Connaissez votre ennemiConnaissez votre ennemiConnaissez votre ennemiConnaissez votre ennemibotnets, spywares, rootkits, phishing…botnets, spywares, rootkits, phishing…

Jean GautierJean GautierPSS Security in EMEAPSS Security in EMEA

Pascal SaulierePascal SauliereConsultant Principal Sécurité, CISSP, Consultant Principal Sécurité, CISSP, Microsoft FranceMicrosoft France

Cyril VoisinCyril VoisinChef de programme Sécurité, Microsoft Chef de programme Sécurité, Microsoft FranceFrance

L’Art de la Guerre, Sun TzuL’Art de la Guerre, Sun Tzu

Connais ton ennemi et connais-toi toi-Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à même; eussiez-vous cent guerres à soutenir, cent fois vous serez soutenir, cent fois vous serez victorieux.victorieux.

Si tu ignores ton ennemi et que tu te Si tu ignores ton ennemi et que tu te connais toi-même, tes chances de connais toi-même, tes chances de perdre et de gagner seront égales.perdre et de gagner seront égales.

Si tu ignores à la fois ton ennemi et toi-Si tu ignores à la fois ton ennemi et toi-même, tu ne compteras tes combats même, tu ne compteras tes combats que par tes défaites.que par tes défaites.

SommaireSommaire

PhishingPhishingSpywaresSpywaresBotnetsBotnets

PrésentationPrésentationDémonstration !Démonstration !

RootkitsRootkitsDéfinition d’un Définition d’un rootkitrootkitScénario d’attaqueScénario d’attaqueFonctionnement d’un Fonctionnement d’un rootkitrootkit

En mode utilisateurEn mode utilisateurEn mode noyauEn mode noyau

Démonstration !Démonstration !

PhishingPhishingPhishingPhishing

Usurpation de marque & vol Usurpation de marque & vol d’informationsd’informations

PhishingPhishing

Usurpation de marque dans le but de voler Usurpation de marque dans le but de voler votre identité (informations personnelles telles votre identité (informations personnelles telles que comptes et mot de passe, numéro de que comptes et mot de passe, numéro de carte bleu, informations bancaires…)carte bleu, informations bancaires…)Par le biais d’e-mail ou de pop-upPar le biais d’e-mail ou de pop-upFréquemmentFréquemment

AlarmisteAlarmisteNon personnaliséNon personnaliséLien dans le messageLien dans le message(Fautes d’orthographe / grammaire)(Fautes d’orthographe / grammaire)

Tout le monde a vu la démo du keynote du 14 Tout le monde a vu la démo du keynote du 14 juin? (sinon captures d’écran en annexe de juin? (sinon captures d’écran en annexe de ce .ppt)ce .ppt)

Adresse trompeuseLe code source révèle la vraie adresse : “href=mailto:accmanager@msn-network.com”

Lien trompeurLe code source révèle que l’adresse réelle est : href=http://www.online-msnupdate.com/?sess=qCKWmHUBPPZwT8n4GEMNh7owHDEGt40IHKG5tAGiqGOjNeovRc&cid=betteyost@msn.com

La différence entre ces deux URL pourrait être un signe que le message est faux (en outre, si les 2 URL étaient les mêmes, il faudrait quand même rester sur ses gardes.)

Message alarmisteTentative flagrante de faire croire à une urgence pour obtenir une réponse sans réflexion. En général, il y a aussi des fautes de frappe, d’orthographe, de grammaire

Message non personnaliséSoignez méfiant(e) si une entreprise avec laquelle vous êtes régulièrement en contact, ne vous appelle pas par votre nom.

Connaissance de la sociétéIci eBay, en général, n’envoie pas d’e-mails contenant des liens de login à ses clients. Regarder dans la barre d’état et constater que le lien ne pointe pas sur le site eBay.com

Se méfier des liens dans un e-mail qui s’affichent différemment dans la barre d’état. Dans ce cas, ouvrir un nouveau navigateur et taper soit-même l’URL normale.

PHISHING

Regardez attentivement le lien. Vous voyez le signe @ ? C’est un classique pour le phishing. Dans certains navigateurs, ce qui est à gauche du @ n’est pas pris en compte et la connexion a lieu sur ce qui est à droite.

