PRODUIT




Pwn plug :
arme fatale
PAR MICHEL CUSIN, architecte de sécurité – Bell


                                  Imaginez qu’un seul petit dispositif permet à un attaquant de prendre
                                  le contrôle de votre parc informatique à distance par un réseau cellu-
                                  laire. Cet exemple semble sortir d’un film de science-fiction. Pourtant,
                                  il est bel et bien réel. Bienvenue dans le monde du pwn plug !
                                  PWN PLUG                                             Le fait que son système d’exploitation soit
                                           Dans le monde des pirates infor-     Ubuntu, une distribution de Linux très populaire,
                                    matiques et des professionnels en           offre une grande souplesse quant aux « outils » pou-
                                    sécurité, le terme pwn ou pown est un       vant y être installés. En effet, le pwn plug arrive avec
                                    dérivé du mot anglais own qui signifie      une multitude d’outils déjà installés. Ces derniers
                                    « posséder ». Un pwn plug est un dis-       sont fréquemment utilisés par les pirates, ce qui
                                    positif qui se branche dans une prise       offre une valeur ajoutée par rapport au réalisme des
  Michel Cusin œuvre dans           d’alimentation (plug) et qui sert à atta-   attaques pouvant être perpétrées lors de l’utilisation
  le domaine de la sécurité         quer, à infiltrer et à posséder des sys-    d’un pwn plug pendant un test d’intrusion effectué
  depuis plus d’une décennie. Il tèmes et des réseaux informatiques. Il         par un professionnel de la sécurité. Voici de brèves
  est actuellement architecte en permet en quelque sorte d’attaquer en          descriptions de ces outils :
  sécurité de l’information chez
                                    étant derrière les lignes ennemies à           ■ Metasploit et Fasttrack sont des plateformes
  Bell. Dans le passé, il a été
  instructeur et consultant en      l’aide d’une tactique qui rappelle celle           d’attaque permettant notamment de prendre le
  sécurité (secteurs privés et      du cheval de Troie.                                contrôle d’un système en exploitant des failles
  publics). Il détient des certifi-        Concrètement, cette boîte blan-             sur ce dernier.
  cations telles que CISSP GCIH,
                            ,
  CEH, OPST, ITIL et plusieurs      che de très petite taille est constituée
  autres relatives à divers         des composantes d’un ordinateur nor-
  manufacturiers de solutions       mal, c’est-à-dire d’un CPU (1,2 GHz),
  de sécurité. Il collabore avec    d’une mémoire vive (DDR2 400 MHz,
  le SANS depuis plusieurs
  années, notamment à titre
                                    16 bit-bus), d’un disque dur flash
  de mentor et d’instructeur. Il    (512 Mb NAND flash), d’une prise
  participe également à divers réseau Ethernet et d’un port USB 2.0. L’ap-
  événements de sécurité            pareil se branche dans une prise élec-
  comme conférencier et             trique normale (100-240 VAC/50-60 Hz).
  organisateur.
                                           Le pwn plug est basé sur le kit de
                                    développement SheevaPlug de la com-
                      pagnie GlobalScale Technologies1. Dave Porcello de
                      Rapid Focus Security s’en est inspiré pour créer le pwn
                      plug2. Le modèle sans fil vient avec une carte externe
                      ALFA awus036h (500 mW) tandis que le modèle 3G
                      vient avec un modem fonctionnant sur les réseaux
                      HSDPA, GSM, UMTS, EDGE et GPRS pouvant fonctionner
                      dans plus de 160 pays. La carte sans fil et le modem
                      se branchent dans le port USB du pwn plug.
                                                                                                                       Suite en page 16


                                                                                                          Mai l Juin 2011 SÉCUS | 15 |
Suite de la page 15
■   SET (Social Engineer Toolkit) est un outil pouvant être              monde et qui offre de « faux » services de DHCP, POP,
    utilisé lors d’attaques qui tireront avantage de la fai-             DNS, FTP. Le but est que la victime s’y branche afin de
    blesse que les humains représentent en matière de sécu-              lui voler de l’information.
    rité. Ce type d’attaques est mieux connu sous le nom              ■ Karmetasploit est une version de Karma adapté et inté-
    d’ingénierie sociale. Il peut par exemple créer un courriel          gré à Metasploit et qui permet notamment de prendre
    qui semble légitime avec un fichier joint contenant une              le contrôle total d’un poste en lui injectant du code
    porte dérobée (backdoor) et l’envoyer à une victime                  malicieux lorsqu’il se branche par le réseau sans fil, et
    « à l’interne ». Il s’intègre également à Metasploit.                ce, à l’insu de la victime.
