SlideShare una empresa de Scribd logo

Backdoors et rootkits_avancees_[slides]

U
UltraUploader
1 de 24
Descargar para leer sin conexión
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 1 BackdoorsBackdoors etet rootkitsrootkits avancésavancés
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 2 Plan de la présentationPlan de la présentation • Introduction • Aperçu du principe des backdoors kernel • Démonstration sous Solaris • Prévention et détection
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 3 IntroductionIntroduction
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 4 DéfinitionsDéfinitions • Backdoor – Porte dérobée plantée par un intrus et lui permettant de revenir ou d’élever ses privilèges plus facilement • Rootkit – Modification par un intrus de composants légitimes du système, par exemple dans un but de dissimulation, de backdoor.
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 5 Pourquoi cet exposé ?Pourquoi cet exposé ? • Exemple d’une application d’attaque « à la mode » • Démontre les conséquences en cas de compromission de la base de confiance • Démontre le manque de fonctionnalités avancées de sécurité des OS
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 6 Rappels sur les OSRappels sur les OS • OS = système d’exploitation = interface matériels / logiciels • L’OS propose un ensemble de services aux applicatifs • Partie de l’OS fonctionnant en mode privilégié : kernel • Tous les logiciels utilisateurs passent par les fonctionnalités de l’OS (syscalls)
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 7
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 8 Place de la sécurité dans un OSPlace de la sécurité dans un OS • Des fonctionnalités en mode kernel • Mais aussi souvent en mode utilisateur – Fonctionnalités (protection mémoire, FS) de base en mode kernel – Le reste (gestion passwords, …) en mode utilisateur • Tous les systèmes de sécurité se basent sur des fonctionnalités offertes par l’OS – pour récupérer l’information de décision – Pour appliquer les actions en conséquence
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 9 ModularitéModularité • La modularité est une contrainte • Les kernels des OS sont hautement configurables • Les kernels ne sont pas fermés • Du code peut y être ajouté (pilotes périphériques)
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 10 Le paradigme «Le paradigme « rootroot »» • Sous Unix, les seules permissions reconnues au niveau kernel – L’UID 0 (root) dispose de toutes les permissions – Les autres (!= 0) sont restreintes à leurs propres objets • Le root dispose entre autres de la possibilité de modifier l’OS
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 11 RootkitsRootkits kernelkernel
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 12 Idée de baseIdée de base • Sur une machine compromise • Modifier le kernel • Pour faire réagir l’OS comme souhaité • Et ainsi biaiser tous les applicatifs • Dont ceux de sécurité
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 13 RésultatsRésultats • La base de confiance est compromise • Tous les applicatifs de sécurité (H/N- IDS, journalisation) sont inutiles • Car ne peuvent avoir comme vue du système que celle fournie par le kernel
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 14 Démonstration sousDémonstration sous SolarisSolaris
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 15 Modification duModification du kernelkernel • Une fois que l’intrus a accès au compte « root » • Il utilise des fonctionnalités standard de l’OS pour modifier le kernel – Modules dynamiques (LKM) – Modification des fichiers kernel (/kernel/genunix) – Accès mémoire direct (/dev/kmem, /dev/mem) • Et y injecte son propre code
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 16 Réalité du problèmeRéalité du problème • Adore v0.34 (Linux), Stealth – Avec programme d’installation et d’administration aisée permettant de gagner root par une fonction cachée, dissimuler des processus, des fichiers des connexions TCP (contre netstat) et du mode Promisc. • Kernmod 0.2 (Solaris), Job de Haas - ITSX – Démonstration d’un module kernel Solaris réalisant toutes les opérations de base (dissimulation de fichiers, processus, connexions TCP, …). • Rootkit 2000 (Windows NT 4.0, Windows 2000), Greg Hoglund & collectif – Rootkit kernel sous Microsoft Windows.
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 17 Techniques usuellesTechniques usuelles • Cacher les fichiers – Modification des routines de gestion FS (VFS) ou même devices • Cacher des processus – Modification des listes chaînées d’ordonnancement • Cacher des connexions réseaux – Modification des listes chaînées des connexions actives • Ajouter des fonctionnalités cachées – « Covert channels » – Backdoors avec déclenchement par réseau
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 18 Détection et préventionDétection et prévention
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 19 Le problèmeLe problème • Il n’y a pas vraiment de moyen de vérifier l’OS « à chaud » • Car c’est lui qui définit la vue du système qu’ont les applications • Le rootkit peut donc leur présenter un état normal
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 20 Les méthodes de détectionLes méthodes de détection • La plus fiable : redémarrer sur un kernel sûr et vérifier manuellement • Utiliser les signatures des rootkits traditionnels • Utiliser des bugs dans les rootkits pour les détecter • Si bien conçus, aucun moyen de les détecter !!!
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 21 La prévention (1)La prévention (1) • Idéalement, empêcher l’intrus de devenir root • Cependant, c’est difficile !!!
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 22 La prévention (2)La prévention (2) Dans le monde réel : • Vérifier le code à injecter dans le kernel par signature (du constructeur) • Interdire toute modification du kernel – Pas toujours possible – Pas toujours pratique – Securelevel BSD • Limiter les privilèges de l’utilisateur « root » – Compartimentation des droits – Patchs de sécurité (Argus, …)
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 23 ConclusionsConclusions • Les pirates déploient des techniques évoluées • Compromettant la base de confiance qu’est l’OS • Celui-ci ne dispose pas nativement de fonctionnalités de sécurité suffisantes • Modularité au détriment de sécurité
Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 24 Merci et bonne journée !Merci et bonne journée ! Cette présentation et d’autres disponibles sur http://www.secway.com/

