's Backdoors Présentation des backdoors. - x90re backdoors - Objectif et plan Lobjectif de cette présentation est de faire une démonstration des possibilités.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Les Web Services Schéma Directeur des Espaces numériques de Travail
CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
ESU Faciliter la gestion dInternet au CDI avec ESU.
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Présentation de l’Internet
AVERTISSEMENT AUCUN SYSTEME D’INFORMATION EN PRODUCTION N’A ETE MALTRAITE DURANT LA REALISATION DE CETTE PRESENTATION CECI N’EST PAS UNE INCITATION AU.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès
Exposé de Système - Informatique et Réseau
Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Implémentation de la sécurité IPSec
TRANSFER Alger – Serveur Web Nicolas Larrousse Septembre Petit historique du Worl Wide Web Notion dHypertexte Extension à internet par Tim Berners.
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.
Sommaire: 1- Intro/ la raison d'être du FTP/petit historique
Collège Anatole France – Cadillac Mise à jour: Questions sur cette charte à envoyer à: CHARTE INFORMATIQUE SIMPLIFIEE.
X90res Backdoors Présentation des Backdoors. Présentation de x90res backdoors – Benjamin CAILLAT Objectif et plan Lobjectif de cette présentation est.
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
La configuration Apache 2.2 Lhébergement virtuel.
Le Téléphone Russe Le Téléphone Russe. Le Téléphone Russe Le Téléphone Russe.
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
SECURITE DU SYSTEME D’INFORMATION (SSI)
Module 1 : Préparation de l'administration d'un serveur
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Comprendre l’environnement Web
Lycée Louis Vincent Séance 1
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Les instructions PHP pour l'accès à une base de données MySql
Le protocole FTP.
Mise en place d'un serveur SSL
.Net Remoting.
Les relations clients - serveurs
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 3 : Création d'un domaine Windows 2000
Ipchains TP 1 TP 2 TP 3 Installer un serveur web sur votre poste,
Travail de diplôme José Garrido Professeur : Philippe Freddi Explorer Internet en toute sécurité Surf Safe SPY INTERNET.
DOC-DEPOT.COM - ‘' Mon essentiel à l'abri en toute confiance '' 29 mai 2014 Copies d’écrans Acteur Social Avec commentaires.
PHP 5° PARTIE : LES COOKIES
Expose sur « logiciel teamviewer »
Cours de programmation web
Institut Supérieur d’Informatique
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Application de gestion des retards
Advisor Advanced IP Présentation Télémaintenance Télésurveillance.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
http 1.1.  connexion persistante Browser Mozilla Firefox Adresse ip.
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
Présence et communication peer-to-peer Diplômant : Yves Bresson Professeur responsable : Yves Dennebouy EIVD Septembre - Décembre 2003.
Module 3 : Création d'un domaine Windows 2000
 Formulaires HTML : traiter les entrées utilisateur
En route vers le déploiement . . .
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
V- Identification des ordinateurs sur le réseau
Module 2 3. Stocker ses fichiers dans son porte-documents KOSMOS.
Architecture Client/Serveur
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
PPE N°3 Etude d’une solution de serveur mandataire proxy filtrant
Sécurité des Web Services
MARS 2015V0.1 DOC-DEPOT La Consigne Numérique Solidaire Support Formation Acteur Social (compte bénéficiaire)
TWP Toolkit Formation 21/10/2009.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
Installation du PGI – CEGID
CEGID et environnement réseau Groupe PGI Académie de Grenoble.
KOSMOS 1 Outils transversaux Module 7 1.L’annuaire 2.La recherche d’informations 3.La réservation de ressources.
Transcription de la présentation:

's Backdoors Présentation des backdoors

- x90re backdoors - Objectif et plan Lobjectif de cette présentation est de faire une démonstration des possibilités de backdoors avancées sous Windows Elle commence par une présentation de lenvironnement et des backdoors, suivie dune démonstration effectuée via une capture vidéo

Avertissement --- La présentation, au cours de cette démonstration, de techniques de compromission a pour unique objectif de vous permette de mieux les appréhender pour mieux vous en protéger Ces manipulations ont été faites dans un environnement de test privé et confiné Pour mémoire toute tentative dintrusion sur un réseau ou sur des machines ne vous appartenant pas est illégale

Partie I Présentation du contexte

- x90re backdoors - Description du contexte On considère le cas dattaques ciblées : lobjectif est la récupération de documents confidentiels sur le poste dune entreprise Cette présentation se concentre sur la partie évasion de données. Lintroduction de la backdoor ne sera pas considérée. Ce seront des exécutables directement lancés sur les postes compromis