■   SSLstrip est un outil permettant de faire des attaques            ■ Kismet est un outil qui agit comme détecteur de
    de type Man in the Middle sur des connexions sécu-                   réseau sans fil, analyseur (sniffer) et système de
    risées en HTTPS (protocole SSL). L’outil permet à l’at-              détection d’intrusion sans fil.
    taquant d’intercepter un trafic qui devrait normalement           ■ La suite Aircrack-NG comprend une multitude d’outils
    être chiffré bout en bout et de le lire ou de le manipuler.          sans fil. Elle permet notamment de craquer des clés
■   Nmap, qui n’a plus besoin de présentation, est un                    WEP, WPA et WPA2.
    (pour ne pas dire le) balayeur (scanneur) de ports par            ■ WEPbuster est un outil servant à craquer des clés WEP.
    excellence. Cet outil, qui offre maintenant le Nmap                  Il n’est pas nécessaire d’être un super pirate ou quel-
    Scripting Engine3, a évolué et est également devenu           qu’un de très « technique » pour comprendre la puissance
    un scanneur de vulnérabilité.                                 d’un pwn plug. Cet arsenal peut visiblement causer des dom-
■   Dsniff est une suite d’outils permettant notamment            mages importants. Pour être en mesure d’utiliser cet attirail
    d’intercepter du trafic réseau. Il opère au niveau 2 du       de guerre, il faut d’abord s’y connecter. Cependant, comme le
    modèle OSI.                                                   pwn plug ne répond pas aux requêtes Ping et qu’il n’écoute
■   Netcat est considéré comme le « couteau suisse » des          sur aucun port (TCP et UDP) lorsqu’il est « indétectable »
    outils. Il sert à une multitude de choses comme se bran-      (stealth), il est alors impossible de s’y brancher. C’est donc le
    cher à un système (par exemple une session Telnet),           pwn plug qui se connecte par une connexion renversée
    créer des portes dérobées, faire des relais pour passer       (reverse shell). Cela veut dire qu’il est donc possible de le
    d’un système à l’autre, transférer des fichiers par le        déployer physiquement dans les locaux de la victime et de le
    réseau, etc.                                                  laisser se connecter en utilisant Internet ou un réseau cellu-
■   Nikto est un scanneur de vulnérabilité d’application Web      laire. Même si l’option de la connexion cellulaire est plus coû-
    qui tente de découvrir certains types de failles connues.     teuse que l’accès Internet, elle offre l’avantage de contourn-
■   Nbtscan est un scanneur tentant de détecter des sys-          er tous les mécanismes de défense en place sur le réseau.
    tèmes avec la fonctionnalité de serveur NetBIOS dans                 De plus, le pwn plug tente de se brancher automatique-
    le but trouver des partages réseau.                           ment par le réseau cellulaire toutes les soixante secondes. Il
■   Inguma est une plateforme d’attaque et de recherche           envoie un message SMS à l’attaquant une fois qu’un tunnel
    de vulnérabilité principalement orientée vers les bases       SSH (secure shell) est établi à partir du pwn plug vers l’infra-
    de données Oracle, mais pouvant également être uti-           structure d’où seront lancées les attaques.
    lisée pour d’autres types de systèmes.                               Par contre, dans l’éventualité où une connexion cellu-
■   Scapy est un programme de manipulation permettant             laire n’est pas possible, comment le pwn plug peut-il se con-
    de forger des paquets IP. Il pourrait par exemple, être       necter en sortie s’il est déployé derrière un coupe-feu qui filtre
    utilisé pour usurper (spoofing) l’adresse IP source d’un      de façon très restrictive le trafic en sortie ? La solution à ce
    paquet afin de cacher sa provenance.                          problème est de camoufler le trafic en sortie à l’intérieur d’un
■   Ettercap est un programme multiusage permettant               autre type de trafic qui est normalement permis en sortie.
