GTI 619 - Sécurité des systèmes LABORATOIRE 1



Documents pareils
Les rootkits navigateurs

Faille dans Internet Explorer 7

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

«Obad.a» : le malware Android le plus perfectionné à ce jour

Virus GPS. Un Ver dans la Tempête

sécurisé de l ENSMM Accès au serveur FTP - Microsoft Windows 7 École Nationale Supérieure de Mécanique et des Microtechniques

Progressons vers l internet de demain

A. Sécuriser les informations sensibles contre la disparition

Module 8. Protection des postes de travail Windows 7

NETTOYER ET SECURISER SON PC

ISEC. Codes malveillants

Etat de l art des malwares

Modélisation du virus informatique Conficker

Qu'est-ce qu'un virus?

Dossier sécurité informatique Lutter contre les virus

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Guide de démarrage

La sécurité sur internet

Les vols via les mobiles

Les botnets: Le côté obscur de l'informatique dans le cloud

Symantec Endpoint Protection Fiche technique

Guide d installation BiBOARD

Manuel des logiciels de transferts de fichiers File Delivery Services

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Fiche Technique. Cisco Security Agent

La protection des systèmes Mac et Linux : un besoin réel?

Netdays Comprendre et prévenir les risques liés aux codes malicieux

Webroot SecureAnywhere. Foire aux questions

Managed VirusScan et renforce ses services

Iobit Malware Fighter

Banque en ligne et sécurité : remarques importantes

VTX FTP. Transfert de fichiers business par FTP - Manuel de l'utilisateur. Informations complémentaires : info@vtx.

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

La sécurité des systèmes d information

Serveur FTP. 20 décembre. Windows Server 2008R2

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Notions de sécurités en informatique

Le service FTP. M.BOUABID, Page 1 sur 5

L accès à distance du serveur

FORMATION PROFESSIONNELLE AU HACKING

Aperçu de l'activité virale : Janvier 2011

Sécurité des réseaux Les attaques

Attention, menace : le Trojan Bancaire Trojan.Carberp!

PRÉVENIR L EXPLOITATION DES FAILLES DE SÉCURITÉ RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

OPERATION AUDIT DE LA BANQUE EN LIGNE. Règles de bonnes pratiques pour les internautes et les professionnels

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Configurer le pare-feu de Windows XP SP2/Vista pour UserLock

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Présenté par : Mlle A.DIB

Certificat Informatique et Internet

Sessions en ligne - QuestionPoint

PROTECTION DES PÉRIPHÉRIQUES MOBILES ET GESTION DE FLOTTE MOBILE (Kaspersky MDM licence Advanced)

Coupez la ligne des courriels hameçons

«Le malware en 2005 Unix, Linux et autres plates-formes»

Gestion des mises à jour logicielles

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

Atelier Introduction au courriel Utiliser Guide de l apprenant

Installation et mise en sécurité des postes de travail Windows

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Windows 7 : Explorateur de dossiers Téléchargements Installation de programmes

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

Présentation de la solution Open Source «Vulture» Version 2.0

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Supprimer les spywares

Serveurs de noms Protocoles HTTP et FTP

Trusteer Pour la prévention de la fraude bancaire en ligne

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Création d un «Web Worm»

Configurer le pare-feu de Windows XP SP2 pour WinReporter

Comment Repérer les Faux Logiciels Antivirus Par l équipe FortiGuard Labs de Fortinet.

Architectures en couches pour applications web Rappel : Architecture en couches

Guide d installation

les prévisions securité 2015

Une meilleure approche de la protection virale multiniveau

L authentification de NTX Research au service des Banques

Atelier Le gestionnaire de fichier

Figure 1a. Réseau intranet avec pare feu et NAT.

RANGER ET NETTOYER SON ORDINATEUR Mise à jour : Septembre 2013

Désinfecte les réseaux lorsqu ils s embrasent

Menaces et sécurité préventive

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Guide de migration BiBOARD V10 -> v11

Module de sécurité Antivirus, anti-spam, anti-phishing,

SECURITE DES DONNES. Comment éviter d irrémédiables dégâts. Dr. Jacques Abbeels

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

SOMMAIRE. Association pour une Informatique raisonnée

L identité numérique. Risques, protection

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Internet sans risque surfez tranquillement

Vulnérabilités et sécurisation des applications Web

Protection pour site web Sucuri d HostPapa

QUESTIONS / REPONSES ESET Smart Security ESET NOD32 Antivirus V.3

Transcription:

