Stremler – Rambourg – Thomas - Carayon Bardou - Annota1 « Le malheur des uns fait les bonheur des autres » Voltaire Attaque de la société Candide SA

Stremler – Rambourg – Thomas - Carayon Bardou - Annota 1

« Le malheur des uns fait les bonheur des autres »

Voltaire

Attaque de la société Candide SA


Sommaire de la présentation

Gestion de projet Collecte d’informations Attaques intrusives Dénis de services Attaques « gratuites » Conclusion

Stremler – Rambourg – Thomas - Carayon Bardou - Annota 3Stremler – Rambourg – Thomas - Carayon Bardou - Annota 3

Gestion de projet


Gestion de projet Communication

Par mail pour les échanges ‘écrits’ Par site de partage pour les données

Identification Archives protégées par mot de passe

Une réunion et un compte rendu par semaine Échange d’informations Avancement des recherches,

développements d’outils, projet


Gestion de projet

Déroulement des attaques. Collecte d’informations Planification ( scénarii,…) Maquettage Attaque Exploitation des résultats


Sommaire



Collecte d’informations

Base de connaissances sur la cible nécessaire à toute attaque efficace

But : obtenir le plus d’informations, les plus précises possibles


Keylogger

Principe : récupérer les touches frappées au clavier

Idée originale : Comment utiliser les comptes de l’U3 ? Comment récupérer les mots de passe

des comptes mail ? Contexte de l’U3 particulier : droits

utilisateurs


Keylogger

KL existants non adaptés => développement de notre propre KL

Efficacité totale : Jamais détecté 9 mots de passes mails récupérés (6

défense, 3 audit)


Surveillance Mail

Principe : utiliser les mots de passe des mails pour récupérer les informations échangées

Surveillance manuelle et régulière Discrétion nécessaire (compte Gmail

avec chat intégré, mails non lus,…)


Surveillance Mail

Informations récupérées : Architectures Politiques de sécurité Détails de configuration Rapports de l’audit …

Ne manquait que les mots de passe !!


MITM

Principe : être une passerelle illégitime pour un hôte / réseau.

Utilisation d'outils réseau : ettercap pour effectuer le Man In The

Middle et récupérer les mots de passe en clair

tcpdump pour pouvoir analyser l'ensemble du trafic ultérieurement


MITM

Informations récupérées (login / mot de passe) : compte admin du site de la défense (stri2007)

compte local, suite à une erreur (avasam7!)

compte admin du phpmyadmin de l'audit (su#!r2ot@SQLDB?)

Configuration d'ettercap incomplète (seulement HTTP), d'où perte d'informations ?


Sommaire



Attaques Intrusives Définition :

Ensemble des attaques n'ayant pas pour but (dans un premier temps) de porter atteinte au bon fonctionnement du serveur

But : obtenir un shell prendre le statut root cacher sa présence nettoyer les logs


Faille Include

Pourquoi cette faille ? Serveur Apache avec PHP

Résultat attendu ? backdoor active pour pouvoir revenir

n'importe quand Vol d'informations sensibles Informations techniques sur le serveur

(logiciels, versions installées, ...)


Faille Include

Résultats obtenus : liste des logiciels installés + version (dpkg) code source du site (audit hors ligne)

Echec de la mise en place de la backdoor à cause du filtrage en entrée

Solution possible : « reverse Shell »


Accès SSH

Utilisation des acquis (erreur de la défense)

Résultat attendu : être calife à la place du calife


Accès SSH

Résultats : étude approfondie du système (configurations

du réseau, des services, des logiciels, du stockage,...)

lancement d'un serveur irc lancement d'une backdoor

Mais toujours pas calife échec de la récupération du mot de passe root échec du rootkit


Accès Local

La console root était restée ouverte Création d’accès pour notre équipe Désactivation des accès de la défense Mise en place d’une bombe logique Résultat : accès total à la machine,

plus d’accès pour ses propriétaires et utilisateurs légitimes


Internet Explorer

But : obtenir un shell sur un poste client non à jour

Scénario: l’utilisateur visite une page contenant un

exploit d’une faille d’IE Le trojan (codé maison pour cette

architecture) est téléchargé et donne une console à l’attaquant


Internet Explorer

Points réussis de l’attaque: Exploit de la faille Obtention d’un shell

Échecs: Écriture du trojan et des outils sur le

disque Exploitation du shell


Sommaire



Déni de service

Paralyser tant que possible la cible

Ou également pour couvrir d’autres attaques


Destruction BD de L’audit

But: détruire la BD de snort pour camoufler nos attaques

Moyen : Mot de passe PhpMyAdmin récupéré par MITM Récupéré par analyse des logs

TCPDump échangés par mail


Destruction BD de L’audit

Scénario: Se connecter sur PhpMyAdmin Drop table …

Efficacité: BD totalement détruite Snort HS Autres fonctions de la sonde toujours OK


Bruit de fond But :

Faire diversion Noyer nos actions dans la masse

Démarche: Avalanche de Ping

intervalles courts gros paquets

Scan en tout genre Script sh utilisant IDSwakeup

Résultats : Attaque IE DoS sur l’audit de quelques secondes


Mail Bombing

But : Saturer le serveur WebMail

Boite Mail Utilisateur Bande passante Espace disque Charge du CPU


Mail Bombing

Besoins : Attaque rapide

=> Quelques PC sur un Lan (3)

Serveur DNS et nom de Domaine attaqué requêtes DNS avec l’outil dig

Compte de messagerie à attaquer Postfix serveur mal configuré : root actif

Un mail exchanger pour l’envoi de mails Postfix (relais Smtp)


Mail Bombing

Résultats : Bande passante

Site web opérationnel pendant l’attaque Routeur : 1connection /sources/s

=> plus de PC (≈10)

Remplissage du disque 3Mo/s /var pleine en 15min

Charge CPU indice >20 durant toute l’attaque, maximum 55 2 à 3 fois plus élevé que pendant les autres types

d’attaques


Remplissage de la BD

Fausses requêtes d’inscription

Serveur HS

Destruction des bases


Défacage du site

Création rapide d’un site Web

Mise en ligne à la place de l’original


Destruction du serveur

Bombe logique : script détruisant les fichiers de la machine à une heure préprogrammée


Sommaire



Attaques gratuites

Pourquoi des attaques gratuites? Tester nos scénarii Exploiter de nouvelles failles Récupérer de nouvelles informations


Livre D’or IVAN

Contexte : Architecture du groupe Défense 2 n’était

pas en place But :

Remplir une base de données en quelques minutes

Méthode: Utilisation d’un script et de l’outil WGET


Attaque d’un ordinateur perso

Contexte : Collecte d’informations

But : Récupérer le plus d’informations possible sur la

structure de l’entreprise Méthode :

Intrusion dans un poste client personnel de l’équipe défense

Utilisation de mail et …


Conclusion

Il existe de nombreuses manières d’attaquer une entreprise.

Pour s’en prémunir le mieux ce serait de :

1 Ne pas générer du trafic dans l’entreprise

2 Garder les postes clients de l’entreprise au domicile des employées

Et enfin ………

BARRICADER L’ENTREE DE LA SOCIETE


On vous remercie, et

Reprendriez vous un peu de sucre Candide ?

Avez-vous des questions ??

Documents

Stremler – Rambourg – Thomas - Carayon Bardou - Annota1 « Le malheur des uns fait les bonheur des autres » Voltaire Attaque de la société Candide SA