Le piratage de système

Le piratage du système est  la procédure d’obtention d’un accès non autorisé à un système et à ses ressources avec des intentions le plus souvent malveillantes.

Pour attaquer un système, le pirate doit suivre les étapes suivantes:

  • accéder au système : les attaquants utilisent des techniques de piratage de mot de passes tels que le craquage de mot de passe, l’ingénierie sociale pour obtenir un accès non autorisé au système vulnérable.
  • augmenter ses privilèges : l’attaquant peut accéder au réseau à l’aide d’un compte utilisateur non administrateur, et essayera d’obtenir des privilèges administratifs en exploitant les vulnérabilités connues.
  • exécuter des applications : après avoir obtenu des privilèges administratifs, l’attaquant exécute des applications malveillantes pour créer et maintenir un accès à distance. Cela se fait en installant des portes dérobées, des chevaux de Troie ou des enregistreurs de touches (Keylogger), etc.
  • masquer des fichiers : l’attaquant cache ses activités malveillantes, ses vols de données  à travers des programmes tels que les rootkits, des techniques tels que la stéganographie, etc.
  • couvrir les pistes : Suite à l’attaque, le pirate doit cacher toutes les preuves pouvant le compromettre en effaçant les logs.

I. Craquage de mots de passe

I.1 Objectifs

Les techniques de craquage de mot de passe sont utilisées pour récupérer les mots de passe et obtenir un accès non autorisé à un système cible. Ces techniques réussissent en raison de mots de passe faibles ou facilement devinables.

I.2 Types d’attaques par mot de passe

I.2.1 Attaques non électroniques

Les attaques non électroniques ou non techniques sont des attaques qui n’utilisent aucune connaissance technique pour casser les mots de passe. Ce type d’attaque peut inclure :

  • L’ingénierie sociale : Il s’agit d’influencer les gens et d’abuser de leur confiance en les convainquant de révéler des données généralement confidentielle comme leurs mots de passe par exemple.
  • Le surf sur les épaules : Il se produit lorsque quelqu’un regarde par-dessus votre épaule pour récupérer des informations précieuses telles que votre mot de passe, votre NIP ATM ou votre numéro de carte de crédit, lorsque vous le saisissez dans un appareil électronique.
  • La recherche dans les bennes à ordures (Dumpster Diving) : Il s’agit de rechercher des informations sensibles dans les poubelles et les notes de bureau de l’utilisateur cible.

I.2.2 Attaques en ligne active

Une attaque en ligne active est une attaque au cours de laquelle une modification non autorisée du système est tentée.  Ce type d’attaque peut inclure :

  • Attaque par dictionnaire : un fichier de dictionnaire est chargé dans l’application de craquage qui exécute toutes les combinaisons de caractères sur les comptes d’utilisateurs jusqu’à ce qu’un mot de passe soit cassé.
  • Attaque par brute force : Le programme essaie toutes les combinaisons de caractères jusqu’à ce que le mot de passe soit cassé.
  • Attaque basée sur des règles : cette attaque est utilisée lorsque l’attaquant obtient des informations qui permettent de connaitre les règles de mots de passe sur lesquels un système particulier est basé
  • Attaque en devinant le mot de passe : L’attaquant crée une liste de tous les mots de passe possibles à partir des informations collectées via l’ingénierie sociale ou tout autre moyen et les essaie manuellement sur la machine de la victime pour trouver des mots de passe valide.
  • Attaques avec les mots de passe par défaut : Un mot de passe par défaut est un mot de passe fourni par le fabricant pour protéger un équipement (par exemple commutateurs, concentrateurs, routeurs).Ils sont utilisés dans des liste de mots ou dictionnaires  pour deviner les mots de passe.
  • Chevaux de Troie/logiciel espion/Enregistreur de touches : L’attaquant installe ces applications qui s’exécutent en arrière-plan sur la machine cible et renvoie toutes les informations d’identification (noms d’utilisateur et mots de passe)  à l’attaquant.
  • Attaque par injection de hachage : l’attaquant s’authentifie auprès d’un serveur ou d’un service cible distant en utilisant un hachage compromis du mot de passe d’un utilisateur. En effet il remplace le besoin de voler le mot de passe en texte brut simplement en volant le hachage et en l’utilisant pour s’authentifier.
  • Attaque avec les protocoles LLMNR et NBT-NS: LLMNR (Résolution de noms de multidiffusion de lien locale) et NBT-NS (Service de noms NetBIOS) sont deux services de résolution de noms intégrés à Windows pour aider les systèmes à trouver les noms d’adresses à partir d’autres appareils sur le réseau. Le pirate usurpe une source faisant autorité pour la résolution de noms sur le réseau cible en répondant au trafic LLMNR (UDP 5355) / NBT-NS (UDP 137) comme s’il connaissait l’identité de l’hôte demandé. Ainsi il peut facilement récupérer les informations d’identification (nom d’utilisateur et  hachage NTLMv2) en répondant simplement de manière passive à chaque requête LLMNR / NBT-NS.
  • Attaque par reniflement de paquets : Le pirate utilise des outils de renfilage de paquets sur le réseau local pour accéder au trafic réseau afin d’obtenir des informations sensibles qui sont utilisées pour avoir un accès non autorisé au système cible.

