T EC H NIQU ESocial Engineer Toolkit:quand la machine                                                               Comme ...
Suite de la page 27       Premièrement, pour démarrer SET, vous devez vous                Regardons trois options plus en ...
La formation SANS SEC560        en français est de retour à Québec        et aura lieu du 23 au 25 et du 28 au 30 mai 2012...
Suite de la page 29SOCIAL ENGINEER TOOLKIT (SET) ET                                                                       ...
Suite de la page 30       Prenons, par exemple, le scénario « 2) Website Attack      ET ALORS ?Vectors ». Lorsque l’attaqu...
Prochain SlideShare
Chargement dans…5
×

Social Engineer Toolkit: quand la machine attaque l’humain

2 878 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 878
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
38
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Social Engineer Toolkit: quand la machine attaque l’humain

  1. 1. T EC H NIQU ESocial Engineer Toolkit:quand la machine Comme les infrastructures réseau sont de plus en plus sécurisées et difficiles àattaque l’humain pénétrer de l’extérieur, pourquoi ne pas utiliser des machines pour exploiter les humains afin d’atteindre l’accès auPAR MICHEL CUSIN, architecte de sécurité – Bell réseau et de l’attaquer de l’intérieur ? C’est un fait bien connu, la sécurité d’un réseau est aussi forte que son maillon le plus faible. Ce que beaucoup de gens ne réalisent pas, c’est que, trop souvent, ce maillon faible, c’est eux. Les cybercriminels l’ont compris depuis bien longtemps et sont passés maîtres dans l’art d’exploiter ce maillon faible qu’est l’être humain. L’ingénierie sociale (social engineering) est l’art d’exploiter les failles humaines afin d’obtenir l’accès à un système ou à de l’information. Il existe plusieurs volets à cette discipline et tous les coups sont permis pour quelqu’un de vraiment déterminé. L’ingénieur social peut tenter de se faire passer pour quelqu’un d’autre, feindre une situa- tion d’urgence afin de mettre une pression sur sa « victime », l’intimider verbalement, tenter de la corrompre financièrement, et j’en passe. Toutes ces méthodes impliquent des interactions entre des individus, ce qui peut entraîner des situations stressantes et inconfortables. Dans certainsMichel Cusin œuvre dansle domaine de la sécurité cas, par exemple lors d’un test d’intrusion, il se peut que ce type d’approche ne soit pas envisa-depuis plus d’une décennie. Il geable pour diverses raisons. Alors, comme une approche impliquant l’ingénierie sociale tradi-travaille actuellement comme tionnelle n’est pas toujours possible, pourquoi ne pas tenter une nouvelle approche en utilisant unanalyste en sécurité au sein logiciel ou une machine pour exploiter les gens à notre place ?du groupe Security Testing C’est là qu’entre en scène un outil comme le Social Engineer Toolkit (SET). Rassurez-vous,and Incident Handling Team(STITH) de Bell Canada. Dans SET n’est pas un robot ni un super ordinateur doté d’une forme d’intelligence artificielle complo-le passé, il a travaillé comme tant pour dominer le monde des humains comme dans le scénario du film L’œil du mal (Eagle Eye1)instructeur et consultant en ou encore comme Skynet dans Terminator2. En fait, SET est un logiciel opéré par un humain. Lesécurité dans les secteurs modus operandi est relativement simple : il s’agit de manipuler les humains en les hameçonnantprivé et public pour diffé-rentes firmes en sécurité. à l’aide de diverses supercheries, pour ensuite leur faire faire une action qui permettra à l’at-Il détient plusieurs certifica- taquant d’exploiter une vulnérabilité présente dans un système donné dans le but d’en obtenirtions telles que CISSP GIAC , l’accès.