PHISHING

Exemple en mai 2005Exemple en mai 2005

Courrier de Courrier de phishingphishing visant les clients visant les clients de grandes banques françaises :de grandes banques françaises :

Comment ne pas se faire avoirComment ne pas se faire avoir

Se méfier si on vous contacte soudainement pour vous Se méfier si on vous contacte soudainement pour vous demander des informations personnelles (par e-mail ou pop-up)demander des informations personnelles (par e-mail ou pop-up)Ne pas cliquer sur un lien dans un e-mail qui vous demande des Ne pas cliquer sur un lien dans un e-mail qui vous demande des informations personnelles (au besoin, allez vous-même sur le informations personnelles (au besoin, allez vous-même sur le site de l’institution en tapant l’adresse habituelle)site de l’institution en tapant l’adresse habituelle)Si quelqu’un vous contacte en vous prétendant que vous avez Si quelqu’un vous contacte en vous prétendant que vous avez été victime d’une fraude, vérifiez d’abord son identité avant de été victime d’une fraude, vérifiez d’abord son identité avant de lui communiquer la moindre information (valable pour le site lui communiquer la moindre information (valable pour le site auquel vous vous connectez)auquel vous vous connectez)NE JAMAIS communiquer d’information personnelle secrète NE JAMAIS communiquer d’information personnelle secrète (comme un mot de passe) ou d’information bancaire(comme un mot de passe) ou d’information bancaireVérifiez régulièrement vos relevés bancaires et de carte de Vérifiez régulièrement vos relevés bancaires et de carte de créditcréditSignalez les cas suspects aux autorités compétentesSignalez les cas suspects aux autorités compétentes

SpywaresSpywaresSpywaresSpywares

Que sont les logiciels Que sont les logiciels espions ?espions ?

ExemplesExemplesDescriptionDescription

Pas de nuisance Pas de nuisance potentiellepotentielle

Utilisation de Utilisation de ressources à ressources à distancedistance

Collecte de Collecte de données données personnellespersonnelles

Affichage de pubAffichage de pub

Changements de Changements de paramétragesparamétrages

Numérotation Numérotation automatiqueautomatique

Clairement Clairement malfaisant malfaisant (virus, ver, (virus, ver, troyen)troyen)

Inoffensif

Collecte de données

Publicité

Changements de

configuration

Utilisation de

ressources à distance

Numérotation

Activité malfaisante

Surveillance Enregistrement Enregistrement des frappes des frappes clavierclavier

Pote

nti

el d

e

Pote

nti

el d

e

nu

isan

ce

nu

isan

ce

ExtrêmExtrêmee

AucunAucun

ComportementComportement

+ NotepadNotepad

+ Logiciel du fournisseur d’accèsLogiciel du fournisseur d’accès– Numérotation vers site pornoNumérotation vers site porno

+ Contrôle parentalContrôle parental– Key-loggersKey-loggers

– SasserSasser

+ Barre de recherche autoriséeBarre de recherche autorisée– Collecte de donnéesCollecte de données

+ Logiciel supportant de la pubLogiciel supportant de la pub– Pop-ups non autorisésPop-ups non autorisés

+ Utilitaires de paramétrageUtilitaires de paramétrage– Détournement du navigateurDétournement du navigateur

+ Application partage de cycleApplication partage de cycle– Porte dérobéePorte dérobée

Spyware ou logiciel espion : Programme qui effectue un certain nombre

d’opérations sans le consentement approprié de l’utilisateur

Quelques idées de l’ampleurQuelques idées de l’ampleur

La cause d’au moins 1/3 de tous les crashes des La cause d’au moins 1/3 de tous les crashes des applications Windowsapplications Windows11

Problème majeur chez les OEMs : la cause numéro Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell1 des appels au support chez Dell22

ConsommateursConsommateurs91 % des utilisateurs de l’Internet haut débit sont affectés91 % des utilisateurs de l’Internet haut débit sont affectés33

En moyenne : 5+ « En moyenne : 5+ « spywaresspywares » /  «  » /  « adwaresadwares » par machine » par machine44

Entreprise Entreprise 55

92 % des managers des DI interrogés pensent que leurs 92 % des managers des DI interrogés pensent que leurs sociétés ont des « sociétés ont des « spywaresspywares » »

1Analyses MS Watson/OCA, Jan-Mar 20042FTC Workshop, Avril 20043,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 20045Websense Web@Work Survey, Avril 2004

Par où viennent-ils ?Par où viennent-ils ?