Pour faire une attaque à l’aide d’une clé USB, vous pouvez consulter les liens suivants:

I.2.3 Attaques en ligne passive

Une attaque en ligne passive est une attaque sur un système qui n’entraîne aucune modification du système. Ce type d’attaque peut inclure :

  • Attaque de l’homme du milieu (Man in the middle(MITM)) : dans une attaque MITM, l’attaquant obtient l’accès aux canaux de communication entre la victime et le serveur pour extraire des informations qu’il peut manipuler sans se faire remarquer.
  • Attaque par rejeu : dans une attaque de rejeu, le pirate capture du trafic réseau entre deux utilisateurs c’est-à-dire des paquets et des jetons d’authentification à l’aide d’un renifleur. Ensuite il peut rejouer la session d’authentification ultérieurement, en utilisant les informations pertinentes extraites,  pour accéder aux ressources ou se faire passer pour un utilisateur légitime. 

NB : Ce sont des attaques difficiles à perpétrer et la confiance doit être approuvée par un ou les deux côtés.

I.2.4 Attaques hors ligne

Le craquage de mot de passe hors ligne est une tentative de récupérer un ou plusieurs mots de passe en les déchiffrant sans avoir besoin d’une connexion Internet. Seul la puissance et la vitesse de traitement de la machine du pirate sont mises à l’épreuve. Ce type d’attaque peut inclure :

  • Attaque de table arc-en-ciel (Rainbow Table Attack): une table arc-en-ciel est une table pré-calculée qui contient des listes de mots, comme ceux contenues dans les fichiers de dictionnaire ou les listes de force brute, et leur valeur de hachage. Le pirate capture le hachage d’un mot de passe et le compare avec la table de hachage précalculée. Si une correspondance est trouvée, le mot de passe est craqué.
    • Quelques outils pour créer des tables arc-en-ciel :
      • rtgen: Le programme rtgen a besoin de plusieurs paramètres pour générer une table arc-en-ciel, la syntaxe de la ligne de commande est: rtgen hash_algorithm charset plaintext_len_min plaintext_len_max table_index chain_len chain_num part_index
      • winrtgen: Winrtgen est un générateur graphique de tableaux arc-en-ciel qui prend en charge LM, FastLM, NTLM, LMCHALL, HalfLMCHALL, NTLMCHALL, MSCACHE, MD2, MD4, MD5, SHA1, RIPEMD160, MySQL323, MySQLSHA1, CiscoPIX, ORACLE, SHA-2 (256), Hachage SHA-2 (384) et SHA-2 (512).
  • Attaque par réseau distribuée (Distributed Network Attacks, DNA) : Une technique d’attaque par réseau distribuée (DNA) est utilisée pour récupérer des mots de passe à partir de hachages ou de fichiers protégés par mot de passe en utilisant la puissance de traitement inutilisée des machines sur le réseau. Le réseau distribué est constitué d’un manageur, installé dans un emplacement central, qui coordonne l’attaque et de plusieurs clients, pouvant accéder au manageur via le réseau, qui combinent leurs capacités de traitement et l’utilisent pour déchiffrer des mots de passe. 
    • Quelques outils de récupération de mot de passe :
      • ELCOMSOFT DISTRIBUTED PASSWORD RECOVERY, PASSWARE KIT FORENSIC, WINDOWS PASS RECOVERY TOOL ULTIMATE, PCUNLOCKER.
  • Attaque sur les Authentifications Microsoft : les trois techniques d’authentification courantes utilisées par un attaquant pour obtenir des mots de passe de son cible, sont :
    • Le gestionnaire des comptes de sécurité  de Windows (Security Accounts Manager, SAM) stocke les mots de passe utilisateur au format haché et non en texte clair.
    • Authentification NTLM (New Technology LAN Manager) : Le protocole d’authentification NTLM stocke les mots de passe des utilisateurs dans la base de données SAM en utilisant différentes méthodes de hachage.
    • Authentification Kerberos : Kerberos fournit une authentification plus forte que NTLM. Ainsi Microsoft a mis à niveau son protocole d’authentification par défaut NTLM vers Kerberos.
  • Durcissement du mot de passe : Le salage de mot de passe est une technique où une chaîne de caractères aléatoire est ajoutée au mot de passe avant le calcul de leurs hachages. Le salage rend plus difficile l’inversion des hachages et élimine les attaques de hachage pré-calculées.