Recomendados

OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
Securite docker generique 2017-03-16
Securite docker generique 2017-03-16Securite docker generique 2017-03-16
Securite docker generique 2017-03-16SecludIT
 
Les solutions libres pour les systèmes embarqués
Les solutions libres pour les systèmes embarquésLes solutions libres pour les systèmes embarqués
Les solutions libres pour les systèmes embarquésAlexandre LAHAYE
 
Assemblage niveau1
Assemblage niveau1Assemblage niveau1
Assemblage niveau1Franck Lecluse
 
Systeme embarque
Systeme embarqueSysteme embarque
Systeme embarqueMohammed TIGHREMT
 
AKT un outil pour sécuriser vos données et documents sensibles
AKT un outil pour sécuriser vos données et documents sensiblesAKT un outil pour sécuriser vos données et documents sensibles
AKT un outil pour sécuriser vos données et documents sensiblesStephane Carrez
 
Embedded Systems
Embedded SystemsEmbedded Systems
Embedded SystemsSara Morgan
 
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Microsoft Technet France
 

Recomendados

OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
Securite docker generique 2017-03-16
Securite docker generique 2017-03-16Securite docker generique 2017-03-16
Securite docker generique 2017-03-16SecludIT
 
Les solutions libres pour les systèmes embarqués
Les solutions libres pour les systèmes embarquésLes solutions libres pour les systèmes embarqués
Les solutions libres pour les systèmes embarquésAlexandre LAHAYE
 
Assemblage niveau1
Assemblage niveau1Assemblage niveau1
Assemblage niveau1Franck Lecluse
 
Systeme embarque
Systeme embarqueSysteme embarque
Systeme embarqueMohammed TIGHREMT
 
AKT un outil pour sécuriser vos données et documents sensibles
AKT un outil pour sécuriser vos données et documents sensiblesAKT un outil pour sécuriser vos données et documents sensibles
AKT un outil pour sécuriser vos données et documents sensiblesStephane Carrez
 
Embedded Systems
Embedded SystemsEmbedded Systems
Embedded SystemsSara Morgan
 
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Microsoft Technet France
 
Php web backdoor obfuscation
Php web backdoor obfuscationPhp web backdoor obfuscation
Php web backdoor obfuscationSandro Zaccarini
 
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson GuimaraesCODE BLUE
 
Owning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnetsOwning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnetsChema Alonso
 
Access Control: Principles and Practice
Access Control: Principles and PracticeAccess Control: Principles and Practice
Access Control: Principles and PracticeNabeel Yoosuf
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Eric Romang
 
Access Control Presentation
Access Control PresentationAccess Control Presentation
Access Control PresentationWajahat Rajab
 
Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'Pierre-jean Texier
 
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015Publicis Sapient Engineering
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')Jérôme Tamborini
 
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013Xavier NOPRE
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitAltera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitWassim Smati
 
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitAltera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitWassim Smati
 
Ns operationqueue
Ns operationqueueNs operationqueue
Ns operationqueueCocoaHeads France
 
Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _Jean-Marc Meessen
 
Projet de-recherche-Tuteuré
Projet de-recherche-TuteuréProjet de-recherche-Tuteuré
Projet de-recherche-TuteuréRullier Anthony
 
Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »Pierre-jean Texier
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupalChristophe Villeneuve
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Open Source Experience
 
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyAndroid distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyParis Open Source Summit
 