    d’analyser (sniffing), d’intercepter et d’enregistrer                Typiquement, la plupart des environnements permet-
    (logging) du trafic sur un réseau commuté.                    tent le trafic comme HTTP (TCP 80), HTTPS (TCP 443), DNS
■   JTR (John The Ripper) est un programme presque                (UDP 53 ou TCP 53) ou ICMP (PING) en sortie. Le pwn plug tire
    légendaire servant à craquer des mots de passe à par-         donc avantage de cette situation pour se connecter en sortie
    tir des hash (empreinte numérique).                           en établissant des sessions chiffrées en SSH, ce qui offre
■   Medusa sert à faire des attaques qui tentent de deviner       donc les possibilités suivantes :
    les mots de passe (password guessing) en essayant                 ■ Connexion SSH en sortie par les ports 443 et 53;
    toutes les combinaisons possibles une après l’autre,              ■ Connexion SSH en sortie par des requêtes HTTP (capa-
    contrairement à JTR.                                                 cité de passer par un serveur mandataire « Proxy ») ;
■   Karma est un programme simulant un point d’accès                  ■ Connexion SSH par ICMP (toutes les soixante secondes).
    sans fil qui prétend être tous les points d’accès du
                                                                  EXEMPLE                                          Suite en page 17

                                                                                                     Mai l Juin 2011 SÉCUS | 16 |
Suite de la page 16
        Le pwn plug offre donc une multitude de possibilités.
Voici un des nombreux scénarios possibles. L’entreprise fic-
tive ACME doit faire un test d’intrusion et engage un spécia-
liste, Michel, pour l’effectuer. Ce dernier se rend donc dans les
locaux d’ACME. Afin de mieux se fondre dans le décor, il
apporte un petit coffre à outils et porte une chemise à l’effigie
de la compagnie qui s’occupe de la maintenance des impri-
mantes et photocopieurs. Il débranche discrètement une             s’offrent à lui : utiliser un outil comme JTR pour craquer les
imprimante du réseau, branche le fil réseau dans un petit          mots de passe à partir du hash ou faire une attaque appelée
concentrateur ou commutateur (répéteur multiport [hub] ou          « Pass The Hash » (PTH). Michel décide donc de faire les
commutateur [switch]) et branche le pwn plug ainsi que l’im-       deux. Comme le craquage de mots de passe requiert beau-
primante dans le répéteur multiport. Le pwn plug fait une          coup d’utilisation processeur (CPU), il télécharge les hashes
requête au serveur DHCP qui lui octroie une adresse IP.            sur un autre poste afin d’économiser les ressources de son
Environ une minute plus tard, Michel reçoit un message SMS         pwn plug. Il entreprend ensuite l’attaque PTH qui consiste à
sur son téléphone cellulaire lui indiquant que le pwn plug a       utiliser le hash ayant été récupéré afin de s’en servir pour
réussi à établir une session SSH avec son serveur d’attaque        s’authentifier sur un système en usurpant l’identité d’un
par le réseau cellulaire 3G. Michel a maintenant un accès à        autre utilisateur.
distance au réseau corporatif d’ACME et l’imprimante est                  Michel utilise Metasploit, qui lui permet de faire sont
revenue en ligne. Il esquisse un sourire en coin et part.          attaque PTH afin de se connecter par le port TCP 445 (SMB)
        De retour à son bureau, Michel utilise son serveur         sur sa cible. Une fois qu’il est entré dans le système avec
d’attaque pour se brancher au pwn plug qui a déjà une ses-         l’attaque, il utilise le module Meterpreter de Metasploit.
sion SSH d’ouverte par la connexion renversée (reverse             Meterpreter est, en quelque sorte, une porte dérobée rési-
shell) établi antérieurement. Michel est donc en mesure de         dente en mémoire injectée dans bibliothèque de liens
commencer son test d’intrusion. Il débute en utilisant             dynamiques (DLL) du poste de la victime. Il effectue une
Nmap pour effectuer un balayage (scan) du réseau. Cela lui         attaque d’escalade de privilège, ce qui lui donne les privilèges
permet de découvrir les systèmes présents sur le réseau            du compte « System », donc tous les privilèges et le plein pou-
et de déterminer quels ports sont ouverts sur chacun des           voir sur le poste. Il peut ensuite utiliser le système qu’il vient
systèmes.                                                          de compromettre comme relais pour attaquer d’autres sys-
        De plus, comme le système d’exploitation principale-       tèmes jusqu’à ce qu’il ait le plein contrôle du réseau entier, ce
ment utilisé dans l’environnement est Windows, le balayage         qui ne sera qu’une question de temps. Il esquisse encore un
Nmap révèle que le port TCP 445 est ouvert sur la majorité         sourire en coin et marmonne : « Pwned! »
des postes. Ce port est normalement utilisé par les proto-                Cet exemple en est un parmi tant d’autres. L’idée ici
coles SMB (server message block) et CIFS (common Internet          n’est pas de tous les couvrir en détail, mais de démontrer les
file system) et il sera utilisé plus tard, lors de l’attaque, afin possibilités offertes par un pwn plug. Méfiez-vous de tout ce
d’obtenir l’accès aux systèmes. Michel utilise ensuite             qui vous semble louche ou inhabituel, que ce soit un petit dis-
Ettercap pour intercepter du trafic réseau et réussit à            positif non identifié ou un courriel qui semble trop beau pour
récupérer des hash de Windows. Le hachage (hashing) est            être vrai. Chaque entreprise devrait effectuer des tests de
une fonction mathématique qui permet de générer une                vulnérabilité et d’intrusion sur une base régulière afin de
valeur unique à partir d’une donnée en entrée. Par exem-           trouver les failles avant que les « méchants » ne le fassent...
ple, le hash du mot de passe « password1 » est                            Une démonstration d’attaque similaire à celle pré-
« E52CAC67419A9A2238F10713B629B565 »                                                  sentée lors du Sécuris@nté 2011 sera
(LANMAN)4. Il peut se calculer dans un seul
sens, ce qui signifie que la valeur initiale ne   «                                   disponible à http ://cusin.ca. Vous pourrez
                                                        Les hash des admi- également y consulter d’autres articles et
peut être récupérée en faisant le calcul nistrateurs sont très vidéos similaires. Je vous invite également à
inverse. Cela dit, lorsque, par exemple, un prisés. Il n’est donc pas partager vos commentaires sur mon blogue
utilisateur veut se connecter à un serveur à recommandé d’utiliser ou par courriel à michel@cusin.ca !
partir de son poste de travail, Windows                un compte avec les
transmet une authentification sur le réseau
qui est le hash et non le nom d’utilisateur et        privilèges de l’admi- 1. www.globalscaletechnologies.com/.
le mot de passe. Une fois que Michel a réussi         nistrateur si ce n’est 2. http://nmap.org/book/nse.html.
                                                                                          http://pwnieexpress.com/.

à mettre la main sur des hash, deux options               pas requis.   »             3.
                                                                                      4. http://en.wikipedia.org/wiki/Lanman.




                                                                                                       Mai l Juin 2011 SÉCUS | 17 |

Article secus 05_11_pwnplug

  • 1.