I.2.5 Les Outils

  • Outils pour extraire les hashs de mot de passe :
    • pwdump7 extrait les hachages de mot de passe LM et NTLM des comptes d’utilisateurs locaux de la base de données Security Account Manager (SAM).
    • fgdump extrait également les informations d’identification.
      • Exemple de commande : fgdump.exe -h IP -u AnAdministrativeUser -P 14mep4ssw0rd
  • Outils de craquage de mot de passe
    • L0phtCrack : c’est une application d’audit et de récupération de mot de passe Ophcrack : Ophcrack : c’est application basé sur des tables arc-en-ciel (Rainbow tables).
    • RainbowCrack : Il utilise des algorithmes de compromis temps-mémoire pour casser les hachages.
    • Cain & Abel : Il permet la récupération de différents types de mots de passe en reniflant le réseau, en craquant les mots de passe cryptés à l’ aide d’attaques de dictionnaire, de force brute et de cryptanalyse.
  • Autres outils: hashcat, passware kit forensic, windows password key.

I.3 Contremesures

I.3.1 Contre le craquage de mots de passe

Pour éviter  le craquage de mots passe, il faut :

  • Activer l’audit de sécurité des informations pour surveiller et suivre les attaques par mot de passe,
  • N’utiliser pas le même mot de passe,
  • Ne partager pas les mots de passe,
  • N’utiliser pas de mots de passe pouvant être trouvés dans un dictionnaire,
  • N’utiliser pas de protocoles en texte clair et des protocoles avec un cryptage faible,
  • Définir une politique de changement de mot de passe sur une durée donnée,
  • Éviter de stocker les mots de passe dans un emplacement non sécurisé,
  • N’utiliser aucun mot de passe par défaut du système,
  • N’utiliser jamais les DOB c’est-à-dire des mots de passe comme la date de naissance, le nom du conjoint, de l’enfant ou de l’animal, etc.,
  • Surveiller les serveurs de journalisation,
  • Verrouiller un compte soumis à trop d’essaies de mot de passe incorrectes,
  • Utiliser une chaîne aléatoire (sel) comme préfixe ou suffixe avec le mot de passe avant de crypter,
  • Assurez-vous que les applications utilisées ne stockent pas les mots de passe en mémoire.

I.3.2 Contre l’empoisonnement LLMNR ou NBT-NS

Pour éviter  l’empoisonnement LLMNR ou NBT-NS, il faut :

  • Désactiver LLMNR (Local Loop Multicast Name Resolution)
  • Désactiver NBT-NS (Netbios Name Service)

II. Augmentation de privilèges

II.1 Objectifs

Un attaquant peut accéder au réseau à l’aide d’un compte utilisateur non administrateur, et la prochaine étape serait d’obtenir des privilèges administratifs.

L’attaquant effectue une attaque par escalade de privilèges à partir des défauts de conception, des erreurs de programmation, des bogues et des erreurs de configuration d’un système d’exploitation et  d’applications pour obtenir un accès élevé aux ressources protégées du système cible.

Ces privilèges permettent à l’attaquant de visualiser, de modifier, de supprimer  des informations sensibles ou d’installer des programmes malveillants tels que virus, chevaux de Troie, vers, etc. Il existe deux types d’escalade de privilège :

  • Escalade de privilèges verticale  ou élévation de privilèges : C’est lorsqu’un utilisateur ou une application de privilège inférieur accède à des fonctions ou du contenu réservés à des utilisateurs ou des applications de privilège supérieur.
  • Escalade de privilèges horizontale : C’est lorsqu’un utilisateur normal accède à des fonctions ou du contenu réservés à d’autres utilisateurs normaux. 

II.2 Techniques d’escalade de privilèges

II.2.1 Escalade de privilèges par détournement de DLL

Dans les environnements Windows, lorsqu’une application ou un service démarre, il recherche un certain nombre de DLL afin de fonctionner correctement. Si ces DLL n’existent pas ou sont implémentées de manière non sécurisée (les DLL sont appelées sans utiliser un chemin d’accès complet), il est possible d’augmenter les privilèges en forçant l’application à charger et exécuter un fichier DLL malveillant.

NB : Une DLL, abréviation pour Dynamic Link Library (bibliothèque de liens dynamiques, en français), désigne sous Windows une bibliothèque logicielle et un type de fichiers exécutables permettant le partage, par des programmes, de codes et de ressources indispensables pour la réalisation de tâches particulières

II.2.2 Escalade de privilèges en exploitant des vulnérabilités

Les attaquants utilisent des vulnérabilités logicielles pour exploiter les failles trouvées à partir de l’exécution d’une commande ou d’un binaire sur la machine cible afin de gagner des privilèges plus élevés.