Más contenido relacionado

Destacado

Php web backdoor obfuscation
Php web backdoor obfuscationPhp web backdoor obfuscation
Php web backdoor obfuscationSandro Zaccarini
 
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson GuimaraesCODE BLUE
 
Owning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnetsOwning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnetsChema Alonso
 
Access Control: Principles and Practice
Access Control: Principles and PracticeAccess Control: Principles and Practice
Access Control: Principles and PracticeNabeel Yoosuf
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Eric Romang
 
Access Control Presentation
Access Control PresentationAccess Control Presentation
Access Control PresentationWajahat Rajab
 

Destacado (6)

Php web backdoor obfuscation
Php web backdoor obfuscationPhp web backdoor obfuscation
Php web backdoor obfuscation
 
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
 
Owning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnetsOwning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnets
 
Access Control: Principles and Practice
Access Control: Principles and PracticeAccess Control: Principles and Practice
Access Control: Principles and Practice
 
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
 
Access Control Presentation
Access Control PresentationAccess Control Presentation
Access Control Presentation
 

Similar a Backdoors et rootkits_avancees_[slides]

Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'Pierre-jean Texier
 
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015Publicis Sapient Engineering
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')Jérôme Tamborini
 
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013Xavier NOPRE
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareNinaSAMMUT
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitAltera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitWassim Smati
 
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitAltera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitWassim Smati
 
Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _Jean-Marc Meessen
 
Projet de-recherche-Tuteuré
Projet de-recherche-TuteuréProjet de-recherche-Tuteuré
Projet de-recherche-TuteuréRullier Anthony
 
Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »Pierre-jean Texier
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Open Source Experience
 
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyAndroid distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyParis Open Source Summit
 
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Kiwi Backup
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...Pierre-jean Texier
 
Tester du legacy code, mission impossible ?
Tester du legacy code, mission impossible ?Tester du legacy code, mission impossible ?
Tester du legacy code, mission impossible ?CGI Québec Formation
 

Similar a Backdoors et rootkits_avancees_[slides] (20)

Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'
 
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')
 
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitAltera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
 
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kitAltera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
 
Ns operationqueue
Ns operationqueueNs operationqueue
Ns operationqueue
 
Docker en production et la sécurité … _
Docker en production et la sécurité … _Docker en production et la sécurité … _
Docker en production et la sécurité … _
 
Projet de-recherche-Tuteuré
Projet de-recherche-TuteuréProjet de-recherche-Tuteuré
Projet de-recherche-Tuteuré
 
Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
 
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancyAndroid distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
 
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
 
Tester du legacy code, mission impossible ?
Tester du legacy code, mission impossible ?Tester du legacy code, mission impossible ?
Tester du legacy code, mission impossible ?
 

Más de UltraUploader

01 le 10 regole dell'hacking
01 le 10 regole dell'hacking01 le 10 regole dell'hacking
01 le 10 regole dell'hackingUltraUploader
 
00 the big guide sz (by dr.to-d)
00 the big guide sz (by dr.to-d)00 the big guide sz (by dr.to-d)
00 the big guide sz (by dr.to-d)UltraUploader
 
[E book ita] php manual
[E book ita] php manual[E book ita] php manual
[E book ita] php manualUltraUploader
 
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...UltraUploader
 
[Ebook ita - database] access 2000 manuale
[Ebook ita - database] access 2000 manuale[Ebook ita - database] access 2000 manuale
[Ebook ita - database] access 2000 manualeUltraUploader
 
(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)UltraUploader
 
(Ebook ita - inform - access) guida al database access (doc)
(Ebook ita - inform - access) guida al database access (doc)(Ebook ita - inform - access) guida al database access (doc)
(Ebook ita - inform - access) guida al database access (doc)UltraUploader
 
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
(Ebook computer - ita - pdf) fondamenti di informatica - teoria(Ebook computer - ita - pdf) fondamenti di informatica - teoria
(Ebook computer - ita - pdf) fondamenti di informatica - teoriaUltraUploader
 
Broadband network virus detection system based on bypass monitor
Broadband network virus detection system based on bypass monitorBroadband network virus detection system based on bypass monitor
Broadband network virus detection system based on bypass monitorUltraUploader
 
Botnetsand applications
Botnetsand applicationsBotnetsand applications
Botnetsand applicationsUltraUploader
 
Bot software spreads, causes new worries
Bot software spreads, causes new worriesBot software spreads, causes new worries
Bot software spreads, causes new worriesUltraUploader
 
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...UltraUploader
 
Bird binary interpretation using runtime disassembly
Bird binary interpretation using runtime disassemblyBird binary interpretation using runtime disassembly
Bird binary interpretation using runtime disassemblyUltraUploader
 
Biologically inspired defenses against computer viruses
Biologically inspired defenses against computer virusesBiologically inspired defenses against computer viruses
Biologically inspired defenses against computer virusesUltraUploader
 
Biological versus computer viruses
Biological versus computer virusesBiological versus computer viruses
Biological versus computer virusesUltraUploader
 
Biological aspects of computer virology
Biological aspects of computer virologyBiological aspects of computer virology
Biological aspects of computer virologyUltraUploader
 
Biological models of security for virus propagation in computer networks
Biological models of security for virus propagation in computer networksBiological models of security for virus propagation in computer networks
Biological models of security for virus propagation in computer networksUltraUploader
 

Más de UltraUploader (20)

1 (1)
1 (1)1 (1)
1 (1)
 
01 intro
01 intro01 intro
01 intro
 
01 le 10 regole dell'hacking
01 le 10 regole dell'hacking01 le 10 regole dell'hacking
01 le 10 regole dell'hacking
 
00 the big guide sz (by dr.to-d)
00 the big guide sz (by dr.to-d)00 the big guide sz (by dr.to-d)
00 the big guide sz (by dr.to-d)
 
[E book ita] php manual
[E book ita] php manual[E book ita] php manual
[E book ita] php manual
 
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
 
[Ebook ita - database] access 2000 manuale
[Ebook ita - database] access 2000 manuale[Ebook ita - database] access 2000 manuale
[Ebook ita - database] access 2000 manuale
 
(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)
 
(Ebook ita - inform - access) guida al database access (doc)
(Ebook ita - inform - access) guida al database access (doc)(Ebook ita - inform - access) guida al database access (doc)
(Ebook ita - inform - access) guida al database access (doc)
 
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
(Ebook computer - ita - pdf) fondamenti di informatica - teoria(Ebook computer - ita - pdf) fondamenti di informatica - teoria
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
 
Broadband network virus detection system based on bypass monitor
Broadband network virus detection system based on bypass monitorBroadband network virus detection system based on bypass monitor
Broadband network virus detection system based on bypass monitor
 
Botnetsand applications
Botnetsand applicationsBotnetsand applications
Botnetsand applications
 
Bot software spreads, causes new worries
Bot software spreads, causes new worriesBot software spreads, causes new worries
Bot software spreads, causes new worries
 
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
 
Blast off!
Blast off!Blast off!
Blast off!
 
Bird binary interpretation using runtime disassembly
Bird binary interpretation using runtime disassemblyBird binary interpretation using runtime disassembly
Bird binary interpretation using runtime disassembly
 
Biologically inspired defenses against computer viruses
Biologically inspired defenses against computer virusesBiologically inspired defenses against computer viruses
Biologically inspired defenses against computer viruses
 
Biological versus computer viruses
Biological versus computer virusesBiological versus computer viruses
Biological versus computer viruses
 
Biological aspects of computer virology
Biological aspects of computer virologyBiological aspects of computer virology
Biological aspects of computer virology
 
Biological models of security for virus propagation in computer networks
Biological models of security for virus propagation in computer networksBiological models of security for virus propagation in computer networks
Biological models of security for virus propagation in computer networks
 

Backdoors et rootkits_avancees_[slides]

  • 1. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 1 BackdoorsBackdoors etet rootkitsrootkits avancésavancés
  • 2. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 2 Plan de la présentationPlan de la présentation • Introduction • Aperçu du principe des backdoors kernel • Démonstration sous Solaris • Prévention et détection
  • 3. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 3 IntroductionIntroduction
  • 4. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 4 DéfinitionsDéfinitions • Backdoor – Porte dérobée plantée par un intrus et lui permettant de revenir ou d’élever ses privilèges plus facilement • Rootkit – Modification par un intrus de composants légitimes du système, par exemple dans un but de dissimulation, de backdoor.
  • 5. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 5 Pourquoi cet exposé ?Pourquoi cet exposé ? • Exemple d’une application d’attaque « à la mode » • Démontre les conséquences en cas de compromission de la base de confiance • Démontre le manque de fonctionnalités avancées de sécurité des OS
  • 6. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 6 Rappels sur les OSRappels sur les OS • OS = système d’exploitation = interface matériels / logiciels • L’OS propose un ensemble de services aux applicatifs • Partie de l’OS fonctionnant en mode privilégié : kernel • Tous les logiciels utilisateurs passent par les fonctionnalités de l’OS (syscalls)
  • 7. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 7
  • 8. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 8 Place de la sécurité dans un OSPlace de la sécurité dans un OS • Des fonctionnalités en mode kernel • Mais aussi souvent en mode utilisateur – Fonctionnalités (protection mémoire, FS) de base en mode kernel – Le reste (gestion passwords, …) en mode utilisateur • Tous les systèmes de sécurité se basent sur des fonctionnalités offertes par l’OS – pour récupérer l’information de décision – Pour appliquer les actions en conséquence
  • 9. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 9 ModularitéModularité • La modularité est une contrainte • Les kernels des OS sont hautement configurables • Les kernels ne sont pas fermés • Du code peut y être ajouté (pilotes périphériques)
  • 10. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 10 Le paradigme «Le paradigme « rootroot »» • Sous Unix, les seules permissions reconnues au niveau kernel – L’UID 0 (root) dispose de toutes les permissions – Les autres (!= 0) sont restreintes à leurs propres objets • Le root dispose entre autres de la possibilité de modifier l’OS
  • 11. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 11 RootkitsRootkits kernelkernel
  • 12. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 12 Idée de baseIdée de base • Sur une machine compromise • Modifier le kernel • Pour faire réagir l’OS comme souhaité • Et ainsi biaiser tous les applicatifs • Dont ceux de sécurité
  • 13. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 13 RésultatsRésultats • La base de confiance est compromise • Tous les applicatifs de sécurité (H/N- IDS, journalisation) sont inutiles • Car ne peuvent avoir comme vue du système que celle fournie par le kernel
  • 14. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 14 Démonstration sousDémonstration sous SolarisSolaris
  • 15. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 15 Modification duModification du kernelkernel • Une fois que l’intrus a accès au compte « root » • Il utilise des fonctionnalités standard de l’OS pour modifier le kernel – Modules dynamiques (LKM) – Modification des fichiers kernel (/kernel/genunix) – Accès mémoire direct (/dev/kmem, /dev/mem) • Et y injecte son propre code
  • 16. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 16 Réalité du problèmeRéalité du problème • Adore v0.34 (Linux), Stealth – Avec programme d’installation et d’administration aisée permettant de gagner root par une fonction cachée, dissimuler des processus, des fichiers des connexions TCP (contre netstat) et du mode Promisc. • Kernmod 0.2 (Solaris), Job de Haas - ITSX – Démonstration d’un module kernel Solaris réalisant toutes les opérations de base (dissimulation de fichiers, processus, connexions TCP, …). • Rootkit 2000 (Windows NT 4.0, Windows 2000), Greg Hoglund & collectif – Rootkit kernel sous Microsoft Windows.
  • 17. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 17 Techniques usuellesTechniques usuelles • Cacher les fichiers – Modification des routines de gestion FS (VFS) ou même devices • Cacher des processus – Modification des listes chaînées d’ordonnancement • Cacher des connexions réseaux – Modification des listes chaînées des connexions actives • Ajouter des fonctionnalités cachées – « Covert channels » – Backdoors avec déclenchement par réseau
  • 18. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 18 Détection et préventionDétection et prévention
  • 19. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 19 Le problèmeLe problème • Il n’y a pas vraiment de moyen de vérifier l’OS « à chaud » • Car c’est lui qui définit la vue du système qu’ont les applications • Le rootkit peut donc leur présenter un état normal
  • 20. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 20 Les méthodes de détectionLes méthodes de détection • La plus fiable : redémarrer sur un kernel sûr et vérifier manuellement • Utiliser les signatures des rootkits traditionnels • Utiliser des bugs dans les rootkits pour les détecter • Si bien conçus, aucun moyen de les détecter !!!
  • 21. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 21 La prévention (1)La prévention (1) • Idéalement, empêcher l’intrus de devenir root • Cependant, c’est difficile !!!
  • 22. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 22 La prévention (2)La prévention (2) Dans le monde réel : • Vérifier le code à injecter dans le kernel par signature (du constructeur) • Interdire toute modification du kernel – Pas toujours possible – Pas toujours pratique – Securelevel BSD • Limiter les privilèges de l’utilisateur « root » – Compartimentation des droits – Patchs de sécurité (Argus, …)
  • 23. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 23 ConclusionsConclusions • Les pirates déploient des techniques évoluées • Compromettant la base de confiance qu’est l’OS • Celui-ci ne dispose pas nativement de fonctionnalités de sécurité suffisantes • Modularité au détriment de sécurité
  • 24. Infosec2002: Backdoors et rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 24 Merci et bonne journée !Merci et bonne journée ! Cette présentation et d’autres disponibles sur http://www.secway.com/