(GCIH, GPEN), CEH, OPST etplusieurs autres relativesà divers manufacturiers READY ? SET, GO !de solutions de sécurité. SET est un outil de type « ligne de commande » qui s’installe sur Linux et qui a été créé parIl collabore avec le SANS David Kennedy (ReL1k). Il peut être téléchargé gratuitement au www.secmaniac.com/download/.depuis plusieurs années,notamment à titre de mentor Contrairement à plusieurs outils de type « ligne de commande », il est très simple à utiliser pouret d’instructeur. Il participe un néophyte dans le domaine. Le concept du SET est sensiblement le même que ce lui d’unégalement à divers événe- restaurant chinois. Vous commandez un « numéro quatre pour deux », et c’est réglé ! Vous n’avezments de sécurité à titre de pas besoin de savoir cuisiner pour manger. Dans le cas de SET, on retrouve le même concept deconférencier. Il est un pas-sionné de sécurité et aime menu. Vous n’avez qu’à démarrer SET, à sélectionner le type d’attaque suivi de quelquespartager son expertise paramètres, et c’est réglé ! Vous n’avez pas vraiment besoin de savoir pirater pour attaquer. Deavec la communauté. plus, SET est inclus dans la distribution de base de BackTrack3. Mais quel est le lien entre l’outil SET et l’ingénierie sociale ? Voyons tout d’abord à quoi l’outil ressemble et quelles sont ses carac- téristiques. Suite en page 28 Printemps 2012 SÉCUS | 27 |
  2. 2. Suite de la page 27 Premièrement, pour démarrer SET, vous devez vous Regardons trois options plus en détail avec quelquesrendre dans le répertoire dans lequel il est installé. La com- exemples de scénarios :mande pour le démarrer est « ./set » (sans les guillemets).Voici un exemple de démarrage de SET dans BackTrack : 1) SPEAR-PHISHING ATTACK VECTORS« root@bt :/ pentest/exploits/set# ./set ». Il ne faut pas con- 1. Perform a Mass Email Attackfondre cette commande avec celle de « set » (sans le « ./ » 2. Create a FileFormat Payloaddevant), qui elle sert au paramétrage des variables de 3. Create a Social-Engineering Templatel’environnement du shell, qui est l’interpréteur de lignes de Le module « Spear-Phishing Attack Vectors » permetcommande. de créer et de personnaliser des attaques d’hameçonnage Une fois SET démarré, choisissez l’option « 1) Social- ciblé sur mesure. Par exemple, l’option « 2. Create aEngineering Attacks » du menu principal. Vous obtiendrez FileFormat Payload » permet de cacher du code malicieux,quelque chose qui devrait ressembler à ceci : par exemple une porte dérobée (backdoor), qui est sous la forme d’un exécutable (.exe), à l’intérieur d’un autre fichier qui pourrait être un document PDF. SET utilise ensuite le module msfencode qui fait partie de Metasploit (vous trou- verez plus de détails sur Metasploit un peu plus loin) afin de modifier l’exécutable malicieux en l’encodant différemment de façon à rendre son « apparence » unique. Il faut compren- dre que la plupart des antivirus fonctionnent sur une base de signatures. Donc, si un logiciel malveillant n’a jamais été vu nulle part, il n’existe aucune signature pour ce dernier. Cela a pour effet de le rendre invisible pour les antivirus. Une fois que le logiciel malveillant est invisible pour les antivirus, SET l’imbrique dans un fichier PDF légitime au choix de l’attaquant. Par la suite, il ne reste qu’à l’envoyer à la victime par courriel. Lorsque cette dernière cliquera sur le fichier joint pour ouvrir le document PDF, son ordinateur se fera infecté par la porte dérobée à son insu. Ici, l’aspect d’ingénierie sociale réside dans le fait que l’attaquant devra trouver le bon contexte et le bon prétexte pour faire en sorte que sa victime ouvre le fichier joint plutôt que d’envoyer le courriel à la corbeille. « SET sertun logiciel malveillant à à dissimuler donc d’outil servantFigure 1 l’intérieur d’un contenu légitime.» Comme vous pouvez le constater dans la Figure 1, le Poursuivons avec un deuxième exemple de scénariomenu est divisé en plusieurs catégories qui sont toutes en basé sur le module « Website Attack Vectors ».lien avec des attaques relatives à l’ingénierie sociale. Unefois à l’intérieur de l’une de ces catégories, différentes 2) WEBSITE ATTACK VECTORSoptions d’attaques sont disponibles. Comme SET est en cons- 1) Java Applet Attack Methodtante évolution, voici les catégories et quelques sous caté- 2) Metasploit Browser Exploit Methodgories actuellement disponibles : 3) Credential Harvester Attack Method 1) Spear-Phishing Attack Vectors 4) Tabnabbing Attack Method 2) Website Attack Vectors 5) Man Left in the Middle Attack Method 3) Infectious Media Generator 6) Web Jacking Attack Method 4) Create a Payload and Listener 7) Multi-Attack Web Method 5) Mass Mailer Attack 8) Victim Web Profiler 6) Arduino-Based Attack Vector 9) Create or import a CodeSigning Certificate 7) SMS Spoofing Attack Vector 1. Web Templates 8) Wireless Access Point Attack Vector 2. Site Cloner 9) Third Party Modules 3. Custom Import Suite en page 29 Printemps 2012 SÉCUS | 28 |
  3. 3. La formation SANS SEC560 en français est de retour à Québec et aura lieu du 23 au 25 et du 28 au 30 mai 2012! Les cyber attaques augmentent au même titre que la demande pour les professionnels Le cours SANS SEC560: Network Penetration Testing and Ethical de la sécurité de l’information possédant de vraies compétences sur le plan des tests Hacking prépare les candidats d’intrusions réseau et du piratage éthique. Plusieurs cours de piratage éthique prétendent visant la certification GIAC enseigner ces compétences, mais peu le font réellement. Certified Penetration Tester (GPEN). Le cours SANS SEC560: Network Penetration Testing and Ethical Hacking vous prépare vraiment à effectuer avec succès vos projets de tests d’intrusion et de piratage éthique. Qui devrait y assister? I Les professionnels de la sécurité effectuant des tests d’intrusion (Pentesters) I Les pirates éthiques (Ethical Hackers) I Les auditeurs ayant besoin d’améliorer leurs compétences techniques I Le personnel de sécurité dont le travail consiste à évaluer les réseaux et les systèmes afin de trouver des failles de sécurité Instructeur : Michel Cusin I michel@cusin.ca I 418 955-2355 I http://cusin.ca/?p=1353Suite de la page 28 Ce dernier possède deux niveaux d’options. Le premier Avec l’option « Infectious Media Generator », l’atta-niveau permet de sélectionner le type de charge active quant peut transformer un média amovible tel qu’un USB,(payload) qui servira lors de l’attaque du système d’exploita- un CD ou un DVD en un outil d’attaque simple, efficace ettion de la victime. Une fois le premier niveau sélectionné, d’apparence inoffensive. Cette option crée un fichiertrois autres options, qui constituent l’appât, sont disponibles. « autorun.inf » ainsi qu’une charge active de type porteDans ce module, l’attaquant pourrait par exemple décider de dérobée qui est programmée pour venir se brancher ausélectionner « 1) Java Applet Attack Method » et ensuite poste de l’attaquant qui attend les connexions cryptées« 2. Site Cloner ». Cela lui permettrait de cloner une page Web entrantes par Metasploit qui est en mode écoute (Metasploitd’un site de son choix. Une fois la page Web clonée, SET Listener). Par la suite, il ne reste tout simplement qu’à laisserinteragit avec Metasploit et démarre un serveur Web local sur traîner une clé USB infectée près des locaux de la victime etson poste d’attaque afin de publier la page Web clonée. attendre que quelqu’un la ramasse et la mette dans son ordi-Encore une fois, l’attaquant trouve une supercherie pour que nateur pour savoir ce qu’elle contient. Honnêtement, quesa victime visite la page Web clonée. Une fois que la victime feriez-vous si vous trouviez une clé USB dans un hall d’entréese branche à la page Web clonée résidant sur le poste de l’at- ou dans un stationnement ? Tout comme vous, notre victimetaquant, une porte dérobée comme Meterpreter (vous trou- branchera la clé USB dans son ordinateur « juste pour voir ceverez plus de détails sur Meterpreter plus loin) s’installe à qu’elle contient ». Une fois la clé insérée dans l’ordinateur deson insu sur son poste par un applet Java. Une connexion la victime, une connexion cryptée s’établit à partir du postecryptée s’établit alors à partir du poste infecté vers le poste infecté vers le poste de l’attaquant, lui donnant, encore unede l’attaquant, ce qui lui donne ainsi le plein contrôle de ce fois, le plein contrôle du poste de sa victime. Rappelez-vousdernier. Tout cela se passe, bien sûr, à l’insu de la victime. Une quand vous étiez petit. Votre mère vous disait de ne pas mettrevidéo faisant une démonstration de cette attaque peut être ce que vous trouviez par terre dans votre bouche, n’est-cevisionnée à http ://cusin.ca/ ?p=1346. pas ? Alors, aujourd’hui, c’est moi qui vous dis de ne pas mettre ce que vous trouvez par terre dans votre ordinateur ! Enchaînons avec un troisième scénario. Évidemment, ces trois scénarios ne sont que quelques 3) INFECTIOUS MEDIA GENERATOR exemples des multiples possibilités offertes par SET. 1. File-Format Exploits Plusieurs autres options aussi intéressantes les unes que 2. Standard Metasploit Executable les autres sont également possibles. Suite en page 30 Printemps 2012 SÉCUS | 29 |
