Embed Size (px)
Citation preview
Mai l Juin 2011 SÉCUS | 15 |
Suite en page 16
P R O D U I T
PWN PLUGDans le monde des pirates infor-
matiques et des professionnels ensécurité, le terme pwn ou pown est undérivé du mot anglais own qui signifie« posséder ». Un pwn plug est un dis-positif qui se branche dans une prised’alimentation (plug) et qui sert à atta-quer, à infiltrer et à posséder des sys-tèmes et des réseaux informatiques. Ilpermet en quelque sorte d’attaquer enétant derrière les lignes ennemies àl’aide d’une tactique qui rappelle celledu cheval de Troie.
Concrètement, cette boîte blan -che de très petite taille est constituéedes composantes d’un ordinateur nor-mal, c’est-à-dire d’un CPU (1,2 GHz),d’une mémoire vive (DDR2 400 MHz,16 bit-bus), d’un disque dur flash (512 Mb NAND flash), d’une priseréseau Ethernet et d’un port USB 2.0. L’ap - pa reil se branche dans une prise élec-trique normale (100-240 VAC/50-60 Hz).
Le pwn plug est basé sur le kit dedéveloppement SheevaPlug de la com-
pagnie GlobalScale Technologies1. Dave Porcello deRapid Focus Security s’en est inspiré pour créer le pwnplug2. Le modèle sans fil vient avec une carte externeALFA awus036h (500 mW) tandis que le modèle 3Gvient avec un modem fonctionnant sur les réseauxHSDPA, GSM, UMTS, EDGE et GPRS pouvant fonctionnerdans plus de 160 pays. La carte sans fil et le modemse branchent dans le port USB du pwn plug.
Pwn plug :arme fatale
PAR MICHEL CUSIN, architecte de sécurité – Bell
Imaginez qu’un seul petit dispositif permet à un attaquant de prendrele contrôle de votre parc informatique à distance par un réseau cellu-laire. Cet exemple semble sortir d’un film de science-fiction. Pourtant,il est bel et bien réel. Bienvenue dans le monde du pwn plug !
Le fait que son système d’exploitation soitUbuntu, une distribution de Linux très populaire,offre une grande souplesse quant aux « outils » pou-vant y être installés. En effet, le pwn plug arrive avecune multitude d’outils déjà installés. Ces dernierssont fréquemment utilisés par les pirates, ce quioffre une valeur ajoutée par rapport au réalisme desattaques pouvant être perpétrées lors de l’utilisationd’un pwn plug pendant un test d’intrusion effectuépar un professionnel de la sécurité. Voici de brèvesdescriptions de ces outils :
■ Metasploit et Fasttrack sont des plateformesd’attaque permettant notamment de prendre lecontrôle d’un système en exploitant des faillessur ce dernier.
Michel Cusin œuvre dans le domaine de la sécuritédepuis plus d’une décennie. Ilest actuellement architecte ensécurité de l’information chezBell. Dans le passé, il a étéinstructeur et consultant ensécurité (secteurs privés etpublics). Il détient des certifi -cations telles que CISSP, GCIH,CEH, OPST, ITIL et plusieursautres relatives à divers manufacturiers de solutions de sécurité. Il collabore avec le SANS depuis plusieursannées, notamment à titre de mentor et d’instructeur. Ilparticipe également à diversévénements de sécuritécomme conférencier et organisateur.
Mai l Juin 2011 SÉCUS | 16 |
■ SET (Social Engineer Toolkit) est un outil pouvant êtreutilisé lors d’attaques qui tireront avantage de la fai -blesse que les humains représentent en matière de sécu-rité. Ce type d’attaques est mieux connu sous le nomd’ingénierie sociale. Il peut par exemple créer un courrielqui semble légitime avec un fichier joint contenant uneporte dérobée (backdoor) et l’envoyer à une victime « à l’interne ». Il s’intègre également à Metasploit.
■ SSLstrip est un outil permettant de faire des attaquesde type Man in the Middle sur des connexions sécu -risées en HTTPS (protocole SSL). L’outil permet à l’at-taquant d’intercepter un trafic qui devrait normalementêtre chiffré bout en bout et de le lire ou de le manipuler.
■ Nmap, qui n’a plus besoin de présentation, est un(pour ne pas dire le) balayeur (scanneur) de ports parexcellence. Cet outil, qui offre maintenant le NmapScripting Engine3, a évolué et est également devenuun scanneur de vulnérabilité.
■ Dsniff est une suite d’outils permettant notammentd’intercepter du trafic réseau. Il opère au niveau 2 dumodèle OSI.
■ Netcat est considéré comme le « couteau suisse » desoutils. Il sert à une multitude de choses comme se bran -cher à un système (par exemple une session Telnet),créer des portes dérobées, faire des relais pour passerd’un système à l’autre, transférer des fichiers par leréseau, etc.