Par e-mail ou via des pièces jointes Par e-mail ou via des pièces jointes attractivesattractives

Faux bulletins de sécurité Microsoft Faux bulletins de sécurité Microsoft Non signés bien entendu (comment Non signés bien entendu (comment reconnaître un message authentique : reconnaître un message authentique : http://www.microsoft.com/security/incident/ahttp://www.microsoft.com/security/incident/authenticate_mail.mspx)uthenticate_mail.mspx)

PhotosPhotos

Via des Via des installations installations de logicielsde logiciels

Par où viennent-ils ?Par où viennent-ils ?

Connexion réseau avec absence de Connexion réseau avec absence de correctif et de pare-feucorrectif et de pare-feu

Téléchargement lors de la navigation Téléchargement lors de la navigation ActiveX camouflé par ex.ActiveX camouflé par ex.

IE 6.0SP2 (Windows XP SP2) et ultérieur a IE 6.0SP2 (Windows XP SP2) et ultérieur a une interface plus claire et plus sure pour une interface plus claire et plus sure pour l’utilisateurl’utilisateur

Pop-ups et autres astucesPop-ups et autres astucesBannières, pop-oversBannières, pop-overs

Lutter contre les logiciels Lutter contre les logiciels non désirésnon désirés

Utiliser un compte normal (LUA)Utiliser un compte normal (LUA)

Désactiver le contenu actif dans IEDésactiver le contenu actif dans IECeci peut empêcher certains sites de Ceci peut empêcher certains sites de fonctionnementfonctionnement

Par exemple : Windows UpdatePar exemple : Windows Update

Fermer les fenêtres par combinaison de Fermer les fenêtres par combinaison de touche ou par la croix blanche sur fond rougetouche ou par la croix blanche sur fond rouge

Télécharger seulement depuis des sites de Télécharger seulement depuis des sites de bonne réputation qui certifient que les bonne réputation qui certifient que les logiciels sont propreslogiciels sont propres

Utiliser un logiciel antispywareUtiliser un logiciel antispyware

Microsoft Windows Microsoft Windows AntiSpywareAntiSpyware

Communauté SpyNet™ : identifier les nouveaux Communauté SpyNet™ : identifier les nouveaux spywaresspywares

Mise à jour automatique des signaturesMise à jour automatique des signatures

Corrige les problèmes de ralentissement, de Corrige les problèmes de ralentissement, de pop-upspop-ups, etc., etc.

Analyses planifiées pour maintenir sécurité et confidentialitéAnalyses planifiées pour maintenir sécurité et confidentialité

Surveillance temps réelSurveillance temps réel de plus de 50 points d'entrées de plus de 50 points d'entrées

Alertes personnalisables selon vos préférencesAlertes personnalisables selon vos préférences

Lutte contre les logiciels espionsLutte contre les logiciels espions

Aide à protéger les utilisateurs de Aide à protéger les utilisateurs de Windows contre les logiciels espions et Windows contre les logiciels espions et autres logiciels non désirésautres logiciels non désirés

Détecter et supprimer Détecter et supprimer les spywaresles spywares

Améliorer la sécurité Améliorer la sécurité de la navigation sur de la navigation sur

InternetInternet

Stopper les dernières Stopper les dernières menacesmenaces

Windows AntiSpywareWindows AntiSpyware

Plus de 10 millions de Plus de 10 millions de téléchargements (en 10 semaines)téléchargements (en 10 semaines)Retours positifs et nombreux Retours positifs et nombreux commentaires constructifscommentaires constructifsSignatures anti-spyware mises à Signatures anti-spyware mises à jour toutes les semainesjour toutes les semaines

Site Microsoft Anti-spyware Site Microsoft Anti-spyware

http://www.microsoft.com/spywarehttp://www.microsoft.com/spyware

Protection “temps réel” de Protection “temps réel” de MS AntispywareMS Antispyware

MSAS scanne les points de MSAS scanne les points de démarrage des spywares toutes les démarrage des spywares toutes les 10s10s

Blocage avec MS AntispywareBlocage avec MS Antispyware

Si une nouvelle entrée apparaît, il fait Si une nouvelle entrée apparaît, il fait apparaître une fenêtre de notificationapparaître une fenêtre de notification

Choisir “block”Choisir “block”entraîne la entraîne la suppression de la suppression de la nouvelle entréenouvelle entrée

Évolution de MS Antispyware Évolution de MS Antispyware

Détection et suppression des logiciels non Détection et suppression des logiciels non désirésdésirésProtection en continuProtection en continuMise à jour des défense (signatures)Mise à jour des défense (signatures)Version de base gratuite (plutôt pour les Version de base gratuite (plutôt pour les particuliers mais peut être utilisée en particuliers mais peut être utilisée en entreprise si on en accepte les limitations)entreprise si on en accepte les limitations)Version entreprise : Version entreprise :

Déploiement centralisé (client et signatures)Déploiement centralisé (client et signatures)Rapports étendusRapports étendusOptions de configuration et contrôle Admin des Options de configuration et contrôle Admin des signaturessignatures

Nettoyage manuelNettoyage manuel

Car un antispyware classiqueCar un antispyware classiqueRepose sur des signaturesRepose sur des signaturesPeut être la cible d’un logiciel indésirablePeut être la cible d’un logiciel indésirablePeut ne pas être installé sur une machine touchéePeut ne pas être installé sur une machine touchée

Des outils comme ceux de Des outils comme ceux de www.sysinternals.com peuvent être utileswww.sysinternals.com peuvent être utilesDémarche : Démarche :

Identifier les processus (Process Explorer)Identifier les processus (Process Explorer)Les suspendre puis les terminerLes suspendre puis les terminer

Identifier les sources de démarrage automatique Identifier les sources de démarrage automatique de ces processus (Autoruns)de ces processus (Autoruns)

Les supprimerLes supprimer

Supprimer les fichiers et répertoires de ces Supprimer les fichiers et répertoires de ces logiciels indésirables (Sigcheck en partie)logiciels indésirables (Sigcheck en partie)

AutorunsAutoruns

Fournit plus d’infos que msconfig de Windows Fournit plus d’infos que msconfig de Windows XPXPMontre les endroits qui peuvent être configurés Montre les endroits qui peuvent être configurés pour exécuter du code au démarrage ou à pour exécuter du code au démarrage ou à l’ouverture de sessionl’ouverture de session

ServicesServicesTâchesTâchesModules additionnels de l’explorateur et d’IE (barres Modules additionnels de l’explorateur et d’IE (barres d’outils, d’outils, Browser Helper ObjectsBrowser Helper Objects, …), …)

Affiche le chemin complet et la versionAffiche le chemin complet et la versionRecherche sur le Web facileRecherche sur le Web facileFocalisation aisée sur le code non Microsoft Focalisation aisée sur le code non Microsoft (cache les entrées MS signées) (cache les entrées MS signées) Version en ligne de commande (script, réseau)Version en ligne de commande (script, réseau)

AutorunsAutoruns

Process ExplorerProcess Explorer

Plus complément que le Gestionnaire de tâches de Windows XPPlus complément que le Gestionnaire de tâches de Windows XPPermet une exploration approfondie des processusPermet une exploration approfondie des processus

Arborescence de processusArborescence de processusLigne de commandeLigne de commandeChemin completChemin completInformation de versionInformation de versionChaînesChaînesVérification de signature de codeVérification de signature de codeChercheur de fenêtreChercheur de fenêtreRecherche sur le WebRecherche sur le Web

Processus suspects :Processus suspects :Pas de description ou de nom d’éditeurPas de description ou de nom d’éditeurSitués dans %windir%Situés dans %windir%Pas d’icônePas d’icôneDrôles d’URL dans les chaînesDrôles d’URL dans les chaînes

Process ExplorerProcess Explorer

Signature de codeSignature de code

Le code de Microsoft est signé Le code de Microsoft est signé numériquementnumériquement

AutorunsAutoruns et et Process Explorer Process Explorer vérifient vérifient les signaturesles signatures

Sigcheck Sigcheck permet d’analyser les permet d’analyser les signatures des exécutablessignatures des exécutables