Quelques sites où on peut trouver des vulnérabilités : Exploit-db.com, securityfocus.com

II.2.3 Escalade de privilèges par détournement de DYLIB

Le détournement de Dylib est une méthode utilisée contre les ordinateurs Apple à des fins d’escalade de privilèges. Les attaquants effectuent des recherches pour découvrir les dylibs que des applications spécifiques utilisent, puis placent une version malveillante avec un nom similaire qui sera exécuté à la place de l’original.

NB : Un fichier se terminant par l’extension .dylib est une bibliothèque dynamique: c’est une bibliothèque qui est chargée au moment de l’exécution plutôt qu’au moment de la compilation. Les fichiers dylib ne sont utilisés que sur les systèmes d’ exploitation qui sont basés sur le noyau Mach, comme Mac OS, iOS, etc. Ils sont similaires aux fichiers DLL de Windows.

II.2.4 Escalade de privilèges en utilisant les vulnérabilités de spectre et d’effondrement

Des vulnérabilités de spectre et de Meltdown (effondrement) se trouvent dans la conception de puces de processeur modernes d’AMD, ARM, INTEL.

  • Meltdown (CVE-2017-5754), du moins pour l’instant, ne concerne que les processeurs Intel modernes. Il exploite une vulnérabilité d’élévation de privilèges Intel et une exécution spéculative pour lire la mémoire du noyau à partir de la zone utilisateur. 
  • Spectre affecte de nombreux processeurs Intel, AMD et ARM modernes. Il exploite la prédiction de branche et l’exécution spéculative pour lire la mémoire à partir d’autres programmes en cours d’exécution sur le même système. Il est plus difficile de corriger que Meltdown.

Ainsi un programme malveillant peut exploiter Meltdown et Spectre pour obtenir des secrets stockés dans la mémoire d’autres programmes en cours d’exécution. Cela peut inclure des informations d’identification, des clés privées, etc.

II.2.5 Autres TECHNIQUES pouvant être utilisés

ACCESS TOKEN MANIPULATION

APPLICATION SHIMMING

FILE SYSTEM PERMISSIONS WEAKNESS

PATH INTERCEPTION

SCHEDULED TASK

LAUNCH DAEMON

PLIST MODIFICATION

SETUID AND SETGID

WEB SHELL.

II.3 Contremesures

Pour éviter qu’un pirate fasse de l’escalade de privilèges, il faut :

  • Limiter les privilèges d’ouverture de session interactive.
  • Utiliser une technique de cryptage pour protéger les données sensibles.
  • Exécuter les applications avec le moins de privilèges.
  • Implémenter l’authentification et l’autorisation multi-facteurs.
  • Exécuter les services en tant que comptes non privilégiés.
  • Patch et mise à jour régulière du noyau
  • Tester soigneusement les erreurs de codage et les bogues du système d’exploitation et des applications.
  • Réduire la quantité de code qui s’exécute avec des privilèges particuliers.
  • Implémenter une méthodologie de séparation des privilèges pour limiter la portée des erreurs de programmation et des bogues.
  • Utiliser des outils de liste blanche pour identifier les logiciels malveillants.
  • Surveiller les autorisations du système de fichiers à l’aide d’outils d’audit
  • Utiliser des chemins d’accès complets dans toutes les applications Windows.
  • Rendre les fichiers PLIST, (fichier de paramètres ou fichier de propriétés), utilisé par les applications MacOs, en lecture seule.
  • Modifier les paramètres de contrôle du compte d’utilisateur pour « Toujours m’avertir ».

III. Exécution d’applications

III.1 Objectifs

A ce stade, l’attaquant exécute des programmes malveillants à distance sur la machine de la victime pour collecter des informations qui conduisent à l’exploitation ou à la perte de confidentialité, obtenir un accès non autorisé aux ressources système, casser le mot de passe , capturer les captures d’écran, installer une porte dérobée pour maintenir un accès facile, etc.

III.2 Techniques pour exécuter des applications

Parmi les outils utilisés à cette phase, nous avons :