  4. 4. Suite de la page 29SOCIAL ENGINEER TOOLKIT (SET) ET INTERFACE UTILISATEURMETASPLOIT : UN DUO INFERNAL Comme mentionné plus tôt, Social Engineer Toolkit etMetasploit fonctionnent de pair. Mais qu’est-ce que Exploit 1 Payload 1Metasploit ? Il s’agit en fait d’une plateforme d’un logicielintégré (framework) pour le développement et l’exécution Exploit 2 Choix Payload 2d’exploits4 contre des machines distantes. Metasploitcomprend différentes interfaces d’utilisation, mais la Exploit N Payload Nplus populaire reste la bonne vieille ligne de commande« msfconsole » (Figure 2). Metasploit, qui est en constanteévolution, comprend notamment 762 exploits et 228 pay- Exploit 2 Payload 1 Stager Launcher VERS LA CIBLEloads différents au moment d’écrire ces lignes. Tout cela Figure 3sans compter les 27 encodeurs différents pouvant êtreutilisés par le module msfencode comme mentionné dans METERPRETERl’exemple « 1) Spear-Phishing Attack Vectors ». Voici à quoi Merterpreter est un diminutif de « Meta-Interpreter »ressemble l’interface msfconsole (Metasploit Framework et fait partie de Metasploit. Il s’agit en fait d’un payload quiConsole) : utilise l’injection DLL afin de s’injecter dans une application ayant été compromise par un exploit. Le même principe d’in- jection DLL s’applique pour le payload VNCInject mentionné plus tôt. Une fois injecté, meterpreter agit comme une porte dérobée et permet à l’attaquant de faire à peu près tout ce qu’il veut avec le poste de sa victime. Il peut, par exemple, vider le contenu des logs pour cacher ses traces, récupérer les hashes5 des mots de passe à partir du Security Accounts Manager (SAM) pour ensuite les cracker. L’obtention des hashes rend également possible les attaques « Pass-the-Hash6 ». Cette attaque consiste à injecter les hashes dans le proces- sus Local Security Authority Subsystem Service (LSASS.exe) sur le poste Windows de l’attaquant. Comme le processus LSASS.exe sert notamment lors de l’authentification des utili-Figure 2 sateurs Windows, il devient possible pour l’attaquant de se connecter à un autre poste en se faisant passer pour la vic- Parmi les options offertes par Metasploit, il y a time. Meterpreter permet également de visionner et denotamment le mode écoute (Metasploit Listener). Ce manipuler le contenu du disque dur et même de se servir dudernier permet de recevoir des connexions entrantes poste compromis comme relais pour attaquer le reste du(reverse shell). Lorsque des postes ayant été compromis, réseau. Meterpreter n’est résident qu’en mémoire et il necomme décrit dans les trois scénarios précédents, se s’installe pas sur le disque dur par défaut. Cela signifie qu’ilconnectent à l’attaquant, il devient alors possible de les disparaît une fois que l’application qui a été injectée est fer-contrôler à distance. mée ou que le poste est redémarré. Cela a pour effet de le Metasploit peut également être utilisé pour attaquer rendre très difficile et presque impossible à repérer lorsun système cible directement. Le fonctionnement de d’une investigation. Comme meterpreter utilise l’injection DLL,Metasploit est relativement simple. Premièrement, l’atta- il ne fonctionne que sur Windows pour le moment. Certainesquant se connecte à Metasploit. Il choisit ensuite un exploit rumeurs courent voulant que certaines initiatives, commeparmi tous ceux disponibles. Cet exploit sert à exploiter une « Meterpretux » pour Linux et « Macterpreter » pour Mac OSfaille présente sur le système cible afin de permettre à X, soient apparemment en développement, mais rien de con-l’attaquant de pénétrer dans le système. Il choisit ensuite cret n’est encore publiquement disponible à ce jour. De plus,une charge active (payload) comme une porte dérobée la beauté avec Meterpreter est qu’il utilise du Secure Sockets(Meterpreter), un reverse shell, un serveur VNC Layer (SSL) pour crypter les communications entre la vic-(VNCInject), etc. Metasploit combine alors tous les élé- time et l’attaquant. Alors, même si le trafic est repéré, il estments, lance l’attaque, compromet le système cible et pratiquement impossible à interpréter. De plus, il se fond trèsdonne accès à l’attaquant (Figure 3). bien dans le trafic HTTPS normal du réseau. Suite en page 31 Printemps 2012 SÉCUS | 30 |
