Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avril 2001<br />
ftp://adm.freelsd.net/pub/ADM<br />
http://www.ktwo.ca/c/ADMmutate-0.7.3/README<br />
http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz<br />
NTATTACK - HONEYNET SCAN OF THE MONTH<br />
Description<br />
Parfait complément de la rubrique 'Today's GIAC Detect', le projet 'HoneyNet -Scan of the Month' offre<br />
décidément une source inépuisable d'informations à qui sait en tirer parti. En conséquence, nous vous proposons les<br />
résultats de notre travail d'analyse du défi N°14. Celui-ci porte sur une attaque détectée en février sur le serveur<br />
NT 'lab.wiretrip.net', en réalité un attrape-mouche. Les seules informations fournies consistent en un fichier binaire<br />
contenant la journalisation de l'attaque réalisée avec l'outil Snort.<br />
La première étape vise à rendre intelligibles les données journalisées au format 'tcpdump'. En temps normal, l'outil<br />
Snort sera mis à contribution pour générer un fichier contenant un format directement lisible. Ce fichier pourra être<br />
lui-même retraité par l'utilitaire 'SnortSnarf' qui permet la génération de pages HTML navigables. Une autre solution<br />
consiste à utiliser le remarquable analyseur réseau multi-protocole 'EtherReal' qui dispose d'une fonction d'import et<br />
de visualisation supportant plus de 10 formats dont le format tcpdump. Nous avons opté pour cette dernière solution<br />
qui autorise une analyse totalement autonome et en temps différé sur un système NT.<br />
Le fichier binaire chargé dans EtherReal contient 6310 enregistrements, chaque enregistrement correspondant à un<br />
paquet transmis sur le réseau. Face à cette quantité de données, et sans autres informations, la première étape de<br />
l'analyse consiste à identifier rapidement les grandes lignes de l'attaque puis à mettre en évidence les échanges<br />
suspects. L'objectif est d'éliminer au plus vite le bruit généré par les échanges licites ou sans intérêt. La seconde<br />
étape visera à comprendre, par le détail, l'attaque, c'est à dire la succession d'événements ayant conduit à<br />
potentiellement compromettre le système cible. Enfin, une synthèse pourra être établie qui permettra de quantifier<br />
sans erreur l'atteinte réelle et de définir les mesures de protection et de reprise d'activité.<br />
Plusieurs techniques vont être successivement détaillées, l'objectif étant de montrer qu'aucune de ces techniques ne<br />
peut se suffir à elle-même. Le temps d'analyse est précisé à titre purement indicatif.<br />
Analyse de niveau "Chaîne" (Durée approximative: 20mn)<br />
Avant même d'engager une analyse approfondie des traces, l'utilisation de quelques outils rudimentaires, mais très<br />
efficaces, peut permettre de mettre en évidence rapidement <strong>cert</strong>ains éléments caractéristiques d'une attaque.<br />
Identification<br />
Une simple recherche des chaînes de caractères visualisables menée avec un éditeur binaire ou avec l'utilitaire<br />
'strings', disponible en environnement UNIX mais aussi NT, permet de visualiser <strong>cert</strong>ains éléments pertinents de<br />
l'attaque et d'identifier immédiatement les techniques utilisées. Attention, l'environnement NT supportant le codage<br />
UNICODE (caractères codés sur 16bits soit 2 octets), l'utilisation de la version NT de 'strings' est fortement<br />
conseillée !<br />
La recherche des chaînes de caractères UNICODE (strings snort-0204@0117.log) donne un premier<br />
ensemble d'indices:<br />
Strings snort-0204@0117.log.gz | more (extraits significatifs du résultat de la commande)<br />
Select * from Customers where City='<br />
shell("cmd /c echo werd >> c:\fun")