  • REMOTEEXEC : Il permet à l’attaquant de modifier le registre, de changer les mots de passe d’administrateur local, de désactiver les comptes locaux et de copier / mettre à jour / supprimer des fichiers et des dossiers.
  • PDQ Deploy : C’est un outil gratuit  permettant d’installer des logiciels ou des mises à jour sur des postes distants sous Windows. Il utilise le partage administratif ADMIN$ de la machine cible afin d’y transférer l’exécutable, puis l’exécute sous le compte service, évitant ainsi les problèmes d’UAC (Contrôle de compte utilisateur).
  • PsExec : Il est un remplacement de ‘telnet’ léger qui vous permet d’exécuter des processus sur des systèmes à distance, avec une interactivité complète pour les applications de console, sans avoir à installer manuellement le logiciel client.
  • Fatrat (linux) : C’est un outil facile et populaire qui peut être utilisé  pour générer une porte dérobée sur le système cible, effectuer des attaques post-exploitation comme une attaque de navigateur, une DLL, etc.
  • KEYLOGGER (enregistreur de frappes) : Les enregistreurs de frappe sont des programmes ou des périphériques matériels qui surveillent chaque frappe au fur et à mesure que l’utilisateur tape sur un clavier, se connecte à un fichier ou les transmet à un emplacement distant. Il permet à l’attaquant de collecter des informations confidentielles sur la victime telles que l’identifiant de l’e-mail, les mots de passe, les coordonnées bancaires, les messages instantanés, etc.

IV. Masquage de fichiers

IV.1 Objectifs

Après avoir accédé à un système, un pirate informatique doit masquer ses applications malveillantes incluses dans le système cible afin d’éviter la détection. De nombreux antivirus fonctionnent en parcourant la liste des fichiers stockés sur le système de fichiers d’un ordinateur et en les comparants aux signatures de variantes de logiciels malveillants connues. Si un pirate peut cacher l’existence de ses fichiers à un antivirus ou à d’autres outils de sécurité, sa probabilité de détection diminue considérablement.

IV.2 Types d’attaques par mot de passe

IV.2.1 Flux de données NTFS

NTFS Alternate Data Stream (ADS) est un flux caché Windows qui contient des métadonnées pour le fichier telles que les attributs, le nombre de mots, le nom de l’auteur et l’heure d’accès et de modification des fichiers.

ADS (Alternate Data Stream : Flux de données alternatifs) est une fonctionnalité du système de fichiers NTFS (New Technology File System) qui consiste en fait à ajouter à un fichier ou un dossier, un nouveau flux de données, sans changer ou altérer ses fonctionnalités, sa taille ou son affichage dans les utilitaires de navigation dans les fichiers.

Ces flux additionnels sont en quelque sorte des métadonnées, qui sont invisibles en temps normal c’est-à-dire qu’avec l’explorateur de Windows vous n’avez aucune chance de les détecter.

Ainsi l’attaquant peut facilement injecter du code malveillant dans des fichiers et les exécuter sans être détecté par l’utilisateur.

  • Comment créer un flux  de données NTFS ?
    • Lancez c:\>notepad myfile.txt:lion.txt, cliquez sur « Oui » pour créer le nouveau fichier, entrez des données et enregistrez le fichier.
    • Lancez c:\>notepad myfile.txt:tiger.txt, cliquez sur « Oui » pour créer le nouveau fichier, entrez des données et enregistrez le fichier.
    • Afficher la taille du fichier myfile.txt (il doit être nul)
    • Pour afficher ou modifier les données de flux masquées aux étapes 1 et 2, utilisez respectivement les commandes suivantes:
      • notepad myfile.txt:lion.txt
      • notepad myfile.txt:tiger.txt
  • manipulation de flux NTFS : cacher un cheval de Troie dans un fichier de texte
    • Pour déplacer le contenu de Trojan.ext vers Readme.txt (flux):
      • C:\>type c:\Trojean.ext > c:\Readme.txt:Trojan.ext
    • Pour créer un lien vers le flux Trojan.exe dans le fichier Readme.txt:
      • C:\>mklink backdoor.exe Readme.txt:Trojan.exe
    • Pour exécuter le Trojan.exe dans le fichier Lisezmoi.txt (flux), tapez:
      • C:\>backdoor

IV.2.2 Stéganographie

La stéganographie est une technique consistant à cacher un message secret dans un message ordinaire et à l’extraire à destination pour maintenir la confidentialité des données.

L’utilisation d’une image graphique comme couverture est la méthode la plus populaire pour masquer les données dans des fichiers.

L’attaquant peut utiliser la stéganographie pour masquer des messages tels que la liste des serveurs compromis, le code source de l’outil de piratage, les plans pour de futures attaques, etc.

Il existe plusieurs types de stéganographie, selon l’élément utilisé, pour cacher son fichier, qui peut être :

  • une image
  • un document
  • un dossier
  • une vidéo
  • un audio
  • les espaces blancs
  • Le Web 
  • Spam / Courriel un DVDROM
  • un texte naturel
  • un SE caché
  • un code source 

IV.2.2.1 Stéganographie avec des espaces blancs

La stéganographie avec les espaces blancs est utilisée pour masquer les messages en texte ASCII en ajoutant des espaces à la fin des lignes, des espaces ou des tabulations. Si le cryptage est utilisé, le message ne peut pas être lu même s’il est détecté. L’outil SNOW est le plus souvent utilisé.

