Intrusion informatique tout en mémoire sous Linux

Auteurs
Par
Gaspard François
Dralet Samuel


Résumé

Plus le temps passe et plus les intrusions informatiques deviennent complexes. Au fil des années, celles-ci ont considérablement évolué, au point qu'il est presque possible de nos jours d'attaquer un système sans laisser aucune trace.Cet article est le dernier d'une série de trois articles sur l'utilisation de la mémoire vive lors d'une intrusion informatique. Le premier, intitulé « Techniques anti-forensics sous Linux : utilisation de la mémoire vive », paru dans MISC 25 [ANTIFORENSIC], introduisait les techniques de base pour corrompre la mémoire vive sous Linux. Le deuxième, « Corruption de la mémoire lors de l'exploitation », paru à SSTIC 06, expliquait en long et en large les techniques pour exécuter un binaire à distance sur un système en utilisant uniquement la mémoire vive. Ce dernier article reprend certains éléments de l'article de SSTIC [SSTIC06], mais approfondit également d'autres thèmes comme l'injection de librairies à distance et l'élévation de privilèges tout en mémoire.


1. Une intrusion informatique classique

Lors d'une intrusion informatique, cinq étapes sont réalisées par l'attaquant pour obtenir le contrôle total du système visé :

  1. récolte des informations sur la cible ;
  2. attaque et pénétration ;
  3. augmentation de privilèges si nécessaire ;
  4. installation d'une backdoor ;
  5. effacement des traces.

Peu importe le système visé, ces étapes sont toujours identiques. Seulement, les techniques actuelles ont pour défaut souvent soit d'écrire sur le disque de la machine exploitée, soit de générer des logs. Ces informations peuvent être potentiellement utilisables par l'administrateur pour faire une analyse forensics. Les attaques présentées ont pour objectif justement de pallier ces problèmes en utilisant uniquement la mémoire vive tout au long de l'intrusion.

La première étape génère automatiquement des logs. Si l'attaquant veut exploiter un serveur Apache par exemple, il doit au préalable en connaître la...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Dralet Samuel
Dralet Samuel
9 articles
Gaspard François
Gaspard François
7 articles

Par le(s) même(s) auteur(s)

Les nouvelles menaces des réseaux industriels

Magazine
Marque
MISC
Numéro
54
Mois de parution
mars 2011
Auteurs
Par
Gaspard François
Spécialité(s)
Sécurité réseau
Malware
Résumé

Cet article est la suite du premier article sur les réseaux industriels parus dans MISC n°51. On continue ici d'étudier ces réseaux et on va un peu plus loin quant aux protocoles utilisés et les risques associés. Stuxnet, « la première cyber arme du 21ème siècle », est utilisée tout au long de l'article pour illustrer les menaces qui pèsent sur ces réseaux. On commencera par rappeler Stuxnet, la première cyber arme attaquant un PLC. Plus d'informations sur les PLC vont êtres données ainsi que comment Stuxnet les attaque. Ensuite, on analysera deux protocoles plus en profondeur : Modbus et OPC. Enfin, on terminera sur les implications du Stuxnet sur les réseaux industriels.

Ajouter à une liste de lecture

Sécurité des infrastructures critiques et systèmes de contrôle

Magazine
Marque
MISC
Numéro
51
Mois de parution
septembre 2010
Auteurs
Par
Gaspard François
Spécialité(s)
Sécurité réseau
Résumé

Cet article est une introduction aux infrastructures critiques et réseaux industriels communément appelés ICS (Industrial Control Systems). Si vous n'avez jamais entendu parler de ces réseaux, si vous vous êtes toujours demandé en quoi consiste ces réseaux, et surtout pourquoi la question de sécurité en est si importante, cet article est pour vous. Nous ne rentrerons pas trop dans les détails concernant les protocoles, technologies et vulnérabilités dans cet article.

Ajouter à une liste de lecture
Plus d'article de cet auteur

Les derniers articles Premiums

Les derniers articles Premium

Déployer un cluster AMQ Streams avec Ansible
Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics

Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics

Magazine
Marque
Contenu Premium
Auteurs
Par
Mourey Stéphane
Spécialité(s)
Web
Résumé

Pour être visible sur le Web, un site est indispensable, cela va de soi. Mais il est impossible d’en évaluer le succès, ni celui de ses améliorations, sans établir de statistiques de fréquentation : combien de visiteurs ? Combien de pages consultées ? Quel temps passé ? Comment savoir si le nouveau design plaît réellement ? Autant de questions auxquelles Plausible se propose de répondre.

Ajouter à une liste de lecture
Quarkus : applications Java pour conteneurs

Quarkus : applications Java pour conteneurs

Magazine
Marque
Contenu Premium
Auteurs
Par
Pelisse Romain
Spécialité(s)
Système
Code
Résumé

Initié par Red Hat, il y a quelques années le projet Quarkus a pris son envol et en est désormais à sa troisième version majeure. Il propose un cadre d’exécution pour une application de Java radicalement différente, où son exécution ultra optimisée en fait un parfait candidat pour le déploiement sur des conteneurs tels que ceux de Docker ou Podman. Quarkus va même encore plus loin, en permettant de transformer l’application Java en un exécutable natif ! Voici une rapide introduction, par la pratique, à cet incroyable framework, qui nous offrira l’opportunité d’illustrer également sa facilité de prise en main.

Ajouter à une liste de lecture
De la scytale au bit quantique : l’avenir de la cryptographie

De la scytale au bit quantique : l’avenir de la cryptographie

Magazine
Marque
Contenu Premium
Auteurs
Par
Samhi Jordan
Spécialité(s)
Crypto
Résumé

Imaginez un monde où nos données seraient aussi insaisissables que le célèbre chat de Schrödinger : à la fois sécurisées et non sécurisées jusqu'à ce qu'un cryptographe quantique décide d’y jeter un œil. Cet article nous emmène dans les méandres de la cryptographie quantique, où la physique quantique n'est pas seulement une affaire de laboratoires, mais la clé d'un futur numérique très sécurisé. Entre principes quantiques mystérieux, défis techniques, et applications pratiques, nous allons découvrir comment cette technologie s'apprête à encoder nos données dans une dimension où même les meilleurs cryptographes n’y pourraient rien faire.

Ajouter à une liste de lecture
Voir les 39 articles premium

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous