Les fleurs du MALware

Soyez heureux, vous tenez ce magazine entre vos mains. On l'a échappé bel ! Avec la fin du monde annoncée pour le 21/12/12, toute l'équipe ne savait pas si elle bossait pour un magazine qui ne verrait jamais le jour au final. Encore un mythe qui s'effondre.

Quand on aime les injections SQL et que l'on développe des applications web avec Ruby-On-Rails, se réveiller un matin en lisant « SQL injections dans ActiveRecord » annonce une très bonne journée... Cet article va détailler comment il est possible d'exploiter cette vulnérabilité pour la base de données MySQL.

Les outils d'audit web en boîte noire sont-ils un complément sérieux à l'auditeur manuel ? Quelles perspectives est-on en droit d'attendre de ce type d'outils et dans quel cadre ? Cet article s'efforce de répondre à ces interrogations en présentant les résultats d'une évaluation mise en œuvre sur plusieurs outils commerciaux et open source.

À partir d'une analyse passive distante sans compte ou à partir d'un accès physique avec ou sans compte utilisateur, quelles informations critiques peuvent être extraites d'un système Mac OS X dans le cadre d'une attaque réelle ou d'une investigation numérique ?Cet article illustre, de manière crescendo, les différentes fuites d'informations accessibles pouvant être exploitées sur votre système.

Le droit pénal français, comme les traités internationaux, prévoient plusieurs infractions spécifiques ou circonstances aggravantes lorsque les délits sont commis à plusieurs, de façon concertée voire organisée. Essayons de voir ce que l'univers des botnets et le véritable écosystème qui s'est créé autour d'eux offrent comme potentialités quant à l'identification de groupes criminels organisés : il s'agit bien d'une véritable professionnalisation de ces formes modernes de délinquance.

Le monde de l'analyse de malware est un monde complexe. Il y a beaucoup de secrets, de non-dits et d'agressivité au sein du même côté : les gentils. Cet article va porter sur le partage d'échantillon de malware et sur la légitime défense numérique suivie d'exemples concrets. Je ne suis pas juriste, cet article a été écrit avec le clavier d'un technicien qui espère ne pas avoir fait trop d'erreurs.

Les keyloggers sont très intéressants pour des attaquants, ou des conjoints peu confiants. Ils permettaient à l'origine de sauvegarder tout ce que l'utilisateur saisissait sur son clavier ; de nos jours, ils sont beaucoup plus complets et permettent par exemple de faire des captures d'écran. Ces informations peuvent aller du mot de passe à l'écriture de documents complets. Les keyloggers utilisent des techniques particulières pour rester le plus discret possible et ne pas être repérés. Dans cet article, nous allons analyser le fonctionnement de Powered Keylogger développé par la société Eltima Software.

Lorsque l’on évoque des signatures d’attaques d’un système d’information via des malwares, il est naturel de penser à des détections basées sur le réseau. La sophistication atteinte par certains malwares et autres outils actuels de prise de contrôle à distance impose cependant de mettre en place des mécanismes de détection complémentaires. Ces derniers se basent sur une corrélation d’informations provenant aussi bien du réseau que des équipements qui le peuplent. Le format IOC (Indicator Of Compromise), vu dans le numéro précédent de MISC, permet de créer de telles signatures.Pour compléter ce format, il existe un système basé uniquement sur la détection de binaires, Yara.Yara permet de détecter des malwares ainsi que des outils d’attaques, que ce soit lors d’opérations de réponse à incident de sécurité informatique ou lors de contrôles récurrents du système d’information.

Dans le numéro précédent, nous avons vu le mode opératoire côté attaquant et comment s'organiser pour tenter de survivre à un DDoS côté attaqué. Nous allons désormais nous intéresser aux outils « grand public » destinés à commettre ces méfaits.

L'analyse des applications Android prend de plus en plus de place dans la vie d'un analyste, en raison de l'explosion de cette plateforme, du niveau des utilisateurs finaux et du nombre croissant d'applications disponibles sur le Google Play. Il est donc nécessaire de bien connaître nos outils et leurs limites possibles. Dans la suite de cet article, nous allons brièvement expliquer le format DEX où se situe le code exécutable d'une application, puis décrire les dernières techniques qui permettent de contourner les outils open source d'analyse d'application Android.

Nombreux sont les développeurs qui imaginent encore qu'il est ardu d'attaquer une application iPhone. Ils pensent qu'un hacker doit obligatoirement enlever le DRM FairPlay, puis analyser l'application à l'aide d'un debugger ou d'un désassembleur, et finalement appliquer des modifications en assembleur dans le binaire. Nous allons voir qu’en utilisant le framework MobileSubstrate, installé sur la plupart des appareils jailbreakés, il est aisé de modifier le comportement d'une application iPhone sans connaître grand-chose au reverse engineering ou à l'assembleur.

Stripe, une solution de paiement en ligne, est à l'origine d'un Capture The Flag à la fois ludique et instructif. Les six niveaux de ce challenge offrent un joli tour d'horizon des grandes catégories d'erreur de programmation à ne pas commettre. Nous proposerons dans cet article une analyse de chacun de ces niveaux afin de comprendre la vulnérabilité qui y a été introduite, la façon de l'exploiter et surtout les bonnes pratiques à adopter pour éviter de reproduire ces erreurs dans vos futurs programmes.