■ Nikto est un scanneur de vulnérabilité d’application Webqui tente de découvrir certains types de failles connues.
■ Nbtscan est un scanneur tentant de détecter des sys-tèmes avec la fonctionnalité de serveur NetBIOS dansle but trouver des partages réseau.
■ Inguma est une plateforme d’attaque et de recherchede vulnérabilité principalement orientée vers les basesde données Oracle, mais pouvant également être uti -lisée pour d’autres types de systèmes.
■ Scapy est un programme de manipulation permettantde forger des paquets IP. Il pourrait par exemple, êtreutilisé pour usurper (spoofing) l’adresse IP source d’unpaquet afin de cacher sa provenance.
■ Ettercap est un programme multiusage permettantd’analyser (sniffing), d’intercepter et d’enregistrer(logging) du trafic sur un réseau commuté.
■ JTR (John The Ripper) est un programme presquelégendaire servant à craquer des mots de passe à par-tir des hash (empreinte numérique).
■ Medusa sert à faire des attaques qui tentent de devinerles mots de passe (password guessing) en essayanttoutes les combinaisons possibles une après l’autre,contrairement à JTR.
■ Karma est un programme simulant un point d’accèssans fil qui prétend être tous les points d’accès du
monde et qui offre de « faux » services de DHCP, POP,DNS, FTP. Le but est que la victime s’y branche afin delui voler de l’information.
■ Karmetasploit est une version de Karma adapté et inté - gré à Metasploit et qui permet notamment de prendrele contrôle total d’un poste en lui injectant du codemalicieux lorsqu’il se branche par le réseau sans fil, etce, à l’insu de la victime.
■ Kismet est un outil qui agit comme détecteur deréseau sans fil, analyseur (sniffer) et système dedétec tion d’intrusion sans fil.
■ La suite Aircrack-NG comprend une multitude d’outilssans fil. Elle permet notamment de craquer des clésWEP, WPA et WPA2.
■ WEPbuster est un outil servant à craquer des clés WEP.Il n’est pas nécessaire d’être un super pirate ou quel -
qu’un de très « technique » pour comprendre la puissanced’un pwn plug. Cet arsenal peut visiblement causer des dom-mages importants. Pour être en mesure d’utiliser cet attirailde guerre, il faut d’abord s’y connecter. Cependant, comme lepwn plug ne répond pas aux requêtes Ping et qu’il n’écoutesur aucun port (TCP et UDP) lorsqu’il est « indétec table »(stealth), il est alors impossible de s’y brancher. C’est donc lepwn plug qui se connecte par une connexion renversée(reverse shell). Cela veut dire qu’il est donc possible de ledéployer physiquement dans les locaux de la victime et de lelaisser se connecter en utilisant Internet ou un réseau cellu-laire. Même si l’option de la connexion cellulaire est plus coû-teuse que l’accès Internet, elle offre l’avantage de contourn-er tous les mécanismes de défense en place sur le réseau.
De plus, le pwn plug tente de se brancher automatique-ment par le réseau cellulaire toutes les soixante secondes. Ilenvoie un message SMS à l’attaquant une fois qu’un tunnelSSH (secure shell) est établi à partir du pwn plug vers l’infra-structure d’où seront lancées les attaques.
Par contre, dans l’éventualité où une connexion cellu-laire n’est pas possible, comment le pwn plug peut-il se con-necter en sortie s’il est déployé derrière un coupe-feu qui filtrede façon très restrictive le trafic en sortie ? La solution à ceproblème est de camoufler le trafic en sortie à l’intérieur d’unautre type de trafic qui est normalement permis en sortie.
Typiquement, la plupart des environnements permet-tent le trafic comme HTTP (TCP 80), HTTPS (TCP 443), DNS(UDP 53 ou TCP 53) ou ICMP (PING) en sortie. Le pwn plug tiredonc avantage de cette situation pour se connecter en sortieen établissant des sessions chiffrées en SSH, ce qui offredonc les possibilités suivantes :
■ Connexion SSH en sortie par les ports 443 et 53;■ Connexion SSH en sortie par des requêtes HTTP (capa -
cité de passer par un serveur mandataire « Proxy ») ;■ Connexion SSH par ICMP (toutes les soixante secondes).
EXEMPLE
Suite de la page 15
Suite en page 17
Mai l Juin 2011 SÉCUS | 17 |
Le pwn plug offre donc une multitude de possibilités.Voici un des nombreux scénarios possibles. L’entreprise fic-tive ACME doit faire un test d’intrusion et engage un spécia -liste, Michel, pour l’effectuer. Ce dernier se rend donc dans leslocaux d’ACME. Afin de mieux se fondre dans le décor, ilapporte un petit coffre à outils et porte une chemise à l’effigiede la compagnie qui s’occupe de la maintenance des impri-mantes et photocopieurs. Il débranche discrètement uneimprimante du réseau, branche le fil réseau dans un petitconcentrateur ou commutateur (répéteur multiport [hub] oucommutateur [switch]) et branche le pwn plug ainsi que l’im-primante dans le répéteur multiport. Le pwn plug fait unerequête au serveur DHCP qui lui octroie une adresse IP.Environ une minute plus tard, Michel reçoit un message SMSsur son téléphone cellulaire lui indiquant que le pwn plug aréussi à établir une session SSH avec son serveur d’attaquepar le réseau cellulaire 3G. Michel a maintenant un accès àdistance au réseau corporatif d’ACME et l’imprimante est revenue en ligne. Il esquisse un sourire en coin et part.