    PRODUIT Pwn plug : armefatale PAR MICHEL CUSIN, architecte de sécurité – Bell Imaginez qu’un seul petit dispositif permet à un attaquant de prendre le contrôle de votre parc informatique à distance par un réseau cellu- laire. Cet exemple semble sortir d’un film de science-fiction. Pourtant, il est bel et bien réel. Bienvenue dans le monde du pwn plug ! PWN PLUG Le fait que son système d’exploitation soit Dans le monde des pirates infor- Ubuntu, une distribution de Linux très populaire, matiques et des professionnels en offre une grande souplesse quant aux « outils » pou- sécurité, le terme pwn ou pown est un vant y être installés. En effet, le pwn plug arrive avec dérivé du mot anglais own qui signifie une multitude d’outils déjà installés. Ces derniers « posséder ». Un pwn plug est un dis- sont fréquemment utilisés par les pirates, ce qui positif qui se branche dans une prise offre une valeur ajoutée par rapport au réalisme des Michel Cusin œuvre dans d’alimentation (plug) et qui sert à atta- attaques pouvant être perpétrées lors de l’utilisation le domaine de la sécurité quer, à infiltrer et à posséder des sys- d’un pwn plug pendant un test d’intrusion effectué depuis plus d’une décennie. Il tèmes et des réseaux informatiques. Il par un professionnel de la sécurité. Voici de brèves est actuellement architecte en permet en quelque sorte d’attaquer en descriptions de ces outils : sécurité de l’information chez étant derrière les lignes ennemies à ■ Metasploit et Fasttrack sont des plateformes Bell. Dans le passé, il a été instructeur et consultant en l’aide d’une tactique qui rappelle celle d’attaque permettant notamment de prendre le sécurité (secteurs privés et du cheval de Troie. contrôle d’un système en exploitant des failles publics). Il détient des certifi- Concrètement, cette boîte blan- sur ce dernier. cations telles que CISSP GCIH, , CEH, OPST, ITIL et plusieurs che de très petite taille est constituée autres relatives à divers des composantes d’un ordinateur nor- manufacturiers de solutions mal, c’est-à-dire d’un CPU (1,2 GHz), de sécurité. Il collabore avec d’une mémoire vive (DDR2 400 MHz, le SANS depuis plusieurs années, notamment à titre 16 bit-bus), d’un disque dur flash de mentor et d’instructeur. Il (512 Mb NAND flash), d’une prise participe également à divers réseau Ethernet et d’un port USB 2.0. L’ap- événements de sécurité pareil se branche dans une prise élec- comme conférencier et trique normale (100-240 VAC/50-60 Hz). organisateur. Le pwn plug est basé sur le kit de développement SheevaPlug de la com- pagnie GlobalScale Technologies1. Dave Porcello de Rapid Focus Security s’en est inspiré pour créer le pwn plug2. Le modèle sans fil vient avec une carte externe ALFA awus036h (500 mW) tandis que le modèle 3G vient avec un modem fonctionnant sur les réseaux HSDPA, GSM, UMTS, EDGE et GPRS pouvant fonctionner dans plus de 160 pays. La carte sans fil et le modem se branchent dans le port USB du pwn plug. Suite en page 16 Mai l Juin 2011 SÉCUS | 15 |
  • 2.
    Suite de lapage 15 ■ SET (Social Engineer Toolkit) est un outil pouvant être monde et qui offre de « faux » services de DHCP, POP, utilisé lors d’attaques qui tireront avantage de la fai- DNS, FTP. Le but est que la victime s’y branche afin de blesse que les humains représentent en matière de sécu- lui voler de l’information. rité. Ce type d’attaques est mieux connu sous le nom ■ Karmetasploit est une version de Karma adapté et inté- d’ingénierie sociale. Il peut par exemple créer un courriel gré à Metasploit et qui permet notamment de prendre qui semble légitime avec un fichier joint contenant une le contrôle total d’un poste en lui injectant du code porte dérobée (backdoor) et l’envoyer à une victime malicieux lorsqu’il se branche par le réseau sans fil, et « à l’interne ». Il s’intègre également à Metasploit. ce, à l’insu de la victime. ■ SSLstrip est un outil permettant de faire des attaques ■ Kismet est un outil qui agit comme détecteur de de type Man in the Middle sur des connexions sécu- réseau sans fil, analyseur (sniffer) et système de risées en HTTPS (protocole SSL). L’outil permet à l’at- détection d’intrusion sans fil. taquant d’intercepter un trafic qui devrait normalement ■ La suite Aircrack-NG comprend une multitude d’outils être chiffré bout en bout et de le lire ou de le manipuler. sans fil. Elle permet notamment de craquer des clés ■ Nmap, qui n’a plus besoin de présentation, est un WEP, WPA et WPA2. (pour ne pas dire le) balayeur (scanneur) de ports par ■ WEPbuster est un outil servant à craquer des clés WEP. excellence. Cet outil, qui offre maintenant le Nmap Il n’est pas nécessaire d’être un super pirate ou quel- Scripting Engine3, a évolué et est également devenu qu’un de très « technique » pour comprendre la puissance un scanneur de vulnérabilité. d’un pwn plug. Cet arsenal peut visiblement causer des dom- ■ Dsniff est une suite d’outils permettant notamment mages importants. Pour être en mesure d’utiliser cet attirail d’intercepter du trafic réseau. Il opère au niveau 2 du de guerre, il faut d’abord s’y connecter. Cependant, comme le modèle OSI. pwn plug ne répond pas aux requêtes Ping et qu’il n’écoute ■ Netcat est considéré comme le « couteau suisse » des sur aucun port (TCP et UDP) lorsqu’il est « indétectable » outils. Il sert à une multitude de choses comme se bran- (stealth), il est alors impossible de s’y brancher. C’est donc le cher à un système (par exemple une session Telnet), pwn plug qui se connecte par une connexion renversée créer des portes dérobées, faire des relais pour passer (reverse shell). Cela veut dire qu’il est donc possible de le d’un système à l’autre, transférer des fichiers par le déployer physiquement dans les locaux de la victime et de le réseau, etc. laisser se connecter en utilisant Internet ou un réseau cellu- ■ Nikto est un scanneur de vulnérabilité d’application Web laire. Même si l’option de la connexion cellulaire est plus coû- qui tente de découvrir certains types de failles connues. teuse que l’accès Internet, elle offre l’avantage de contourn- ■ Nbtscan est un scanneur tentant de détecter des sys- er tous les mécanismes de défense en place sur le réseau. tèmes avec la fonctionnalité de serveur NetBIOS dans De plus, le pwn plug tente de se brancher automatique- le but trouver des partages réseau. ment par le réseau cellulaire toutes les soixante secondes. Il ■ Inguma est une plateforme d’attaque et de recherche envoie un message SMS à l’attaquant une fois qu’un tunnel de vulnérabilité principalement orientée vers les bases SSH (secure shell) est établi à partir du pwn plug vers l’infra- de données Oracle, mais pouvant également être uti- structure d’où seront lancées les attaques. lisée pour d’autres types de systèmes. Par contre, dans l’éventualité où une connexion cellu- ■ Scapy est un programme de manipulation permettant laire n’est pas possible, comment le pwn plug peut-il se con- de forger des paquets IP. Il pourrait par exemple, être necter en sortie s’il est déployé derrière un coupe-feu qui filtre utilisé pour usurper (spoofing) l’adresse IP source d’un de façon très restrictive le trafic en sortie ? La solution à ce paquet afin de cacher sa provenance. problème est de camoufler le trafic en sortie à l’intérieur d’un ■ Ettercap est un programme multiusage permettant autre type de trafic qui est normalement permis en sortie. d’analyser (sniffing), d’intercepter et d’enregistrer Typiquement, la plupart des environnements permet- (logging) du trafic sur un réseau commuté. tent le trafic comme HTTP (TCP 80), HTTPS (TCP 443), DNS ■ JTR (John The Ripper) est un programme presque (UDP 53 ou TCP 53) ou ICMP (PING) en sortie. Le pwn plug tire légendaire servant à craquer des mots de passe à par- donc avantage de cette situation pour se connecter en sortie tir des hash (empreinte numérique). en établissant des sessions chiffrées en SSH, ce qui offre ■ Medusa sert à faire des attaques qui tentent de deviner donc les possibilités suivantes : les mots de passe (password guessing) en essayant ■ Connexion SSH en sortie par les ports 443 et 53; toutes les combinaisons possibles une après l’autre, ■ Connexion SSH en sortie par des requêtes HTTP (capa- contrairement à JTR. cité de passer par un serveur mandataire « Proxy ») ; ■ Karma est un programme simulant un point d’accès ■ Connexion SSH par ICMP (toutes les soixante secondes). sans fil qui prétend être tous les points d’accès du EXEMPLE Suite en page 17 Mai l Juin 2011 SÉCUS | 16 |
  • 3.
    Suite de lapage 16 Le pwn plug offre donc une multitude de possibilités. Voici un des nombreux scénarios possibles. L’entreprise fic- tive ACME doit faire un test d’intrusion et engage un spécia- liste, Michel, pour l’effectuer. Ce dernier se rend donc dans les locaux d’ACME. Afin de mieux se fondre dans le décor, il apporte un petit coffre à outils et porte une chemise à l’effigie de la compagnie qui s’occupe de la maintenance des impri- mantes et photocopieurs. Il débranche discrètement une s’offrent à lui : utiliser un outil comme JTR pour craquer les imprimante du réseau, branche le fil réseau dans un petit mots de passe à partir du hash ou faire une attaque appelée concentrateur ou commutateur (répéteur multiport [hub] ou « Pass The Hash » (PTH). Michel décide donc de faire les commutateur [switch]) et branche le pwn plug ainsi que l’im- deux. Comme le craquage de mots de passe requiert beau- primante dans le répéteur multiport. Le pwn plug fait une coup d’utilisation processeur (CPU), il télécharge les hashes requête au serveur DHCP qui lui octroie une adresse IP. sur un autre poste afin d’économiser les ressources de son Environ une minute plus tard, Michel reçoit un message SMS pwn plug. Il entreprend ensuite l’attaque PTH qui consiste à sur son téléphone cellulaire lui indiquant que le pwn plug a utiliser le hash ayant été récupéré afin de s’en servir pour réussi à établir une session SSH avec son serveur d’attaque s’authentifier sur un système en usurpant l’identité d’un par le réseau cellulaire 3G. Michel a maintenant un accès à autre utilisateur. distance au réseau corporatif d’ACME et l’imprimante est Michel utilise Metasploit, qui lui permet de faire sont revenue en ligne. Il esquisse un sourire en coin et part. attaque PTH afin de se connecter par le port TCP 445 (SMB) De retour à son bureau, Michel utilise son serveur sur sa cible. Une fois qu’il est entré dans le système avec d’attaque pour se brancher au pwn plug qui a déjà une ses- l’attaque, il utilise le module Meterpreter de Metasploit. sion SSH d’ouverte par la connexion renversée (reverse Meterpreter est, en quelque sorte, une porte dérobée rési- shell) établi antérieurement. Michel est donc en mesure de dente en mémoire injectée dans bibliothèque de liens commencer son test d’intrusion. Il débute en utilisant dynamiques (DLL) du poste de la victime. Il effectue une Nmap pour effectuer un balayage (scan) du réseau. Cela lui attaque d’escalade de privilège, ce qui lui donne les privilèges permet de découvrir les systèmes présents sur le réseau du compte « System », donc tous les privilèges et le plein pou- et de déterminer quels ports sont ouverts sur chacun des voir sur le poste. Il peut ensuite utiliser le système qu’il vient systèmes. de compromettre comme relais pour attaquer d’autres sys- De plus, comme le système d’exploitation principale- tèmes jusqu’à ce qu’il ait le plein contrôle du réseau entier, ce ment utilisé dans l’environnement est Windows, le balayage qui ne sera qu’une question de temps. Il esquisse encore un Nmap révèle que le port TCP 445 est ouvert sur la majorité sourire en coin et marmonne : « Pwned! » des postes. Ce port est normalement utilisé par les proto- Cet exemple en est un parmi tant d’autres. L’idée ici coles SMB (server message block) et CIFS (common Internet n’est pas de tous les couvrir en détail, mais de démontrer les file system) et il sera utilisé plus tard, lors de l’attaque, afin possibilités offertes par un pwn plug. Méfiez-vous de tout ce d’obtenir l’accès aux systèmes. Michel utilise ensuite qui vous semble louche ou inhabituel, que ce soit un petit dis- Ettercap pour intercepter du trafic réseau et réussit à positif non identifié ou un courriel qui semble trop beau pour récupérer des hash de Windows. Le hachage (hashing) est être vrai. Chaque entreprise devrait effectuer des tests de une fonction mathématique qui permet de générer une vulnérabilité et d’intrusion sur une base régulière afin de valeur unique à partir d’une donnée en entrée. Par exem- trouver les failles avant que les « méchants » ne le fassent... ple, le hash du mot de passe « password1 » est Une démonstration d’attaque similaire à celle pré- « E52CAC67419A9A2238F10713B629B565 » sentée lors du Sécuris@nté 2011 sera (LANMAN)4. Il peut se calculer dans un seul sens, ce qui signifie que la valeur initiale ne « disponible à http ://cusin.ca. Vous pourrez Les hash des admi- également y consulter d’autres articles et peut être récupérée en faisant le calcul nistrateurs sont très vidéos similaires. Je vous invite également à inverse. Cela dit, lorsque, par exemple, un prisés. Il n’est donc pas partager vos commentaires sur mon blogue utilisateur veut se connecter à un serveur à recommandé d’utiliser ou par courriel à michel@cusin.ca ! partir de son poste de travail, Windows un compte avec les transmet une authentification sur le réseau qui est le hash et non le nom d’utilisateur et privilèges de l’admi- 1. www.globalscaletechnologies.com/. le mot de passe. Une fois que Michel a réussi nistrateur si ce n’est 2. http://nmap.org/book/nse.html. http://pwnieexpress.com/. à mettre la main sur des hash, deux options pas requis. » 3. 4. http://en.wikipedia.org/wiki/Lanman. Mai l Juin 2011 SÉCUS | 17 |