- x90re backdoors - Réseau de lentreprise (1) Larchitecture considérée sera une représentation simplifiée dun réseau dentreprise : Un LAN de machines sous Windows Les postes sont autorisés à accèder au web via un proxy Les connexions directes vers lextérieur sont interdites

- x90re backdoors - Réseau de lentreprise (2) INTERNET Réseau de lentrepris e FIREWALL PROXY HTTP(S) SERVEUR HTTP(S) CONNEXIONS DOIVENT PASSER PAR LE PROXY CONNEXIONS DIRECTES SONT INTERDITES

Partie II Présentation des backdoors

- x90re backdoors - Deux clients, un serveur Les backdoors sont des parties clientes se connectant sur une partie serveur Il existe deux backdoors (parties clientes) : Fratus et Parsifal Elles communiquent avec une partie serveur : BlackMoon

- x90re backdoors - Principe de communication Méthode de communication sapparente à du polling afin de ressembler à des requêtes web (principe détaillé plus loin) Backdoor BlackMoon Requête Réponse SLEEP

- x90re backdoors - Les backdoors implémentent une interface standard sur laquelle viennent se brancher des « modules » Modularité des backdoors (1) Module 1Module 2 BackdoorBlackMoon

- x90re backdoors - Modularité des backdoors (2) Les backdoors ont pour unique objectif d'établir une communication avec BlackMoon. Les fonctionnalités réelles sont dans les modules Les modules sont des dlls qui exportent un ensemble standardisé de fonctions Elles sont uploadées depuis BlackMoon et chargées dans l'espace processus de la backdoor

- x90re backdoors - Modularité des backdoors (3) Avantages Lajout de nouvelles fonctionnalités est rapide et facile La taille de la backdoor reste faible Il est possible duploader uniquement les modules requis sur lhôte Il suffit de connaître linterface pour développer de nouveaux modules. Il est inutile de comprendre/davoir le code de la backdoor

- x90re backdoors - Modularité des backdoors (4) Exemples de modules déjà développés : CMD= « cmd » distant FIF= Recherche récursive dans les fichiers GPW= Capture de mot de passe BNR= Banner fingerprint FWD= Ajoute la fonctionnalité forward SCAN= Scanner TCP (syn/cnt) / ICMP / UDP SNST = Effectue des screenshots

- x90re backdoors - Adresse de la partie serveur communiquant peut être retrouvée : Dans la backdoor elle-même Dans les logs du proxy Pour éviter que la remontée à lattaquant soit possible, des relais (fwd) sont ajoutés entre la backdoor et BlackMoon Notion de fwd (1)

- x90re backdoors - Notion de fwd (2) Principe avec un relais (fwd) : Requête Réponse BackdoorBlackMoonfwd Requête Réponse Problème : lattaquant na aucun lien et donc aucun contrôle sur le fwd => celui-ci peut sarrêter à tout moment Il faut donc introduire une redondance

- x90re backdoors - Réponse Notion de fwd (3) Généralisation avec N relais : BackdoorBlackMoon fwd Requête Réponse RequêteRéponse Choisi un fwd au hasard Requête Réponse Choisi un fwd au hasard Forwarder éteint Echec de la connection Marque fwd comme down

- x90re backdoors - Notion de fwd (4) Chaque relais choisi aléatoirement le relais suivant Le chemin reste établit pendant une durée limitée (30 s.) puis est reconstruit avec dautres relais Si un relais nest plus disponible, il est écarté de la liste des relais valides La fonctionnalité de fwd est implémentée par un module; toute backdoor peut devenir un fwd

- x90re backdoors - Par défaut, les backdoors utilisent des canaux cachés dans HTTP pour communiquer Comme pour les modules, il est possible de dajouter le support de nouveaux protocoles dynamiquement Modularité du protocole (1)

- x90re backdoors - Modularité du protocole (2) Il existe une interface normalisée entre les backdoors et les modules protocoles Backdoor Module 1Module 2 BlackMoon HTTP Protocole 2

- x90re backdoors - Modularité du protocole (3) Comme pour les modules, lajout dun nouveau protocole se fait en uploadant une dll, qui sera ensuite chargée dans lespace processus de la backdoor Les protocoles actuellement supportés sont : HTTP (Hardcodé dans la backdoor) HTTPS DIRECT JABBER

