Back Orifice 2000 - Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Active Directory Windows 2003 Server
Installer un serveur FTP
Module 5 : Implémentation de l'impression
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Botnet, défense en profondeur
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès
Les Firewall DESS Réseaux 2000/2001
Module 3 : Gestion et analyse du service DHCP
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
Le piratage informatique
Département de physique/Infotronique
Exposé : Prise de contrôle à distance
Sécurité Informatique
Active Directory Windows 2003 Server
PPE : La Porte Intelligente
Retour sur l'allocation d'espace Exemple sur une table facture (sans les tables associées) N° fact, N° Client, N° Cde, date Cde, date fact, date réglement,
Module 1 : Préparation de l'administration d'un serveur
Scanning.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Analyse des protocoles de la couche application
Déploiement sur le serveur Scribe eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur.
Les instructions PHP pour l'accès à une base de données MySql
Le protocole FTP.
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
DHCP Dynamic Host Configuration Protocol
Module 3 : Connexion d'ordinateurs clients Windows 2000 à des réseaux
GESTION DE PARCS D’ORDINATEURS
Les relations clients - serveurs
ALLOVON Olivier DEVES Nicolas MOULIN Yoann ROGER Rémi SAUVAJON Brice
Module 4 : Création et gestion de comptes d'utilisateur
Création et gestion de comptes d'utilisateur
ACTIVITE N°1: Identifier, justifier, installer le matériel, vérifier Rendre accessible larrière de la machine « revendeur » sans la démonter Identification.
Sécurité informatique
Module 2 : Préparation de l'analyse des performances du serveur
Module 3 : Création d'un domaine Windows 2000
Le Modele OSI.
Module 1 : Installation de Microsoft Windows XP Professionnel
Vue d'ensemble Configuration d'adresses IP
Module 5 : Configuration et gestion des systèmes de fichiers
Module : Technologies des serveurs réseaux : FTP Dynamic Host Configuration Protocol Présenter par : Mounir GRARI.
Configurer des systèmes d'exploitation 243-J28-SL cours 16.
L’attaque DNS Spoofing
Denial of Service and Distributed Denial of Service
KRIKORIAN Pierre HILMI Brahim
Création d’un serveur de mise à jour
Gestion à distance Netsh et rcmd.
1 F o r m a t i o n A R S FTP anonyme, Archie 2 F o r m a t i o n A R S FTP ANONYMOUS m Premier service d'accès à des documents publics. m Repose très.
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Installation et Configuration Internet Information Server (IIS 6)
Les Réseaux Informatiques Clients & Serveurs Le protocole FTP Laurent JEANPIERRE DEUST AMMILoR.
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
Groupe 7: Remote Buffer Overflow. Attaque sur lpd, démon de l’imprimante. Berteletti Elia, ELEC23 Bodart Jerome, INFO 23 Depoterre Jean-Charles, INFO23.
INGI 2591 : Détection d’intrusion David Dal Zot (INFO23) Benjamin Gigot (INFO23) Xavier Lerot (INFO23) Benjamin Tillier (INFO23) RACE CONDITION.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Le protocole DHCP.
Création d’un domaine Il faut :
Module 3 : Création d'un domaine Windows 2000
Presented by Initiation à un logiciel de courriel en ligne (Laposte.net) Niveau 2.
Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23.
 Formulaires HTML : traiter les entrées utilisateur
Module 2 : Planification de l'installation de SQL Server
Configuration NAT Dynamique
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
Travailler dans un environnement numérique évolutif Domaine D1.
Chapitre 5 Configuration et gestion des systèmes de fichiers Module S41.
Transcription de la présentation:

Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based - Détections Snort - analyse des règles existantes - analyse de nos règles

- Préparation du fichier « infecté ». - Envoi par du fichier à la victime. Préparation et Envoi

New service(‘umgr32.exe’)*EXEC(‘pacman.exe’) * nom du service ‘Remote Administration Service’ (valeurs par défaut) - Cache le serveur dans le processus ‘explorer.exe’ (par défaut) - Envoie un avec les adresses IP de la VICTIME Infection & Installation

- Transfert de fichiers - Edition de la base de registres - Liste des mots de passe - Gestion des ressources partagées - Lecture des touches tapées au clavier - Vision de l’écran de la victime (plugin) - Redirection de port TCP - Service Http : PORT DISQUE etc... Prise de Contrôle

Exemple de Redirection de port TCP Prise de Contrôle, L’Attaquant n’a pas accès au serveur ftp xxx.xxx.xxx.123 La Victime a accès au serveur, l ’attaquant accède au serveur « à travers » la Victime.

