Enviar búsqueda
Cargar
Backdoors et rootkits_avancees_[slides]
•
0 recomendaciones
•
425 vistas
U
UltraUploader
Seguir
Vista de diapositivas
Denunciar
Compartir
Vista de diapositivas
Denunciar
Compartir
1 de 24
Descargar ahora
Descargar para leer sin conexión
Recomendados
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
Pôle Systematic Paris-Region
Securite docker generique 2017-03-16
Securite docker generique 2017-03-16
SecludIT
Les solutions libres pour les systèmes embarqués
Les solutions libres pour les systèmes embarqués
Alexandre LAHAYE
Assemblage niveau1
Assemblage niveau1
Franck Lecluse
Systeme embarque
Systeme embarque
Mohammed TIGHREMT
AKT un outil pour sécuriser vos données et documents sensibles
AKT un outil pour sécuriser vos données et documents sensibles
Stephane Carrez
Embedded Systems
Embedded Systems
Sara Morgan
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8
Microsoft Technet France
Recomendados
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
Pôle Systematic Paris-Region
Securite docker generique 2017-03-16
Securite docker generique 2017-03-16
SecludIT
Les solutions libres pour les systèmes embarqués
Les solutions libres pour les systèmes embarqués
Alexandre LAHAYE
Assemblage niveau1
Assemblage niveau1
Franck Lecluse
Systeme embarque
Systeme embarque
Mohammed TIGHREMT
AKT un outil pour sécuriser vos données et documents sensibles
AKT un outil pour sécuriser vos données et documents sensibles
Stephane Carrez
Embedded Systems
Embedded Systems
Sara Morgan
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8
Microsoft Technet France
Php web backdoor obfuscation
Php web backdoor obfuscation
Sandro Zaccarini
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
CODE BLUE
Owning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnets
Chema Alonso
Access Control: Principles and Practice
Access Control: Principles and Practice
Nabeel Yoosuf
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
Eric Romang
Access Control Presentation
Access Control Presentation
Wajahat Rajab
Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'
Pierre-jean Texier
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Publicis Sapient Engineering
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')
Jérôme Tamborini
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Xavier NOPRE
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
NinaSAMMUT
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Identity Days
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Wassim Smati
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Wassim Smati
Ns operationqueue
Ns operationqueue
CocoaHeads France
Docker en production et la sécurité … _
Docker en production et la sécurité … _
Jean-Marc Meessen
Projet de-recherche-Tuteuré
Projet de-recherche-Tuteuré
Rullier Anthony
Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »
Pierre-jean Texier
Infrastructure as code drupal
Infrastructure as code drupal
Christophe Villeneuve
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
Open Source Experience
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Paris Open Source Summit
Más contenido relacionado
Destacado
Php web backdoor obfuscation
Php web backdoor obfuscation
Sandro Zaccarini
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
CODE BLUE
Owning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnets
Chema Alonso
Access Control: Principles and Practice
Access Control: Principles and Practice
Nabeel Yoosuf
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
Eric Romang
Access Control Presentation
Access Control Presentation
Wajahat Rajab
Destacado
(6)
Php web backdoor obfuscation
Php web backdoor obfuscation
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
[CB16] Who put the backdoor in my modem? by Ewerson Guimaraes
Owning bad guys {and mafia} with javascript botnets
Owning bad guys {and mafia} with javascript botnets
Access Control: Principles and Practice
Access Control: Principles and Practice
Scénarios d'exploitation Metasploit - FR : Scénario 3
Scénarios d'exploitation Metasploit - FR : Scénario 3
Access Control Presentation
Access Control Presentation
Similar a Backdoors et rootkits_avancees_[slides]
Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'
Pierre-jean Texier
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Publicis Sapient Engineering
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')
Jérôme Tamborini
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Xavier NOPRE
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
NinaSAMMUT
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Identity Days
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Wassim Smati
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Wassim Smati
Ns operationqueue
Ns operationqueue
CocoaHeads France
Docker en production et la sécurité … _
Docker en production et la sécurité … _
Jean-Marc Meessen
Projet de-recherche-Tuteuré
Projet de-recherche-Tuteuré
Rullier Anthony
Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »
Pierre-jean Texier
Infrastructure as code drupal
Infrastructure as code drupal
Christophe Villeneuve
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
Open Source Experience
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Paris Open Source Summit
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Kiwi Backup
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
Identity Days
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Pierre-jean Texier
Tester du legacy code, mission impossible ?
Tester du legacy code, mission impossible ?
CGI Québec Formation
Similar a Backdoors et rootkits_avancees_[slides]
(20)
Mender 2.0 101: Bien démarrer avec les 'update modules'
Mender 2.0 101: Bien démarrer avec les 'update modules'
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Les développeurs aussi maitrisent le systèmD - Devoxx 2015
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
TP Git avancé DevoxxFR 2018 (pres')
TP Git avancé DevoxxFR 2018 (pres')
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Mix-IT 2013 - Agilistes : n'oubliez pas la technique - mix-it 2013
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Altera nios ii embedded evaluation kit
Ns operationqueue
Ns operationqueue
Docker en production et la sécurité … _
Docker en production et la sécurité … _
Projet de-recherche-Tuteuré
Projet de-recherche-Tuteuré
Mise à jour d’un système Linux embarqué « Over The Air »
Mise à jour d’un système Linux embarqué « Over The Air »
Infrastructure as code drupal
Infrastructure as code drupal
Ciel ! Mon Kubernetes mine des bitcoins...
Ciel ! Mon Kubernetes mine des bitcoins...
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Android distribution cyanogen mod _ guillaume lesniak, student at miage nancy
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Spectre et Meltdown : quels impacts pour vous et vos clients ?
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Mises à jour logicielles en environnement Linux Embarqué, petit guide et tour...
Tester du legacy code, mission impossible ?
Tester du legacy code, mission impossible ?
Más de UltraUploader
1 (1)
1 (1)
UltraUploader
01 intro
01 intro
UltraUploader
01 le 10 regole dell'hacking
01 le 10 regole dell'hacking
UltraUploader
00 the big guide sz (by dr.to-d)
00 the big guide sz (by dr.to-d)
UltraUploader
[E book ita] php manual
[E book ita] php manual
UltraUploader
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
UltraUploader
[Ebook ita - database] access 2000 manuale
[Ebook ita - database] access 2000 manuale
UltraUploader
(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)
UltraUploader
(Ebook ita - inform - access) guida al database access (doc)
(Ebook ita - inform - access) guida al database access (doc)
UltraUploader
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
UltraUploader
Broadband network virus detection system based on bypass monitor
Broadband network virus detection system based on bypass monitor
UltraUploader
Botnetsand applications
Botnetsand applications
UltraUploader
Bot software spreads, causes new worries
Bot software spreads, causes new worries
UltraUploader
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
UltraUploader
Blast off!
Blast off!
UltraUploader
Bird binary interpretation using runtime disassembly
Bird binary interpretation using runtime disassembly
UltraUploader
Biologically inspired defenses against computer viruses
Biologically inspired defenses against computer viruses
UltraUploader
Biological versus computer viruses
Biological versus computer viruses
UltraUploader
Biological aspects of computer virology
Biological aspects of computer virology
UltraUploader
Biological models of security for virus propagation in computer networks
Biological models of security for virus propagation in computer networks
UltraUploader
Más de UltraUploader
(20)
1 (1)
1 (1)
01 intro
01 intro
01 le 10 regole dell'hacking
01 le 10 regole dell'hacking
00 the big guide sz (by dr.to-d)
00 the big guide sz (by dr.to-d)
[E book ita] php manual
[E book ita] php manual
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - security] introduzione alle tecniche di exploit - mori - ifoa ...
[Ebook ita - database] access 2000 manuale
[Ebook ita - database] access 2000 manuale
(E book) cracking & hacking tutorial 1000 pagine (ita)
(E book) cracking & hacking tutorial 1000 pagine (ita)
(Ebook ita - inform - access) guida al database access (doc)
(Ebook ita - inform - access) guida al database access (doc)
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
(Ebook computer - ita - pdf) fondamenti di informatica - teoria
Broadband network virus detection system based on bypass monitor
Broadband network virus detection system based on bypass monitor
Botnetsand applications
Botnetsand applications
Bot software spreads, causes new worries
Bot software spreads, causes new worries
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blended attacks exploits, vulnerabilities and buffer overflow techniques in c...
Blast off!
Blast off!
Bird binary interpretation using runtime disassembly
Bird binary interpretation using runtime disassembly
Biologically inspired defenses against computer viruses
Biologically inspired defenses against computer viruses
Biological versus computer viruses
Biological versus computer viruses
Biological aspects of computer virology
Biological aspects of computer virology
Biological models of security for virus propagation in computer networks
Biological models of security for virus propagation in computer networks
Backdoors et rootkits_avancees_[slides]
1.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 1 BackdoorsBackdoors etet rootkitsrootkits avancésavancés
2.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 2 Plan de la présentationPlan de la présentation • Introduction • Aperçu du principe des backdoors kernel • Démonstration sous Solaris • Prévention et détection
3.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 3 IntroductionIntroduction
4.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 4 DéfinitionsDéfinitions • Backdoor – Porte dérobée plantée par un intrus et lui permettant de revenir ou d’élever ses privilèges plus facilement • Rootkit – Modification par un intrus de composants légitimes du système, par exemple dans un but de dissimulation, de backdoor.