Analyser de tout le système (au moins Analyser de tout le système (au moins %windir%)%windir%)

Regarder de près les images non signéesRegarder de près les images non signées

SigcheckSigcheck

Ligne de commande pour afficher des Ligne de commande pour afficher des informations sur les exécutables non signés :informations sur les exécutables non signés :

sigcheck -e -u -s c:\sigcheck -e -u -s c:\

BotnetsBotnetsBotnetsBotnets

BotnetsBotnets : terminologie : terminologie

Bot (robot)Bot (robot)Programme exécutant une action ou un groupe Programme exécutant une action ou un groupe d’action à la demande d’un programme distant. d’action à la demande d’un programme distant. Installé sur l’ordinateur de la victime (zombie)Installé sur l’ordinateur de la victime (zombie)

BotnetBotnetRéseau de machines zombies formant une armée Réseau de machines zombies formant une armée d’ordinateurs contrôlée à partir d’un point centrald’ordinateurs contrôlée à partir d’un point central

Canal de contrôleCanal de contrôleMéthode pour communiquer avec les victimesMéthode pour communiquer avec les victimes

« Gardien » (pirate, attaquant…)« Gardien » (pirate, attaquant…)Gardien des robots, contrôleur, Gardien des robots, contrôleur, Bot HerderBot HerderPossède le canal de contrôle et commande le Possède le canal de contrôle et commande le botnet botnet Motivations : argent, puissanceMotivations : argent, puissance

Fonctionnalité : vol de Fonctionnalité : vol de donnéesdonnées

Documents ou données sur l’ordinateur Documents ou données sur l’ordinateur infectéinfectéMots de passe, mots de passe IRCMots de passe, mots de passe IRCNuméros de comptes bancaires, mots Numéros de comptes bancaires, mots de passede passeComptes PaypalComptes PaypalDonnées liées aux cartes de créditDonnées liées aux cartes de créditTouches frappées au clavier (Touches frappées au clavier (keyloggerkeylogger))Numéros de série de logiciels Numéros de série de logiciels (Windows, Office, jeux, etc.)(Windows, Office, jeux, etc.)

Fonctionnalité : DDoSFonctionnalité : DDoS

Quelques centaines de machines Quelques centaines de machines peuvent rendre indisponible un site de peuvent rendre indisponible un site de commercecommerce

Au Kentucky, des sites Internet ont été Au Kentucky, des sites Internet ont été rendus inaccessibles pendant une rendus inaccessibles pendant une semaine ; ils avaient refusé de payer semaine ; ils avaient refusé de payer 10.000 $10.000 $

Crime organisé : en Angleterre, des Crime organisé : en Angleterre, des casinos en ligne se sont vus proposer casinos en ligne se sont vus proposer une « protection » contre 50.000 $/anune « protection » contre 50.000 $/an

Fonctionnalité : SpamFonctionnalité : Spam

(en 2004) Entre 70% et 80% du Spam (en 2004) Entre 70% et 80% du Spam est envoyé à partir de machines est envoyé à partir de machines zombieszombies

Des botnets sont « loués » pour l’envoi Des botnets sont « loués » pour l’envoi de Spamde Spam

Exemples réels :Exemples réels :Entre 2,5 et 6 cents par bot par semaineEntre 2,5 et 6 cents par bot par semaine

Entre 200 et 900 $ par semaineEntre 200 et 900 $ par semaine

Machines constamment disponibles : entre Machines constamment disponibles : entre 5.000 et 30.0005.000 et 30.000

Septembre 2004 - forums de SpecialHam.com, Spamforum.biz

Fonctionnalités : autres Fonctionnalités : autres sources de revenussources de revenus

Installation de Spyware, AdwareInstallation de Spyware, Adware

Simulation de « clics » sur les publicités Simulation de « clics » sur les publicités de sites web – les annonceurs paient au de sites web – les annonceurs paient au nombre de clicsnombre de clics

