Intrusion informatique tout en mémoire sous Linux

Auteurs
Par
Gaspard François
Dralet Samuel


Résumé

Plus le temps passe et plus les intrusions informatiques deviennent complexes. Au fil des années, celles-ci ont considérablement évolué, au point qu'il est presque possible de nos jours d'attaquer un système sans laisser aucune trace.Cet article est le dernier d'une série de trois articles sur l'utilisation de la mémoire vive lors d'une intrusion informatique. Le premier, intitulé « Techniques anti-forensics sous Linux : utilisation de la mémoire vive », paru dans MISC 25 [ANTIFORENSIC], introduisait les techniques de base pour corrompre la mémoire vive sous Linux. Le deuxième, « Corruption de la mémoire lors de l'exploitation », paru à SSTIC 06, expliquait en long et en large les techniques pour exécuter un binaire à distance sur un système en utilisant uniquement la mémoire vive. Ce dernier article reprend certains éléments de l'article de SSTIC [SSTIC06], mais approfondit également d'autres thèmes comme l'injection de librairies à distance et l'élévation de privilèges tout en mémoire.


1. Une intrusion informatique classique

Lors d'une intrusion informatique, cinq étapes sont réalisées par l'attaquant pour obtenir le contrôle total du système visé :

  1. récolte des informations sur la cible ;
  2. attaque et pénétration ;
  3. augmentation de privilèges si nécessaire ;
  4. installation d'une backdoor ;
  5. effacement des traces.

Peu importe le système visé, ces étapes sont toujours identiques. Seulement, les techniques actuelles ont pour défaut souvent soit d'écrire sur le disque de la machine exploitée, soit de générer des logs. Ces informations peuvent être potentiellement utilisables par l'administrateur pour faire une analyse forensics. Les attaques présentées ont pour objectif justement de pallier ces problèmes en utilisant uniquement la mémoire vive tout au long de l'intrusion.

La première étape génère automatiquement des logs. Si l…

La suite est réservée aux abonnés. Il vous reste 97% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Dralet Samuel

Dralet Samuel
9 articles

Gaspard François

Gaspard François
7 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

Les nouvelles menaces des réseaux industriels

Magazine
Marque
MISC
Numéro
54
Mois de parution
mars 2011
Auteurs
Par
Gaspard François
Spécialité(s)
Sécurité réseau
Malware
Résumé

Cet article est la suite du premier article sur les réseaux industriels parus dans MISC n°51. On continue ici d'étudier ces réseaux et on va un peu plus loin quant aux protocoles utilisés et les risques associés. Stuxnet, « la première cyber arme du 21ème siècle », est utilisée tout au long de l'article pour illustrer les menaces qui pèsent sur ces réseaux. On commencera par rappeler Stuxnet, la première cyber arme attaquant un PLC. Plus d'informations sur les PLC vont êtres données ainsi que comment Stuxnet les attaque. Ensuite, on analysera deux protocoles plus en profondeur : Modbus et OPC. Enfin, on terminera sur les implications du Stuxnet sur les réseaux industriels.

Lire l'article

Sécurité des infrastructures critiques et systèmes de contrôle

Magazine
Marque
MISC
Numéro
51
Mois de parution
septembre 2010
Auteurs
Par
Gaspard François
Spécialité(s)
Sécurité réseau
Résumé

Cet article est une introduction aux infrastructures critiques et réseaux industriels communément appelés ICS (Industrial Control Systems). Si vous n'avez jamais entendu parler de ces réseaux, si vous vous êtes toujours demandé en quoi consiste ces réseaux, et surtout pourquoi la question de sécurité en est si importante, cet article est pour vous. Nous ne rentrerons pas trop dans les détails concernant les protocoles, technologies et vulnérabilités dans cet article.

Lire l'article

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture