composant configuré
L’attaquant peut alors réaliser tous L’attaquant peut alors réaliser tous types d’actions sur le système avec peu types d’actions sur le système avec peu de risques de détectionde risques de détection
Rootkit en mode utilisateurRootkit en mode utilisateur
Modifie les exécutables et librariesModifie les exécutables et libraries
Reroute les APIs :Reroute les APIs :CreateFile, FindFirstFile, …CreateFile, FindFirstFile, …
RegGetValue, RegEnumKey, …RegGetValue, RegEnumKey, …
EnumProcesses, EnumProcessModules, …EnumProcesses, EnumProcessModules, …
……
Rootkit en mode noyauRootkit en mode noyau
Modifie les tables/fonctions Kernel:Modifie les tables/fonctions Kernel:KiServiceTableKiServiceTableSST/SDTSST/SDT
Déroute l’interruption Int 2EDéroute l’interruption Int 2EModifie les tables Kernel (Direct Kernel Object Modifie les tables Kernel (Direct Kernel Object Manipulation)Manipulation)
EPROCESS FLINK/BLINK – Le système exécute des EPROCESS FLINK/BLINK – Le système exécute des threads, pas des process.threads, pas des process.Ajoute des groupes, des privilèges, etc aux jetons.Ajoute des groupes, des privilèges, etc aux jetons.Modifie les listes de l’OrdonnanceurModifie les listes de l’Ordonnanceur
KiWaitInListHeadKiWaitInListHeadKiWaitOutListheadKiWaitOutListheadKiDispatcherReadyListHeadKiDispatcherReadyListHead
Principe de Principe de fonctionnementfonctionnement
32
1
Kernel Mode
(Ring 0)
User Mode
(Ring 3)
AppCreateFile();
Kernel32.dllCreateFileW
ntdll.dllZwCreateFile
mov eax, 25h
mov edx, 7FFE0300h
call dword ptr [edx]
retn 4
mov edx, esp
sysenter (or int 2E)
ret
KiSystemService(maybe via KiFastCallEntry)
2E
Interrupt Dispatch Table
7FFE0300h
NtCreateFile
IoCreateFile
IopCreateFile
(25h)NtCreateFile
Service Descriptor Table
0
DémonstrationDémonstrationDémonstrationDémonstration
RootkitRootkit
Contre-mesuresContre-mesuresContre-mesuresContre-mesures
Contre-mesuresContre-mesures
Cf sessions précédentes :Cf sessions précédentes :Windows XP SP2Windows XP SP2
LUALUA
Outils et infosOutils et infos
RemerciementsRemerciements
Mark RussinovichMark RussinovichChief Software ArchitectChief Software ArchitectWinternals SoftwareWinternals [email protected]@sysinternals.compour la partie spywarespour la partie spywares
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com
AnnexeAnnexeAnnexeAnnexe
Démos de Démos de phishing : phishing : comparaison de Windows comparaison de Windows XP Service Pack 1 et de XP Service Pack 1 et de
Windows XP Service Pack2Windows XP Service Pack2
Démos de Démos de phishing : phishing : comparaison de Windows comparaison de Windows XP Service Pack 1 et de XP Service Pack 1 et de
Windows XP Service Pack2Windows XP Service Pack2Cyril VoisinCyril VoisinChef de programme Sécurité Chef de programme Sécurité Microsoft FranceMicrosoft France
E-mail dans Outlook E-mail dans Outlook ExpressExpress
E-mail dans Outlook E-mail dans Outlook ExpressExpress
Démo 1 : phishing par e-mail Démo 1 : phishing par e-mail dans Outlook Expressdans Outlook Express
ActiveX et camouflageActiveX et camouflageActiveX et camouflageActiveX et camouflage
Démo 2 : tentative Démo 2 : tentative d’installation d’un cheval de d’installation d’un cheval de Troie par tromperieTroie par tromperie
Vol de mot de passe par Vol de mot de passe par usurpation de l’interfaceusurpation de l’interfaceVol de mot de passe par Vol de mot de passe par usurpation de l’interfaceusurpation de l’interface
Démo 3 : Internet Explorer Démo 3 : Internet Explorer en mode plein écran pour en mode plein écran pour tromper l’utilisateurtromper l’utilisateur
Top Related