Plus le temps passe et plus les intrusions informatiques deviennent complexes. Au fil des années, celles-ci ont considérablement évolué, au point qu'il est presque possible de nos jours d'attaquer un système sans laisser aucune trace.Cet article est le dernier d'une série de trois articles sur l'utilisation de la mémoire vive lors d'une intrusion informatique. Le premier, intitulé « Techniques anti-forensics sous Linux : utilisation de la mémoire vive », paru dans MISC 25 [ANTIFORENSIC], introduisait les techniques de base pour corrompre la mémoire vive sous Linux. Le deuxième, « Corruption de la mémoire lors de l'exploitation », paru à SSTIC 06, expliquait en long et en large les techniques pour exécuter un binaire à distance sur un système en utilisant uniquement la mémoire vive. Ce dernier article reprend certains éléments de l'article de SSTIC [SSTIC06], mais approfondit également d'autres thèmes comme l'injection de librairies à distance et l'élévation de privilèges tout en mémoire.
1. Une intrusion informatique classique
Lors d'une intrusion informatique, cinq étapes sont réalisées par l'attaquant pour obtenir le contrôle total du système visé :
- récolte des informations sur la cible ;
- attaque et pénétration ;
- augmentation de privilèges si nécessaire ;
- installation d'une backdoor ;
- effacement des traces.
Peu importe le système visé, ces étapes sont toujours identiques. Seulement, les techniques actuelles ont pour défaut souvent soit d'écrire sur le disque de la machine exploitée, soit de générer des logs. Ces informations peuvent être potentiellement utilisables par l'administrateur pour faire une analyse forensics. Les attaques présentées ont pour objectif justement de pallier ces problèmes en utilisant uniquement la mémoire vive tout au long de l'intrusion.
La première étape génère automatiquement des logs. Si l'attaquant veut exploiter un serveur Apache par exemple, il doit au préalable en connaître la...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première