5.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 5 Pourquoi cet exposé ?Pourquoi cet exposé ? • Exemple d’une application d’attaque « à la mode » • Démontre les conséquences en cas de compromission de la base de confiance • Démontre le manque de fonctionnalités avancées de sécurité des OS
6.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 6 Rappels sur les OSRappels sur les OS • OS = système d’exploitation = interface matériels / logiciels • L’OS propose un ensemble de services aux applicatifs • Partie de l’OS fonctionnant en mode privilégié : kernel • Tous les logiciels utilisateurs passent par les fonctionnalités de l’OS (syscalls)
7.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 7
8.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 8 Place de la sécurité dans un OSPlace de la sécurité dans un OS • Des fonctionnalités en mode kernel • Mais aussi souvent en mode utilisateur – Fonctionnalités (protection mémoire, FS) de base en mode kernel – Le reste (gestion passwords, …) en mode utilisateur • Tous les systèmes de sécurité se basent sur des fonctionnalités offertes par l’OS – pour récupérer l’information de décision – Pour appliquer les actions en conséquence
9.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 9 ModularitéModularité • La modularité est une contrainte • Les kernels des OS sont hautement configurables • Les kernels ne sont pas fermés • Du code peut y être ajouté (pilotes périphériques)
10.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 10 Le paradigme «Le paradigme « rootroot »» • Sous Unix, les seules permissions reconnues au niveau kernel – L’UID 0 (root) dispose de toutes les permissions – Les autres (!= 0) sont restreintes à leurs propres objets • Le root dispose entre autres de la possibilité de modifier l’OS
11.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 11 RootkitsRootkits kernelkernel
12.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 12 Idée de baseIdée de base • Sur une machine compromise • Modifier le kernel • Pour faire réagir l’OS comme souhaité • Et ainsi biaiser tous les applicatifs • Dont ceux de sécurité
13.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 13 RésultatsRésultats • La base de confiance est compromise • Tous les applicatifs de sécurité (H/N- IDS, journalisation) sont inutiles • Car ne peuvent avoir comme vue du système que celle fournie par le kernel
14.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 14 Démonstration sousDémonstration sous SolarisSolaris
15.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 15 Modification duModification du kernelkernel • Une fois que l’intrus a accès au compte « root » • Il utilise des fonctionnalités standard de l’OS pour modifier le kernel – Modules dynamiques (LKM) – Modification des fichiers kernel (/kernel/genunix) – Accès mémoire direct (/dev/kmem, /dev/mem) • Et y injecte son propre code
16.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 16 Réalité du problèmeRéalité du problème • Adore v0.34 (Linux), Stealth – Avec programme d’installation et d’administration aisée permettant de gagner root par une fonction cachée, dissimuler des processus, des fichiers des connexions TCP (contre netstat) et du mode Promisc. • Kernmod 0.2 (Solaris), Job de Haas - ITSX – Démonstration d’un module kernel Solaris réalisant toutes les opérations de base (dissimulation de fichiers, processus, connexions TCP, …). • Rootkit 2000 (Windows NT 4.0, Windows 2000), Greg Hoglund & collectif – Rootkit kernel sous Microsoft Windows.
17.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 17 Techniques usuellesTechniques usuelles • Cacher les fichiers – Modification des routines de gestion FS (VFS) ou même devices • Cacher des processus – Modification des listes chaînées d’ordonnancement • Cacher des connexions réseaux – Modification des listes chaînées des connexions actives • Ajouter des fonctionnalités cachées – « Covert channels » – Backdoors avec déclenchement par réseau
18.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 18 Détection et préventionDétection et prévention
19.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 19 Le problèmeLe problème • Il n’y a pas vraiment de moyen de vérifier l’OS « à chaud » • Car c’est lui qui définit la vue du système qu’ont les applications • Le rootkit peut donc leur présenter un état normal
20.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 20 Les méthodes de détectionLes méthodes de détection • La plus fiable : redémarrer sur un kernel sûr et vérifier manuellement • Utiliser les signatures des rootkits traditionnels • Utiliser des bugs dans les rootkits pour les détecter • Si bien conçus, aucun moyen de les détecter !!!
21.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 21 La prévention (1)La prévention (1) • Idéalement, empêcher l’intrus de devenir root • Cependant, c’est difficile !!!
22.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 22 La prévention (2)La prévention (2) Dans le monde réel : • Vérifier le code à injecter dans le kernel par signature (du constructeur) • Interdire toute modification du kernel – Pas toujours possible – Pas toujours pratique – Securelevel BSD • Limiter les privilèges de l’utilisateur « root » – Compartimentation des droits – Patchs de sécurité (Argus, …)
23.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 23 ConclusionsConclusions • Les pirates déploient des techniques évoluées • Compromettant la base de confiance qu’est l’OS • Celui-ci ne dispose pas nativement de fonctionnalités de sécurité suffisantes • Modularité au détriment de sécurité
24.
Infosec2002: Backdoors et
rootkits avancés © 2002 Nicolas Dubée, ndubee@secway.com mercredi 15 mai 2002 24 Merci et bonne journée !Merci et bonne journée ! Cette présentation et d’autres disponibles sur http://www.secway.com/
Descargar ahora