IV.2.2.2 Stéganographie avec image

Dans la stéganographie d’images, les informations sont cachées dans des fichiers d’images de différents formats tels que .PNG, .JPG, .BMP, etc.

Les outils de stéganographie d’image remplacent des bits redondants de données d’image par le message de telle manière que l’effet ne puisse pas être détecté par les yeux humains.

Techniques de stéganographie du fichier image:

  • Insertion de bits la moins importante
  • Masquage et filtrage
  • Algorithmes et transformation

Outils : Openstego, quickstego, hide in picture, Cryptapix, gifshugle

Sous Windows, on utilise la commande suivante : copy/b 1.jpg+2.jpg 3.jpg

NB : l’outil HxD est aussi utilisé, il permet de visualiser les fichiers au format hexadécimal.Les images .jpg commencent par FF D8 et se terminent par FF D9. Pour les autres formats, on a des valeurs différentes.

IV.2.2.3 Stéganographie avec document 

La stéganographie de document  consiste à masquer des messages secrets sous forme de documents, elle comprend l’ajout d’espaces et d’onglets.

 Quelques outils : stegostic, stegJ, SNOW, Hydan, Office XML.

IV.2.2.4 Stéganographie avec vidéo

La stéganographie vidéo fait référence à la dissimulation d’informations secrètes dans un fichier vidéo de support.

La manipulation discrète de la transformation cosinusoïdale (DCT) est utilisée pour ajouter des données secrètes au moment du processus de transformation de la vidéo.

Les techniques utilisées dans les fichiers audio et image sont utilisées dans les fichiers vidéo, car la vidéo se compose d’audio et d’images d’où un grand nombre de messages secrets peuvent être cachés dans des fichiers vidéo.

Quelques outils : OmnHide PRO, Masker, etc.

IV.2.2.5 Stéganographie  avec audio

La stéganographie audio fait référence à la dissimulation d’informations secrètes dans des fichiers audio tels que .MP3, .RM, .WAV, etc.

Les informations peuvent être masquées dans un fichier audio en utilisant LSB ou en utilisant des fréquences inaudibles pour l’oreille humaine (> 20 000 Hz)

Parmi les méthodes de stéganographie audio, on a : la dissimulation des données d’écho, le codage de phase, le codage LSB, la méthode du spectre étalé, etc.

Outils: Bitcypt, chaos,silenteye, Stegostick, Deepsound.

IV.2.2.6 Stéganographie avec dossier

La stéganographie des dossiers fait référence à la dissimulation d’informations secrètes dans des dossiers. Les fichiers sont masqués et chiffrés dans un dossier et n’apparaissent pas dans l’explorateur Windows.

Outils: GILISOFT FILE LOCK PRO, HIDE FOLDERS 5, FOLDER LOCK.

IV.2.2.7 Stéganographie avec les spam/courriel

La stéganographie du spam fait référence à la dissimulation d’informations dans les messages de spam. Elle consiste à envoyer des messages secrets en les cachant dans des spams pour communiquer secrètement.

L’outil Spam Mimic encode ce message secret dans un e-mail d’apparence innocente.

IV.2.2.8 Outils de stéganographie pour téléphones mobiles

  • STEGANOGRAPHY MASTER
  • STEGAIS
  • SPY PIX
  • POCKET STEGO
  • STEGOSEC

IV.3 Contremesures

IV.3.1 Contre les flux de données alternatif (ADS)  dans NTFS

Pour éviter les flux de données alternatif (ADS)  dans NTFS, il faut :

  • supprimer les flux NTFS en déplaçant les fichiers suspects vers la partition FAT
  • utiliser un vérificateur d’intégrité des fichiers
  • utiliser un détecteur de flux comme LADS ou ADS Spy, etc.
  • activer l’analyse antivirus en temps réel et s’assurer que l’antivirus est à jour.

Quelques outils pour la détection de flux de données additionnels : Stream Armor, Stream Detector, Forensic toolkit, ADS spy.

IV.3.2 Contre la stéganographie

Pour éviter d’avoir à faire à des fichiers de stéganographie, il faut savoir les détecter pour :

  • Fichier texte : Les altérations sont détectées en recherchant des modèles de texte ou des perturbations, la langue utilisée et une quantité inhabituelle d’espaces vides.
  • Fichier image : Les données cachées dans une image peuvent être détectées en déterminant les changements de taille, de format de fichier, le dernier horodatage modifié et la palette de couleurs pointant vers l’existence des données cachées.
  • Fichier audio : Les fréquences inaudibles peuvent être balayées pour rechercher des informations cachées. Les distorsions et les motifs étranges montrent l’existence des données secrètes.
  • Fichier vidéo : La détection des données secrètes dans les fichiers vidéo comprend une combinaison de méthodes utilisées dans les fichiers image et audio.

