La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Back Orifice 2000 - Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.

Publié parAmorette Fevre Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Back Orifice 2000 - Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based."— Transcription de la présentation:

1 Back Orifice 2000 - Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based - Détections Snort - analyse des règles existantes - analyse de nos règles

2 - Préparation du fichier « infecté ». - Envoi par e-mail du fichier à la victime. Préparation et Envoi

3 New service(‘umgr32.exe’)*EXEC(‘pacman.exe’) * nom du service ‘Remote Administration Service’ (valeurs par défaut) - Cache le serveur dans le processus ‘explorer.exe’ (par défaut) - Envoie un email avec les adresses IP de la VICTIME Infection & Installation

4 - Transfert de fichiers - Edition de la base de registres - Liste des mots de passe - Gestion des ressources partagées - Lecture des touches tapées au clavier - Vision de l’écran de la victime (plugin) - Redirection de port TCP - Service Http : PORT DISQUE etc... Prise de Contrôle

5 Exemple de Redirection de port TCP Prise de Contrôle, L’Attaquant n’a pas accès au serveur ftp xxx.xxx.xxx.123 La Victime a accès au serveur, l ’attaquant accède au serveur « à travers » la Victime.

6 Problèmes Les Antivirus détectent backorifice ! Executez-vous tous les programmes que vous recevez ? Protégé par un firewall ? La victime est dans un Réseau privé ?

7 Détections Possibles NET-BASED - Fichier binaire contenant le serveur - Fichier binaire dans un e-mail - Surveillance des ports « par défaut » - Décodage XOR des paquets HOST-BASED - Fichier binaire du serveur sur disque (à la création, execution, …) - Surveillance de la base de registres - Surveillance des ports...

8 Net-Based Détection du « téléchargement » du serveur Fichier binaire transféré (ftp, http, …) Fichier binaire attaché à un e-mail Problème : quelle partie du binaire détecter ? Fichier binaire compressé par les format et options les plus communes (Zip). Avantage : détecte avant exécution/infection

9 Net-Based Détection de la communication client-serveur Surveillance des communications sur les ports par défaut de backorifice (54320 tcp et 54321 udp ) - Peu coûteux - Peu efficace car les ports sont aisément configurables Décodage XOR des paquets pour identifier les commandes envoyés par le client au serveur. - Nécessite beaucoup de ressources processeur. - pas pour 3DES - Détecte sur tous les ports - 3DES non fourni par défaut avec bo2k

10 Host-Based Détection de l ’installation/exécution du serveur Utilisation d ’un Antivirus pour - Scanner les fichiers - Scanner les fichiers exécutés - Scanner automatiquement les nouveaux fichiers créés. Surveillance de la base de registres Détection de la communication client-serveur Surveiller les ports ouverts pour voir s’ils sont fréquemment utilisés.

11 Snort Règles Existantes alert tcp $HOME_NET 54320 -> !$HOME_NET any (msg:"BACKDOOR ACTIVITY-Possible BackOrifice 2000"; flags:SA;) alert tcp !$HOME_NET any -> $HOME_NET 54320 (msg:"BACKDOOR ATTEMPT-BackOrifice 2000"; flags:S;) - Ports par défaut (54320 pour tcp) - serveur bo2k dans $HOME_NET - client bo2k PAS dans $HOME_NET - Fausses Alertes possibles : dus aux ports dynamiques, par exemple http (1 port dynamique par connection). Variante : prendre !80 au lieu de any (évite les FA http)

12 # Détection du fichier executable (ftp, http,...) alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"trojan- download-bo2k tcp"; content:"|00 8B D1 57 B9 80 00 00 00 B8 00|";) Snort Notre Détection Détection dans les paquets entrants d’une chaine binaire significative du serveur backorifice : Variante 1 : chaine de caractères ASCII pour le même server, encodé pour transfert par e-mail : # Détection du fichier encodé pour email alert tcp $EXTERNAL_NET any -> $HOME_NET 10247: (msg:"trojan -download-mail-bo2k tcp"; content:"wUU1aL8TPbD7YGUI";)

13 Snort Notre Détection Variante 2 : fichier binaire compressé pour les formats et serveurs les plus communs. alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"trojan-download-zip1-bo2k tcp"; content:"|A6 1A EF 81 C6 7D 79 ED 7C 68 D5 C0 CA D7|";) alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:" trojan-download-zip1-bo2k tcp"; content:"|8A AF FD 54 E5 EE 46|";) Tests de la validité de la chaine binaire choisie : Testé sur un grand* nombre de transferts de fichiers divers sans provoquer d’alertes (* 500 MB)

14 Snort Critique de notre Détection - Probabilité de fausses alertes très faible malgré une étendue de détection élevée: - détection sur tous les ports (à priori > 1024) - détection sur plusieurs formats (exe,zip,email,…) - Détection avant installation de backorifice - Nécessite des ressources importantes (vérifier le contenu de tous les paquets sur tous les ports est for coûteux) - Ne détecte pas si archive crypté ou compressé avec des formats autres. Souvent Compromis entre Détections et Ressources

Télécharger ppt "Back Orifice 2000 - Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based."

Présentations similaires

Sécurité informatique

Sécurité informatique
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Installer un serveur FTP

Installer un serveur FTP
Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
GESTION D’IMPRISSION SOUS WINDOWS & LINUX

GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Botnet, défense en profondeur

Botnet, défense en profondeur
VLC UMVF Fiche Veille Statut Logiciel gratuit, open source

VLC UMVF Fiche Veille Statut Logiciel gratuit, open source
Www.coursmix.com Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.

Serveur jeu Le serveur fait partie d'un logiciel de jeu en ligne multi joueur en architecture client serveur. Il répond à des demandes.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Les Firewall DESS Réseaux 2000/2001

Les Firewall DESS Réseaux 2000/2001
Module 3 : Gestion et analyse du service DHCP

Module 3 : Gestion et analyse du service DHCP
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP

Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
Le piratage informatique

Le piratage informatique
Département de physique/Infotronique

Département de physique/Infotronique
Exposé : Prise de contrôle à distance

Exposé : Prise de contrôle à distance
Sécurité Informatique

Sécurité Informatique
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
PPE : La Porte Intelligente

PPE : La Porte Intelligente
Retour sur l'allocation d'espace Exemple sur une table facture (sans les tables associées) N° fact, N° Client, N° Cde, date Cde, date fact, date réglement,

Retour sur l'allocation d'espace Exemple sur une table facture (sans les tables associées) N° fact, N° Client, N° Cde, date Cde, date fact, date réglement,

Présentations similaires

Annonces Google