  5. 5. Suite de la page 30 Prenons, par exemple, le scénario « 2) Website Attack ET ALORS ?Vectors ». Lorsque l’attaquant réussit à compromettre le Social Engineer Toolkit est un outil technologique quifureteur Internet de la victime à l’aide de l’applet Java, la permet à un attaquant de perpétrer des attaques sur desmagie de l’injection DLL s’opère et Meterpreter est injecté systèmes en tirant avantage de l’ingénierie sociale. Le suc-dans le fureteur Internet. Meterpreter reste vivant tant que cès d’un outil comme SET réside dans le fait que l’humainle fureteur reste ouvert. Si le fureteur est fermé, la session demeure une faille de sécurité importante. Il est donc primor-Meterpreter se termine. Alors, afin de ne pas être à la merci dial de sensibiliser nos gens et de garder nos systèmes àdu processus lié au fureteur, Meterpreter crée un nouveau jour. Pour de plus amples informations en anglais à propos deprocessus « notepad.exe » et y migre automatiquement. SET, je vous invite à visiter le www.social-engineer.org/frame-Aucune fenêtre n’apparaît à l’écran de la victime, mais le work/Computer_Based_Social_Engineering_Tools :_Social_processus est bien présent si l’on vérifie à l’aide d’une com- Engineer_ Toolkit_%28SET%29.mande telle que « netstat –nao » par exemple. Il est égale- En terminant, j’aimerais vous rappeler que la prudencement possible pour l’attaquant de faire migrer manuelle- et les bonnes pratiques sont toujours de mise, alors ouvrezment Meterpreter vers un autre ProcessID (ou une autre l’œil et ne cliquez pas sur n’importe quoi !application) de son choix. Il pourrait, par exemple, choisir undes multiples « svchost.exe » présents sur les machines 1. http://www.eagleeyemovie.com/intl/fr/.Windows. Il lui suffit d’utiliser la commande « migrate 2. http://fr.wikipedia.org/wiki/Personnages_de_Terminator#S. 3. www.backtrack-linux.org/.[PID] ». Le [PID] est bien évidemment remplacé par le 4. http://fr.wikipedia.org/wiki/Exploit_%28informatique%29.« Process ID » de l’application vers laquelle Meterpreter a 5. http://fr.wikipedia.org/wiki/Fonction_de_hachage.migré. 6. http://en.wikipedia.org/wiki/Pass_the_hash.Nouvelles en brefVoici quelques extraits d’articles de sécurité publiés sur Internet en mars 2012 :ZEROSPAM OBTIENT LA CERTIFICATION VBSPAM moins à risque puisque sept villes québécoises ferment le« ZEROSPAM a obtenu la prestigieuse certification VBSpam classement. Outre Lévis (50e) se classent Gatineau (49e),auprès de Virus Bulletin. Lors de cette première participation Longueuil (48e), Laval (47e), Sherbrooke (46e), Trois-au programme VBSpam, la solution ZEROSPAM a obtenu la Rivières (45e) et Québec (44e). »marque de 99,56 % et s’est classée au 5e rang des entre- s Information tirée de Cyberpresse.caprises participantes, surclassant des rivaux tels que GFI, www.cyberpresse.ca/le-soleil/actualites/justice-et-faits-Sophos, Symantec, FortiMail et McAfee. Les commentaires divers/201202/22/01-4498639-cybercriminalite-levis-la-de Virus Bulletin sur la solution ZEROSPAM soulignent égale- ville-la-moins-a-risque.phpment la convivialité de l’interface client, le fait que chaquedomaine dispose de plusieurs enregistrements MX assurant LES SYSTÈMES INFORMATIQUES DU CANADAainsi la redondance du service, et le fait que le réseau HAUTEMENT À RISQUEZEROSPAM est entièrement canadien. » « Des services critiques pour les Canadiens gérés par dess Information tirée de Virusbtn.com équipements désuets. Cette vérification, effectuée en juin 2011 auprès du Conseil du Trésor du Canada par unCYBERCRIMINALITÉ : chercheur d’Ottawa, démontre que 11 % des 2 100 systèmesLÉVIS, LA VILLE LA MOINS À RISQUE informatiques jugés “critiques” pour assurer les services aux« Les résidents de Lévis sont les Canadiens, parmi les habi- Canadiens sont dangereusement dépassés. Ces mêmes sys-tants des grandes villes, qui s’exposent le moins à la crimi- tèmes nécessiteraient des investissements de 1,4 milliardnalité en ligne. En effet, la ville de la rive sud arrive au de dollars pour les mettre à jour. Le gouvernement du Canadacinquantième et dernier rang d’un classement des villes dépense déjà autour de 5 milliards de dollars par annéesayant le nombre le plus élevé de facteurs de risque liés à la pour ses TI. »cybercriminalité. Au Québec, la ville la plus à risque, s Information tirée de Branchez-vous.comMontréal, arrive loin au trentième rang du classement. Il www.branchez-vous.com/techno/actualite/2012/03/semble que la province pourrait même figurer parmi les les_systemes_informatiques_du.html Printemps 2012 SÉCUS | 31 |

×