……

FonctionnementFonctionnement

ServeurServeurde contrôlede contrôle

(1) Infecter la 1(1) Infecter la 1èreère victime victime

Infecter laInfecter la11èreère victime victimeavec un botavec un bot

ServeurServeurde contrôlede contrôle

(2) Connexion au serveur IRC(2) Connexion au serveur IRC

Connexion du botConnexion du botau serveur IRCau serveur IRC

ServeurServeurde contrôlede contrôle

Connexion du botConnexion du botau serveur IRCau serveur IRC

(3) Connexion du gardien(3) Connexion du gardien

ServeurServeurde contrôlede contrôle

ConnexionConnexiondu gardiendu gardien

au serveur IRCau serveur IRC

(4) Propagation(4) Propagation

ServeurServeurde contrôlede contrôle

CommandeCommandede propagationde propagation

BotnetBotnet

(5) Botnet prêt(5) Botnet prêt

ServeurServeurde contrôlede contrôle

CommandeCommandede propagationde propagation

BotnetBotnet

Canal de contrôle : IRCCanal de contrôle : IRC

Protocole connu depuis presque 25 ansProtocole connu depuis presque 25 ansUn des premiers systèmes de chat décentralisé Un des premiers systèmes de chat décentralisé ((channelchannel ~ ~ chat roomchat room))Premiers bots créés pour contrôler ses propres Premiers bots créés pour contrôler ses propres channelschannels, puis pour des fonctions évoluées (jeux, , puis pour des fonctions évoluées (jeux, serveurs de fichiers, etc.)serveurs de fichiers, etc.)

Exemple : solution de repli pour le P2PExemple : solution de repli pour le P2P

AvantagesAvantagesOutils et connaissance disponiblesOutils et connaissance disponiblesProtocole léger et simple à programmerProtocole léger et simple à programmerJusqu’à 45.000 clients par serveurJusqu’à 45.000 clients par serveur

InconvénientsInconvénientsFacilement repérableFacilement repérableDépendant de l’architecture DNSDépendant de l’architecture DNSLe botnet repose sur un seul serveurLe botnet repose sur un seul serveur

Boîte à outilsBoîte à outils

Bots disponibles, avec sources (C/C++) Bots disponibles, avec sources (C/C++) et documentationet documentation

Certains sont portables : Windows, LinuxCertains sont portables : Windows, Linux

Serveurs IRC gratuits (basés sur IRCd)Serveurs IRC gratuits (basés sur IRCd)De plus en plus de serveurs modifiés, De plus en plus de serveurs modifiés, adaptés aux volumes et fonctions des adaptés aux volumes et fonctions des botnetsbotnets

Client IRCClient IRCAutres canaux :Autres canaux :

HTTPHTTPICQICQ

(à but éducatif uniquement…)

Mais encore ?Mais encore ?

Contre-mesuresContre-mesures

Les bots se propagent par le réseauLes bots se propagent par le réseau

Pare-feuPare-feu

Mises à jourMises à jour

Anti-virusAnti-virus

Attention aux nouvelles machines Attention aux nouvelles machines personnelles et à leur 1personnelles et à leur 1èreère connexion à connexion à l’Internetl’Internet

RootkitsRootkitsRootkitsRootkits

Rootkit - DéfinitionRootkit - Définition

Définition :Définition :Un rootkit est un ensemble de composants Un rootkit est un ensemble de composants logiciels modifiant/déroutant le chemin logiciels modifiant/déroutant le chemin d’exécution du système. Cette modification d’exécution du système. Cette modification porte atteinte à l’intégrité de la « Trusted porte atteinte à l’intégrité de la « Trusted Computing Base » (TCB).Computing Base » (TCB).

Objectif :Objectif :Maintenir la présence malveillante sur un Maintenir la présence malveillante sur un système compromis par l’utilisation de système compromis par l’utilisation de techniques de furtivité.techniques de furtivité.

Rootkit - CapacitésRootkit - Capacités

Cacher :des processusdes fichiersdes pilotesdes ports et des connexions réseaudes clés de registre

Installer des portes dérobéesAjouter des privilèges à une sessionAjouter des groupes à une sessionManipuler l’observateur d’évènementsFaire tout ce qu’un programme peut faire

Scénarios d’attaqueScénarios d’attaque

L’attaquant acquiert des privilèges L’attaquant acquiert des privilèges élevés sur un systèmeélevés sur un système

L’attaquant installe le rootkitL’attaquant installe le rootkit

Le rootkit se dissimule lui-même ainsi Le rootkit se dissimule lui-même ainsi que tout autre composant configuréque tout autre composant configuré