- x90re backdoors - Communication via HTTP (1) Communication dans des canaux cachés: Backdoor => BlackMoon : données encodées (par XOR) dans les requêtes (GET/POST) BlackMoon => Backdoor : données encodées (par XOR et base 64) et placées à un offset aléatoire dans la page HTML Une URL est extraite de la page HTML et utilisée lors de la requête suivante

- x90re backdoors - Communication via HTTP (2) Principe de la communication par HTTP Backdoor BlackMoon GET HTTP/1.1GET /options.html HTTP/1.1 HTTP 200 OK … … [REAL DATA XORED & ENCODED IN BASE64] … HTTP 200 OK … … [REAL DATA XORED & ENCODED IN BASE64] …

- x90re backdoors - Communication via HTTPS Ouverture dune véritable connexion SSL Nécessite lupload des librairies OpenSSL Supporte la communication via PROXY Des données inutiles sont ajoutées à la réponse pour conserver un rapport U/D faible

- x90re backdoors - Communication via DIRECT Protocole simple sans canaux cachés Nest pas un protocole standardisé, ne supporte donc pas les proxys. La communication doit être directe Peut être utilisé dans un environnement non sécurisé (ordinateur utilisateur classique)

- x90re backdoors - Communication via JABBER Les données sont encodées en base 64 et envoyée dun utilisateur à un autre via un message Protocole plus fragile que les autres car la connexion nest pas directe

- x90re backdoors - Chaque protocole implémente la fonctionnalité de forward en plus de la fonctionnalité « client » Les forwarders sont capables de désencapsuler des données dun protocole vers un autre FWD et protocoles (1)

- x90re backdoors - FWD et protocoles (2) PROXY Par exemple dans la chaîne suivante, la communication va passer par le proxy en HTTP(S), puis passer en JABBER, puis en DIRECT JABBER DIRECT Backdoor BlackMoon HTTP(S)

- x90re backdoors - FWD et protocoles (3) Pour les protocoles HTTP(S) et DIRECT, le FWD doit être accessible depuis Internet Lutilisation de protocole client-client comme JABBER permet davoir des FWD sur des machines non accessibles depuis Internet (par exemple des machines cachées derrière du NAT)

- x90re backdoors - FWD et protocoles (4) La transformation protocole (client/serveur) vers protocole (client/serveur) est facile 3 connexions en entrée 3 connexions en sortie

- x90re backdoors - FWD et protocoles (5) Dans le cas de protocoles client-client (JABBER), la connexion doit multiplexer les requêtes des backdoors en amont 3 connexions en entrée JABBER 1 seule connexion en sortie

- x90re backdoors - Les deux backdoors implémentent toutes les deux les interfaces module et protocole Tous les modules et les protocoles peuvent donc se plugger sur lune et sur lautre Modularité conclusion Module 1Module 2 Backdoor (Fratus ou Parsifal) HTTP Protocole 2

- x90re backdoors - Fratus sexécute en tant que processus séparé Elle récupère les paramètres de connexions au web via les fichiers de configuration des navigateurs (Internet Explorer, Firefox, Netscape) Présentation de Fratus

- x90re backdoors - Parsifal sexécute en tant que thread dans les processus de lutilisateur Elle adopte un comportement virale en mémoire Tous les nouveaux processus lancés sont également infectés Présentation de Parsifal (1)

- x90re backdoors - Présentation de Parsifal (2) Parsifal récupère les paramètres de connexions au web en hookant certaines fonctions et en analysant les paramètres passés lors des appels. Elle nest donc pas liée à lutilisation dun navigateur Une fois les paramètres obtenus, il existe plusieurs modes. Par défaut, elle lance un navigateur caché dans lequel elle sexécute

- x90re backdoors - Présentation de Parsifal (3) Comme les connexions sont établies à partir de threads dans les navigateurs, Parsifal contourne le filtrage des firewalls personnels

- x90re backdoors - Présentation de Parsifal (4) Autres fonctionnalités: Rootkits user-land (répertoire dinstallation et clé de registre de redémarrage cachés) Logge les accès HTTP(S) de Internet Explorer Supporte les proxys avec authentification Récupération des mots de passe POP3 Envoi dune copie des mails en bcc

Partie III Démonstration

- x90re backdoors - Démonstration La démonstration est disponible sous forme dune vidéo sur mon site perso :

Partie IV Conclusion

- x90re backdoors - A venir Continuer les tests Améliorer lefficacité du transfert de données entre les fwd et BlackMoon Développer de nouveaux modules Ajouter de nouveaux protocoles (IRC) Tester avec dautres firewalls personnels avancés

- x90re backdoors - Contact Pour toutes questions/remarques: