Rootkit pour Windows Mobile 6



Documents pareils
Comment paramétrer manuellement mon mobile pour accéder à la 2G/3G+ et configurer mes s?

Internet mobile : Etat de l art - Février Reproduction ou communication même partielle interdite sans autorisation écrite d ip-label.

Pourquoi choisir ESET Business Solutions?

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

Recommandations techniques

Concept Compumatica Secure Mobile

LOGO Smartphones, tablettes, et autres gadgets quel impact sur notre métier d ASR

Applications smartphones : enjeux et perspectives pour les communautés de l'eglise Catholique. Application Smartphone 1

MOBILITE. Nomadio, le dialer d entreprise. Datasheet

CHOIX ET USAGES D UNE TABLETTE TACTILE EN ENTREPRISE

Solution téléphonique globale(1) : sur votre facture téléphonique globale! Configuration minimale requise : 1 fax + 1 fixe+ 1mobile.

domovea Portier tebis

N.B. : Le mot de passe est le même pour les connexions sans fil, e-learning et Windows (laboratoires) ainsi que les adresses électroniques.

Comprendre les outils mobiles

La sécurité des ordiphones : mythe ou réalité?

LES OUTILS DE LA MOBILITE

La sécurisation des mobiles dans l entreprise

Gestion de parc Windows depuis Unix. Pascal Cabaud & Laurent Joly

12 novembre 2012 Montauban MOBILITÉ, APPLICATIONS ET SITES MOBILES

Sécuriser un équipement numérique mobile TABLE DES MATIERES

Trois types de connexions possibles :

Technologies mobiles & Tourisme: la révolution? Denis Genevois Marche-en Janvier 2011

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Iphone vs. Android. Mardi 17 Novembre 2009 Paris, la Défense. Xavier PARADON, Directeur Technique Valtech Training

Comment espionner un portable

Liens de téléchargement des solutions de sécurité Bitdefender

Lutter contre les virus et les attaques... 15

EA D S INNOVA TION W ORKS. Mobilité et sécurité. Nicolas RUFF nicolas.ruff [à] eads.net

Can we trust smartphones?

Vivre avec Linux en dehors des ordinateurs

Vos données : Un capital à valoriser. ADD S.A. Chemin des Chalets 1279 CHAVANNES-DE-BOGIS

Le touristonaute en mobilité

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Veille technologique - BYOD

Guide utilisation SFR Sync. SFR Business Team - Présentation

Manuel de démarrage rapide. L ipad en bref.

Cartographie et audit du réseau GSM avec des outils Open Source

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Note comparative entre les caractéristiques des tablettes numériques, smartphones et pocket PC pour la collecte de données naturalistes de terrain

Cloud Computing : Généralités & Concepts de base

PC, Tablette, Smartphone, comment choisir ce qui me convient le mieux?

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Mobilité et sécurité. Mobilité et sécurité. Pierre-Yves DUCAS

Fiche produit. DS mobileo services

a CONserVer a CONserVer COde d activation pack FNaC pc sécurité & ClOud COde d activation protection android

Comment configurer votre compte de messagerie BlackBerry? Qu est ce que les solutions BlackBerry?

Services Réseaux - Couche Application. TODARO Cédric

Solutions de paiement sur facture opérateur: bilan 2010 et perspectives avril 2011

IBM Endpoint Manager for Mobile Devices

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Performance et usage. La différence NETGEAR - R7000. Streaming HD illimitée

ACCEDER A SA MESSAGERIE A DISTANCE

Plate formes mobiles. Utilisation. Contexte 9/29/2010 IFC 2. Deux utilisations assez distinctes :

«Le malware en 2005 Unix, Linux et autres plates-formes»

JSSI - Sécurité d'une offre de nomadisme

Connexion à SQL server

ACCÉDER A SA MESSAGERIE A DISTANCE

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

ndv access point : Utilisation

Tivoli Endpoint Manager Introduction IBM Corporation

Vodafone Mobile Connect

WINDOWS Remote Desktop & Application publishing facile!

Benjamin Morin SANSTABOO. L iphone OS 4. maîtrisé. pour l utilisateur avancé. Groupe Eyrolles, 2010, ISBN :

Business Everywhere pro

Désinfecte les réseaux lorsqu ils s embrasent

Quel système d'exploitation mobile est le plus fiable?

PPE BTS SIO Jourson - Attard Ascenzi Mancini GEP Marseille - 06/11/2014

Infrastructure RDS 2012

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Découvrez notre solution Alternative Citrix / TSE

Tutoriel pour la configuration des ipad et son «rattachement» au CG

La mobilité & la relation client

TELEGESTION. l outil indispensable des intervenants à domicile. Maison de l Emploi de Paris Plateforme RH 21 Mai 2015

Procédure d enregistrement

Architecture et sécurisation des nouveaux réseaux

Atelier numérique. Développement économique de Courbevoie. Internet / Extranet / Mobilité : Prospection et Support d'aide à la vente

Le marché des périphérique mobiles

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

CTIconnect PRO. Guide Rapide

Notions de sécurités en informatique

MITEL UNIFIED COMMUNICATOR ADVANCED

Copyright Crypto-sud PROGRAMME DE FIDÉLITÉ TOTARA - CARTES MULTI-COMMERCES COMMUNICANTES CRYPTO-SUD

1 Présentation de la solution client/serveur Mobilegov Digital DNA ID BOX

Avantic Software Présentation de solutions GED pour mobiles (Gestion Electronique de Documents)

Routeur Gigabit WiFi AC 1200 Dual Band

Administration de systèmes

ZTE MF190. Clé 3G+ Guide de démarrage rapide

AOLbox. Partage de disque dur Guide d utilisation. Partage de disque dur Guide d utilisation 1

Plan. Programmation Internet Cours 3. Organismes de standardisation

Gestionnaire d'appareil à distance (GAD) de Bell Foire aux questions

FileMaker Pro 13. Utilisation d une Connexion Bureau à distance avec FileMaker Pro 13

Symantec Endpoint Protection Fiche technique

Système Principal (hôte) 2008 Enterprise x64

ZTE MF190 Clé 3G+ Guide de démarrage rapide

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Guide de Démarrage Rapide

Les rootkits navigateurs

Transcription:

Rootkit pour Windows Mobile 6 Cédric Halbronn Sogeti / ESEC cedric.halbronn(at)sogeti.com

Plan Contexte Introduction Environnement mobile Windows Mobile 1 Contexte Introduction Environnement mobile Windows Mobile 2 3 Rootkit pour Windows Mobile 6 2/26

Introduction Contexte Introduction Environnement mobile Windows Mobile Un smartphone? Le téléphone portable le smartphone (ordiphone) Nombreux services Calendrier, contacts, Web, e-mail, IM, photo, GPS, micro...et téléphone :) Nombreux acteurs Symbian, Blackberry, Windows Mobile, iphone, Android, Maemo, etc. Rootkit pour Windows Mobile 6 3/26

Introduction Contexte Introduction Environnement mobile Windows Mobile Un smartphone? Le téléphone portable le smartphone (ordiphone) Nombreux services Calendrier, contacts, Web, e-mail, IM, photo, GPS, micro...et téléphone :) Nombreux acteurs Symbian, Blackberry, Windows Mobile, iphone, Android, Maemo, etc. Mais... Peu d études sur les rootkits pour smartphones Rootkit pour Windows Mobile 6 3/26

Introduction Contexte Introduction Environnement mobile Windows Mobile Un rootkit? Post-exploitation Composants classiques Rootkit pour Windows Mobile 6 4/26

Introduction Contexte Introduction Environnement mobile Windows Mobile Un rootkit? Post-exploitation Composants classiques Notre contexte Quid des contraintes pour les smartphones? Rootkit pour Windows Mobile 6 4/26

Introduction Environnement mobile Windows Mobile Contexte mobile Paramètres à prendre en compte Contraintes de l embarqué mémoire, batterie Environnement mobile hétérogène, connectivités nombreuses présents longue liste... Rootkit pour Windows Mobile 6 5/26

Introduction Environnement mobile Windows Mobile Pourquoi Windows Mobile? Encore Windows? PC Windows = les plus attaqués APIs Windows Mobile, mêmes APIs que PC Encore très répandu, même si iphone, Android gagnent des parts de marché Rootkit pour Windows Mobile 6 6/26

Introduction Environnement mobile Windows Mobile Spécificités Windows Mobile Spécificités Véritable OS, basé sur Windows CE Gestion de mémoire virtuelle Limitation à 32 processus Modèle de sécurité très permissif Facilite l implémentation, par rapport à d autres OS (iphone, Android, etc.) Familiarisation avec les contraintes mobiles Rootkit pour Windows Mobile 6 7/26

Plan Contexte 1 Contexte 2 3 Rootkit pour Windows Mobile 6 8/26

Méthodes Accès physique : SD-card, lien Web Distant : SMS Wap Push (SI, SL) Rootkit pour Windows Mobile 6 9/26

par accès physique Modèle de sécurité permissif... Processus de signature d applications par Microsoft Si application non signée, pop-up seulement! Rootkit pour Windows Mobile 6 10/26

par accès physique Modèle de sécurité permissif... Processus de signature d applications par Microsoft Si application non signée, pop-up seulement!...très permissif! Exécution possible application considérée digne de confiance Accès à toutes les APIs : SetProcPermissions, SetKMode Accès physique installation possible Rootkit pour Windows Mobile 6 10/26

par accès physique Modèle de sécurité permissif... Processus de signature d applications par Microsoft Si application non signée, pop-up seulement!...très permissif! Exécution possible application considérée digne de confiance Accès à toutes les APIs : SetProcPermissions, SetKMode Accès physique installation possible Verrouillage du terminal Rootkit pour Windows Mobile 6 10/26

par Wap Push Service Indication (SI) SMS contenant un lien Web cliquable par l utilisateur Ouverture manuelle dans le navigateur (IE) Social engineering Utilisé par le malware Interceptor pour Blackberry Contenu d un Wap Push SI Rootkit pour Windows Mobile 6 11/26

par Wap Push Service Load (SL) Permet d exécuter un binaire présent sur Internet Utile pour l opérateur : sonneries, mises à jour, etc. Security Advisory HTC (2008) Politiques de sécurité pas très drastiques... Ouverture automatique dans le navigateur (IE) Contenu d un Wap Push SL Rootkit pour Windows Mobile 6 12/26

Connexions TCP/IP Réseaux data : Edge, 3G, 3G+, etc. Wi-Fi, et aussi par USB Un shell sur le mobile? NAT côté opérateur Initiation de la connexion par le mobile Rootkit pour Windows Mobile 6 13/26

Connexions TCP/IP Réseaux data : Edge, 3G, 3G+, etc. Wi-Fi, et aussi par USB Un shell sur le mobile? NAT côté opérateur Initiation de la connexion par le mobile Optimisation des échanges Compression zlib zlibce Chiffrement basé sur RSA/RC4 PolarSSL Rootkit pour Windows Mobile 6 13/26

(suite) SMS de commande Utile si pas de connectivité Internet Besoin que le SMS ne soit pas affiché à l utilisateur Protocole binaire adapté pour tenir sur 140 octets Interception si un certain motif est présent Rootkit pour Windows Mobile 6 14/26

Contexte Persistance au redémarrage \Windows\Startup Rootkit pour Windows Mobile 6 15/26

Persistance au redémarrage \Windows\Startup Masquer nos binaires non signés... Politique de sécurité unsigned prompt Certificat dans magasin Privilégié Rootkit pour Windows Mobile 6 15/26

Gestion de la batterie Exemple de l Interceptor pour Blackberry Détecter : connectivité, état serveur distant À retenir : utiliser le moins possible le CPU, le GSM (et le GPS) Rootkit pour Windows Mobile 6 16/26

Gestion de la batterie Exemple de l Interceptor pour Blackberry Détecter : connectivité, état serveur distant À retenir : utiliser le moins possible le CPU, le GSM (et le GPS) Interception des SMS de commande En utilisant les APIs WM6 utilisé par Flexispy Effet de bord : le smartphone s allume tout seul Hook des commandes AT Rootkit pour Windows Mobile 6 16/26

Hook des commandes AT 2 CPUs Les smartphones actuels un CPU dédié à l OS un CPU dédié au baseband Communication par des commandes AT Rootkit pour Windows Mobile 6 17/26

Hook des commandes AT 2 CPUs Les smartphones actuels un CPU dédié à l OS un CPU dédié au baseband Communication par des commandes AT Hook du driver permettant la communication avec le baseband Basé sur les travaux de Willem Hengeveld (itutils) (2005) Interception de SMS Récupération du code PIN Rootkit pour Windows Mobile 6 17/26

Masquer processus, fichiers, clefs de registre Hook dans le noyau Basé sur les travaux de Petr Matousek (2007) Mettre le nom du processus à NULL il n est pas listé Pas de liste chaînée mais un tableau de 32 processus d une DLL et hook des fonctions FindFirstFileW, FindNextFileW, RegEnumValue, RegEnumKeyEx SetKMode, MapPtrToProcess, PerformCallBack4 Rootkit pour Windows Mobile 6 18/26

Installation du CAB Masquer l installation du CAB [HKLM\Security\AppInstall] Une clef est créée pour l application concernée Application visible dans Suppr. de programmes Rootkit pour Windows Mobile 6 19/26

Installation du CAB Masquer l installation du CAB [HKLM\Security\AppInstall] Une clef est créée pour l application concernée Application visible dans Suppr. de programmes Masquer notre rootkit? Dans Visual Studio, spécifier l option NoUninstall dans le projet CAB Rootkit pour Windows Mobile 6 19/26

Vol d information Contacts, e-mails, journaux d appels, SMS, copies d écran, processus Récupération par les APIs + dump au fur et à mesure Rootkit pour Windows Mobile 6 20/26

Vol d information Contacts, e-mails, journaux d appels, SMS, copies d écran, processus Récupération par les APIs + dump au fur et à mesure Localisation GPS, cellule GSM GPS utilise énormément de batterie cellule GSM préférée Mobile Country Code (MCC) : France (208) Mobile Network Code (MNC) : Orange, SFR, Bouygues, etc. Location Area Code (LAC) : dépend de l opérateur Cell ID (CID) : dépend de l opérateur Base de donnée de correspondance zone approximative Rootkit pour Windows Mobile 6 20/26

Plan Contexte Architecture du rootkit Protocole de communication 1 Contexte 2 3 Architecture du rootkit Protocole de communication Rootkit pour Windows Mobile 6 21/26

Architecture du rootkit Contexte Architecture du rootkit Protocole de communication Architecture générale du rootkit Rootkit pour Windows Mobile 6 22/26

Protocole de communication Architecture du rootkit Protocole de communication Protocole de communication Rootkit pour Windows Mobile 6 23/26

Contexte Rootkit pour Windows Mobile 6 24/26

Conclusion Résultats Pas détecté par les antivirus testés : Airscanner Antivirus, BitDefender Mobile Security, BullGuard Mobile Anti-virus Détectable seulement si on sait où regarder Rootkit pour Windows Mobile 6 25/26

Conclusion Résultats Pas détecté par les antivirus testés : Airscanner Antivirus, BitDefender Mobile Security, BullGuard Mobile Anti-virus Détectable seulement si on sait où regarder Perspectives Mise en évidence des problématiques de l embarqué Windows Mobile très permissif Rootkit pour Windows Mobile 6 25/26

Conclusion Résultats Pas détecté par les antivirus testés : Airscanner Antivirus, BitDefender Mobile Security, BullGuard Mobile Anti-virus Détectable seulement si on sait où regarder Perspectives Mise en évidence des problématiques de l embarqué Windows Mobile très permissif Point de vue de l attaquant APIs Win32 mais contraintes de l embarqué Et les autres OS? Rootkit pour Windows Mobile 6 25/26

Merci pour votre attention.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back