L’attaquant peut alors réaliser tous L’attaquant peut alors réaliser tous types d’actions sur le système avec peu types d’actions sur le système avec peu de risques de détectionde risques de détection

Rootkit en mode utilisateurRootkit en mode utilisateur

Modifie les exécutables et librariesModifie les exécutables et libraries

Reroute les APIs :Reroute les APIs :CreateFile, FindFirstFile, …CreateFile, FindFirstFile, …

RegGetValue, RegEnumKey, …RegGetValue, RegEnumKey, …

EnumProcesses, EnumProcessModules, …EnumProcesses, EnumProcessModules, …

……

Rootkit en mode noyauRootkit en mode noyau

Modifie les tables/fonctions Kernel:Modifie les tables/fonctions Kernel:KiServiceTableKiServiceTableSST/SDTSST/SDT

Déroute l’interruption Int 2EDéroute l’interruption Int 2EModifie les tables Kernel (Direct Kernel Object Modifie les tables Kernel (Direct Kernel Object Manipulation)Manipulation)

EPROCESS FLINK/BLINK – Le système exécute des EPROCESS FLINK/BLINK – Le système exécute des threads, pas des process.threads, pas des process.Ajoute des groupes, des privilèges, etc aux jetons.Ajoute des groupes, des privilèges, etc aux jetons.Modifie les listes de l’OrdonnanceurModifie les listes de l’Ordonnanceur

KiWaitInListHeadKiWaitInListHeadKiWaitOutListheadKiWaitOutListheadKiDispatcherReadyListHeadKiDispatcherReadyListHead

Principe de Principe de fonctionnementfonctionnement

32

1

Kernel Mode

(Ring 0)

User Mode

(Ring 3)

AppCreateFile();

Kernel32.dllCreateFileW

ntdll.dllZwCreateFile

mov eax, 25h

mov edx, 7FFE0300h

call dword ptr [edx]

retn 4

mov edx, esp

sysenter (or int 2E)

ret

KiSystemService(maybe via KiFastCallEntry)

2E

Interrupt Dispatch Table

7FFE0300h

NtCreateFile

IoCreateFile

IopCreateFile

(25h)NtCreateFile

Service Descriptor Table

0

DémonstrationDémonstrationDémonstrationDémonstration

RootkitRootkit

Contre-mesuresContre-mesuresContre-mesuresContre-mesures

Contre-mesuresContre-mesures

Cf sessions précédentes :Cf sessions précédentes :Windows XP SP2Windows XP SP2

LUALUA

Outils et infosOutils et infos

RemerciementsRemerciements

Mark RussinovichMark RussinovichChief Software ArchitectChief Software ArchitectWinternals SoftwareWinternals Softwaremark@sysinternals.commark@sysinternals.compour la partie spywarespour la partie spywares

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com

AnnexeAnnexeAnnexeAnnexe

Démos de Démos de phishing : phishing : comparaison de Windows comparaison de Windows XP Service Pack 1 et de XP Service Pack 1 et de

Windows XP Service Pack2Windows XP Service Pack2

Démos de Démos de phishing : phishing : comparaison de Windows comparaison de Windows XP Service Pack 1 et de XP Service Pack 1 et de

Windows XP Service Pack2Windows XP Service Pack2Cyril VoisinCyril VoisinChef de programme Sécurité Chef de programme Sécurité Microsoft FranceMicrosoft France

E-mail dans Outlook E-mail dans Outlook ExpressExpress

E-mail dans Outlook E-mail dans Outlook ExpressExpress

Démo 1 : phishing par e-mail Démo 1 : phishing par e-mail dans Outlook Expressdans Outlook Express

ActiveX et camouflageActiveX et camouflageActiveX et camouflageActiveX et camouflage

Démo 2 : tentative Démo 2 : tentative d’installation d’un cheval de d’installation d’un cheval de Troie par tromperieTroie par tromperie

Vol de mot de passe par Vol de mot de passe par usurpation de l’interfaceusurpation de l’interfaceVol de mot de passe par Vol de mot de passe par usurpation de l’interfaceusurpation de l’interface

Démo 3 : Internet Explorer Démo 3 : Internet Explorer en mode plein écran pour en mode plein écran pour tromper l’utilisateurtromper l’utilisateur