Problèmes Les Antivirus détectent backorifice ! Executez-vous tous les programmes que vous recevez ? Protégé par un firewall ? La victime est dans un Réseau privé ?

Détections Possibles NET-BASED - Fichier binaire contenant le serveur - Fichier binaire dans un - Surveillance des ports « par défaut » - Décodage XOR des paquets HOST-BASED - Fichier binaire du serveur sur disque (à la création, execution, …) - Surveillance de la base de registres - Surveillance des ports...

Net-Based Détection du « téléchargement » du serveur Fichier binaire transféré (ftp, http, …) Fichier binaire attaché à un Problème : quelle partie du binaire détecter ? Fichier binaire compressé par les format et options les plus communes (Zip). Avantage : détecte avant exécution/infection

Net-Based Détection de la communication client-serveur Surveillance des communications sur les ports par défaut de backorifice (54320 tcp et udp ) - Peu coûteux - Peu efficace car les ports sont aisément configurables Décodage XOR des paquets pour identifier les commandes envoyés par le client au serveur. - Nécessite beaucoup de ressources processeur. - pas pour 3DES - Détecte sur tous les ports - 3DES non fourni par défaut avec bo2k

Host-Based Détection de l ’installation/exécution du serveur Utilisation d ’un Antivirus pour - Scanner les fichiers - Scanner les fichiers exécutés - Scanner automatiquement les nouveaux fichiers créés. Surveillance de la base de registres Détection de la communication client-serveur Surveiller les ports ouverts pour voir s’ils sont fréquemment utilisés.

Snort Règles Existantes alert tcp $HOME_NET > !$HOME_NET any (msg:"BACKDOOR ACTIVITY-Possible BackOrifice 2000"; flags:SA;) alert tcp !$HOME_NET any -> $HOME_NET (msg:"BACKDOOR ATTEMPT-BackOrifice 2000"; flags:S;) - Ports par défaut (54320 pour tcp) - serveur bo2k dans $HOME_NET - client bo2k PAS dans $HOME_NET - Fausses Alertes possibles : dus aux ports dynamiques, par exemple http (1 port dynamique par connection). Variante : prendre !80 au lieu de any (évite les FA http)

# Détection du fichier executable (ftp, http,...) alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"trojan- download-bo2k tcp"; content:"|00 8B D1 57 B B8 00|";) Snort Notre Détection Détection dans les paquets entrants d’une chaine binaire significative du serveur backorifice : Variante 1 : chaine de caractères ASCII pour le même server, encodé pour transfert par # Détection du fichier encodé pour alert tcp $EXTERNAL_NET any -> $HOME_NET 10247: (msg:"trojan -download-mail-bo2k tcp"; content:"wUU1aL8TPbD7YGUI";)

Snort Notre Détection Variante 2 : fichier binaire compressé pour les formats et serveurs les plus communs. alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"trojan-download-zip1-bo2k tcp"; content:"|A6 1A EF 81 C6 7D 79 ED 7C 68 D5 C0 CA D7|";) alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:" trojan-download-zip1-bo2k tcp"; content:"|8A AF FD 54 E5 EE 46|";) Tests de la validité de la chaine binaire choisie : Testé sur un grand* nombre de transferts de fichiers divers sans provoquer d’alertes (* 500 MB)

Snort Critique de notre Détection - Probabilité de fausses alertes très faible malgré une étendue de détection élevée: - détection sur tous les ports (à priori > 1024) - détection sur plusieurs formats (exe,zip, ,…) - Détection avant installation de backorifice - Nécessite des ressources importantes (vérifier le contenu de tous les paquets sur tous les ports est for coûteux) - Ne détecte pas si archive crypté ou compressé avec des formats autres. Souvent Compromis entre Détections et Ressources

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.