Quelques outils pour la détection de stéganographie : Gargoyle Investigator Forensic pro, StegAlyzerSS, Steganography Studio, StegAlyzerAS, Virtual steganographic laboratory.

V. Couverture de pistes

V.1 Objectifs

Une fois que les intrus ont réussi à accéder au système, ils essaieront de couvrir les pistes pour éviter leur détection.

V.2 Techniques de couverture des pistes

L’attaquant utilise un ensemble de techniques pour couvrir les pistes sur le système cible.

V.2.1 Désactiver l’audit avec Auditpol

Les pirates désactiveront l’audit immédiatement après avoir obtenu les privilèges d’administrateur. À la fin de l’attaque, les intrus redémarreront simplement l’audit en utilisant auditpol.exe.

V.2.2 Effacement des journaux

Le pirate utilise l’utilitaire Clear_event_viewer_Logs.bat ou clearlogs.exe pour effacer tous les logs du système attaqué. Si le système est exploité avec Metasploit, l’attaquant utilise le shell meterpreter pour effacer tous les journaux d’un système Windows.

  • Méthode d’effacement des journaux d’événements
    • Windows :
      • Accédez à Démarrer > Panneau de configuration > Système et sécurité > Outils d’administration > double-cliquez sur Observateur d’événements > Supprimez toutes les logs
    • Linux :
      • Accède au répertoire /var/log sur le système Linux.
      • Ouvrir un fichier texte  /var/log/messages contenant les messages de journal
      • Supprimez toutes les entrées de journal enregistrées lorsque le système était compromis
  • Techniques pour effacer les pistes en ligne : Pour effacer les pistes, il faut :
    • Supprimer la dernière utilisation (MRU), supprimer les cookies, vider le cache, désactiver la saisie semi-automatique, effacer les données de la barre d’outils des navigateurs.
    • Aller dans Paramètres de confidentialité dans Windows:
      • Cliquez sur le bouton Démarrer , choisissez Panneau de configuration > Apparence et personnalisation > Barre des tâches et menu Démarrer.
      • Cliquez sur l’ onglet Menu Démarrer , puis, sous Confidentialité, décochez la case Stocker et afficher les éléments récemment ouverts dans le menu Démarrer et la case à cocher de la barre des tâches .
    • Aller dans le registre sous Windows :
      • HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\EXPLORER puis supprimez la clé pour les « Documents récents »
      • Supprimer toutes les valeurs sauf (par défaut)

V.2.3 Couvrir les traces SHELL BASH

  • Linux stocke votre historique de commandes dans le fichier caché, ~/.bash_history. Nous pouvons voir son contenu en tapant : kali> more ~/.bash_history
  • Si nous voulons empêcher le shell BASH de sauvegarder notre historique de commandes, nous pouvons mettre la variable d’environnement HISTSIZE à zéro. HISTSIZE détermine le nombre de commandes stockées. Pour se faire, on tape la commande : kali > export HISTSIZE=0
  • Plutôt que de désactiver l’historique des commandes, nous pouvons effacer l’historique sur le shell BASH actuel en utilisant simplement la commande history avec l’option -c (clear) : kali > history -c
    • Ensuite, pour vous assurer que les modifications sont écrites sur le disque, nous devons indiquer à la commande history de le faire avec l’option -w tel que : kali > history -w
  • Un moyen probablement plus efficace et plus pratique pour effacer l’historique de nos commandes est d’écrire /dev/null dans le fichier bash_history, puis d’effacer le shell actuel avec history -c. Nous pouvons construire une commande qui fait exactement cela, puis quitter le shell. Cela peut être fait en tapant : kali > cat /dev/null > ~.bash_history && history -c && exit
  • Bien qu’il soit bon de supprimer ces fichiers, on peut toujours les récupérer. BASH a une commande shred, qui déchiquette un fichier cible. Dans ce cas, même si on retrouve le fichier supprimé, il sera illisible. Il s’agit de la commande : kali > shred ~/.bash_history
  • Le fait que le fichier soit déchiqueté peut en soi être considéré comme une preuve d’activité malveillante. Nous pouvons même éliminer cela en combinant la commande shred avec l’écriture / dev / null dans bash_history. Cela commencerait par déchiqueter le fichier d’historique, puis le vider et enfin effacer les preuves de la commande elle-même en utilisant la commande history -c et en quittant : kali > shred ~/.bash_history && cat /dev/null > .bash_history && history -c && exit

V.2.4 Couvrir les pistes sur le réseau

  • Utilisation de shells HTTP inversés

Ce type de trafic est considéré comme du trafic normal par la sécurité du périmètre du réseau de l’organisation comme DMZ, pare-feu, etc.