De retour à son bureau, Michel utilise son serveurd’attaque pour se brancher au pwn plug qui a déjà une ses-sion SSH d’ouverte par la connexion renversée (reverseshell) établi antérieurement. Michel est donc en mesure decommencer son test d’intrusion. Il débute en utilisantNmap pour effectuer un balayage (scan) du réseau. Cela luipermet de découvrir les systèmes présents sur le réseauet de déterminer quels ports sont ouverts sur chacun dessystèmes.
De plus, comme le système d’exploitation principale-ment utilisé dans l’environnement est Windows, le balayageNmap révèle que le port TCP 445 est ouvert sur la majoritédes postes. Ce port est normalement utilisé par les proto-coles SMB (server message block) et CIFS (common Internetfile system) et il sera utilisé plus tard, lors de l’attaque, afind’obtenir l’accès aux systèmes. Michel utilise ensuiteEttercap pour intercepter du trafic réseau et réussit àrécupérer des hash de Windows. Le hachage (hashing) estune fonction mathématique qui permet de générer unevaleur unique à partir d’une donnée en entrée. Par exem-ple, le hash du mot de passe « password1 » est « E52CAC67419A9A2238F10713B629B565 »(LANMAN)4. Il peut se calculer dans un seulsens, ce qui signifie que la valeur initiale nepeut être récupérée en faisant le calculinverse. Cela dit, lorsque, par exemple, unutilisateur veut se connecter à un serveur àpartir de son poste de travail, Windowstransmet une authentification sur le réseauqui est le hash et non le nom d’utilisateur etle mot de passe. Une fois que Michel a réussià mettre la main sur des hash, deux options
s’offrent à lui : utiliser un outil comme JTR pour craquer lesmots de passe à partir du hash ou faire une attaque appelée« Pass The Hash » (PTH). Michel décide donc de faire lesdeux. Comme le craquage de mots de passe requiert beau-coup d’utilisation processeur (CPU), il télécharge les hashessur un autre poste afin d’économiser les ressources de sonpwn plug. Il entreprend ensuite l’attaque PTH qui consiste àutiliser le hash ayant été récupéré afin de s’en servir pours’authentifier sur un système en usurpant l’identité d’unautre utilisateur.
Michel utilise Metasploit, qui lui permet de faire sontattaque PTH afin de se connecter par le port TCP 445 (SMB)sur sa cible. Une fois qu’il est entré dans le système avec l’attaque, il utilise le module Meterpreter de Metasploit.Meterpreter est, en quelque sorte, une porte dérobée rési-dente en mémoire injectée dans bibliothèque de liensdynamiques (DLL) du poste de la victime. Il effectue uneattaque d’escalade de privilège, ce qui lui donne les privilègesdu compte « System », donc tous les privilèges et le plein pou-voir sur le poste. Il peut ensuite utiliser le système qu’il vientde compromettre comme relais pour attaquer d’autres sys-tèmes jusqu’à ce qu’il ait le plein contrôle du réseau entier, cequi ne sera qu’une question de temps. Il esquisse encore unsourire en coin et marmonne : « Pwned ! »
Cet exemple en est un parmi tant d’autres. L’idée icin’est pas de tous les couvrir en détail, mais de démontrer lespossibilités offertes par un pwn plug. Méfiez-vous de tout cequi vous semble louche ou inhabituel, que ce soit un petit dis-positif non identifié ou un courriel qui semble trop beau pourêtre vrai. Chaque entreprise devrait effectuer des tests devulnérabilité et d’intrusion sur une base régulière afin detrouver les failles avant que les « méchants » ne le fassent...
Une démonstration d’attaque similaire à celle pré -sentée lors du Sécuris@nté 2011 seradisponible à http ://cusin.ca. Vous pourrezégalement y consulter d’autres articles etvidéos similaires. Je vous invite également àpartager vos commentaires sur mon blogueou par courriel à [email protected] ! �
1. www.globalscaletechnologies.com/.2. http://pwnieexpress.com/.3. http://nmap.org/book/nse.html.4. http://en.wikipedia.org/wiki/Lanman.
«Les hash des admi -nistrateurs sont très
prisés. Il n’est donc pasrecommandé d’utiliser
un compte avec lesprivilèges de l’admi -nistrateur si ce n’est
pas requis.»
Suite de la page 16