  • Utilisation de tunnels ICMP inversés

Certains pirates acheminent le trafic via des canaux secrets utilisant des paquets ICMP. Cela réussit généralement car les organisations bloquent uniquement les paquets ICMP entrants et ont oublié les paquets ICMP sortants. En raison de cette configuration, un attaquant utilise des paquets ICMP pour transférer des charges utiles TCP pour contourner facilement le pare-feu  et accéder furtivement au système cible.

  • Tunnellisation DNS

La tunnellisation DNS crée un canal arrière pour accéder à un serveur distant et à des applications. Les attaquants peuvent utiliser le tunnel arrière pour extraire des informations sensibles.

  • Utilisation des paramètres TCP

Les paramètres TCP peuvent être utilisés pour masquer la charge utile et ainsi créer des canaux cachés. Les champs du paquet TCP qui peuvent être utilisés pour transférer le contenu sont: champ d’identification IP, numéro d’acquittement TCP, numéro de séquence TCP.

V.2.5 Couvrir  des pistes sur les systèmes d’exploitation

  • Sur WINDOWS: les flux de données alternatifs (ADS NTFS) peuvent être utilisés par le pirate pour masquer ses fichiers malveillants derrière d’autres fichiers normaux.
  • Sur UNIX: les fichiers peuvent être masqués en ajoutant un point (.) devant un nom de fichier. Les pirates peuvent aussi supprimer l’historique des commandes en mettant la variable HISTSIZE à zéro (« export HISTSIZE = 0 »).

V.3 Outils

CCLEANER, DBAN, PRIVACY ERASER, WIPE.

VI. Test de pénétration

  • Craquage de mot de passe :
    • Identifier les systèmes protégés par mot de passe
    • Avoir accès aux mots de passe
    • Vérifiez la complexité des mots de passe
    • Effectuer l’ingénierie sociale
    • Effectuer un surf d’épaule
    • Effectuer la recherche sur les poubelles
    • Effectuer une attaque par dictionnaire
    • Effectuer une attaque par brute force
    • Effectuer une attaque basée sur des règles
    • Essayer de deviner les mots de passe
    • Exécuter un cheval de Troie, un logiciel espion ou un enregistreur de frappe (keyloggers)
    • Effectuer une attaque par injection de hachage
    • Utiliser des renifleurs de paquets
    • Faire une attaque de l’homme du milieu (MITM)
    • Effectuer une attaque par rejeu
    • Effectuer une attaque par  table d’arc-en-ciel
    • Effectuer une attaque par réseau réparti
  • Escalade de privilèges :
    • Essayez de vous connecter avec des noms d’utilisateur énumérés et des mots de passe craqués
    • Vérifier si les privilèges d’ouverture de session interactifs sont limités
    • Essayez d’exécuter des services avec des comptes sans privilèges
    • Effectuer le détournement par DLL
    • Essayez d’exploiter les vulnérabilités
    • Effectuer le détournement par Dylib
    • Essayez différentes technologies d’élévation de privilèges 
  • Exécution d’applications :
    • Vérifiez si un logiciel antivirus est installé et qu’il est à jour,
    • Vérifiez que des pare-feu et des logiciels anti-enregistreurs de frappe sont installés,
    • Vérifiez que le matériel informatique du système est dans un environnement sécurisé,
    • Utilisez des enregistreurs de frappe,
    • Utilisez  des logiciels espions,
    • Utilisez des outils pour les environnements de composants distants (RCE)
  • Masquage de fichiers :
    • Installez des rootkits sur le système cible,
    • Exécutez des techniques de détection basée sur l’intégrité,
    • Exécutez des techniques de détection basée sur les signatures,
    • Exécutez des techniques de détection basée sur la vue croisée,
    • Exécutez des techniques de détection heuristique,
    • Vérifier que les antivirus, les antispywares sont mises à jour,
    • Vérifier que les systèmes d’exploitation et les applications sont à jour,
    • Utilisez NTFS Alternate Data Stream (ADS) pour injecter du code malveillant sur un système cible,
    • Utilisez des techniques de stéganographie pour cacher un message secret dans un message ordinaire,
    • Utilisez des outils de détection de stéganographie pour effectuer la stéganalyse.
  • Couvrir les pistes :
    • Supprimez les traces d’activités Web 
    • Désactivez l’audit à l’aide d’un outil tel que Auditpol.
    • Supprimer les fichiers journaux falsifiés
    • Effacer les traces sur le Shell Bash
    • Effacer les traces sur le réseau
    • Fermer toutes les connections à distance vers la cible
    • Fermer tous les ports ouverts
    • Utilisez des outils de couverture de piste tels que CCleaner, MRU-Blaster, Wipe, Tracks Eraser Pro, Clear My History, etc.

<<< l’analyse de vulnérabilité
les menaces des malware >>>