École de technologie supérieure Trimestre : Automne 2015 Département de génie logiciel et des TI Professeur : Chamseddine Talhi Chargé de cours : Marc-André Drapeau Chargé de lab. : Olivier Lemelin Achraf Teouri GTI 619 - Sécurité des systèmes LABORATOIRE 1 Les vers et les virus informatiques représentent une menace contre les réseaux informatiques. Ces logiciels malveillants réussissent généralement à se reproduire soit automatiquement en utilisant une vulnérabilité logicielle ou soit avec l aide des usagers non expérimentés (ingénierie sociale). Lorsque les premiers virus informatiques sont apparus au début des années 80, leur propagation était liée à l échange de disquettes infectées. Ces virus pouvaient alors prendre des mois avant d infecter un grand nombre d ordinateurs. Avec l avènement de l Internet, les logiciels malveillants réussissent maintenant à se propager très rapidement et à causer de nombreux dégâts. Par exemple, le ver Slammer a réussi à infecter la majorité des ordinateurs vulnérables (plus de 75,000) sur la planète en moins de 10 minutes 1. De son côté, le ver ILoveyou aurait causé entre 10 et 15 milliards de dollars de dommage 2. Divers obstacles se retrouvent sur le chemin des vers qui se propagent automatiquement en exploitant des vulnérabilités logicielles. Ces vers démontrent généralement certains comportements très typiques. Ils balaient les réseaux, en utilisant des paquets PING echo request ou TCP SYN, à la recherche d ordinateurs vulnérables. Les adresses de ces victimes sont habituellement générées aléatoirement, ce qui cause de nombreuses connexions invalides dues à des adresses inexistantes ou inaccessibles à cause de pare-feux. Se faisant, les vers deviennent clairement identifiables et peuvent être retracés et bloqués. Il a donc fallu «inventer» un nouveau moyen de propagation permettant d infecter le plus d ordinateurs possible. Ainsi, au lieu que les logiciels malveillants utilisent des moyens proactifs, ils sont devenus passifs et espèrent que les ordinateurs vulnérables viennent à eux. En infectant un site web populaire, les logiciels malveillants n ont simplement qu à attendre que des personnes, utilisant des fureteurs vulnérables ou mal configurés, visitent ce site afin d infecter ces nouveaux ordinateurs. Donc, pas de balayage, d adresse inexistante, de pare-feu, etc. Le cas du site de India Times a été très médiatisé en novembre 2007 3. Afin qu il puisse bien répondre aux menaces que représentent les divers logiciels malveillants (vers, virus, chevaux de Troie, scripts malicieux inclus dans les pages Web, etc.), le spécialiste en sécurité se doit de bien comprendre leurs causes ainsi que leurs divers modes de fonctionnement. 1 D. Moore et al. The Spread of the Sapphire/ Slammer Worm 2 G. Jones, The 10 Most Destructive PC Viruses, http://www.techweb.com/showarticle.jhtml?articleid=160200005 3 D. Goodin, IndiaTimes website 'attacks visitors', http://www.theregister.co.uk/2007/11/10/india_times_under_attack/

Ce laboratoire a donc pour objectif d étudier certaines facettes importantes des logiciels malveillants. Ainsi, au cours de ce laboratoire, vous devrez : Analyser divers logiciels malveillants et expliquer en détail leur fonctionnement respectif. En découvrant la simplicité de certains vers et logiciels malveillants, vous comprendrez plus facilement pourquoi ces programmes sont aussi nombreux. Ce type d analyse se fait régulièrement dans certaines entreprises spécialisées qui cherchent à étudier les nouvelles tendances en fait de menaces informatiques afin de les contrer le plus efficacement possible. Partie 1 Analyse d un ver Le logiciel malveillant (malware) dont des extraits de code sont soumis à votre analyse fonctionne à la fois comme un cheval de Troie (trojan) et un keylogger (spyware). Selon les auteurs, la version du malware de laquelle sont extraits ces fragments de code fonctionne sur certains ordinateurs vulnérables des environnements XP/Vista/Seven mais aussi 2003/2003R2/2008/2008R2. Son mode opératoire est le suivant : aussitôt que l'ordinateur est infecté (copie du malware dans le ''home'' de l'utilisateur), il infecte tous les processus de l'utilisateur courant. Si l'utilisateur System est infecté alors tous les autres profils utilisateurs de l'ordinateur sont également contaminés. Chacune des copies déployées s'exécute parallèlement ce qui a d'office des conséquences sur les performances de la machine. De plus, dès l'infection, le malware se connecte à un serveur distant duquel il reçoit un fichier de configuration qui détermine son comportement sur la machine infectée. Il peut également recevoir du serveur distant des mises à jour (nouvelles versions) ou des commandes et les exécuter localement. Le malware récolte des données sur l'ordinateur infecté et les envoie vers un serveur distant (dans un format crypté) en utilisant le protocole HTTP. Les données récoltées sont variées et découlent de plusieurs applications et services. A cet effet, les auteurs évoquent par exemple la collecte de : logins à partir des clients FTP suivants : CoreFTP, CuteFTP, FAR Manager, FileZilla, FlashFXP, FTP Commander, SmartFTP, Total Commander, WinSCP, WsFTP; cookies de : Adobe (Macromedia) Flash Player, wininet.dll, Mozilla FireFox; certificats (import) à partir du gestionnaire de certificats de Windows. Comme le suivi des touches clavier appuyées (keylogging), plusieurs autres fonctionnalités sont également connues de ce malware. 1. En analysant le fichier inject.txt, montrez ou expliquez comment le malware arrive à infecter tous les processus d un utilisateur donné. Justifiez votre réponse. 2. Comment fait-il pour ne pas réinfecter un processus déjà infecté? 3. En analysant le code contenu dans le fichier requete.txt, expliquez comment le malware réussit à exécuter une injection HTTP (Par exemple, comment il arrive à utiliser une requête de votre session pour poster d autres liens infectés)? Partie 2 Analyse d un ver mass-mailer De nombreux vers utilisent l ingénierie sociale pour se propager. Ces vers parviennent à convaincre certains récipiendaires de courriels de lancer un fichier joint à ces messages malveillants. Ver-A en est un bon exemple.

Votre tâche est d analyser ce ver en fonction des éléments suivants : 1. La méthode d'infection : comment le ver parvient-il à infecter de nouveaux fichiers? Comment s'installe-t-il sur un ordinateur vulnérable? 2. La méthode de propagation : comment le ver parvient-il à se propager d'un ordinateur à l'autre? 3. La méthode de détection : Comment le virus cible-t-il les fichiers à infecter? 4. Potentiel destructif : Quels sont les potentiels dégâts entraînés par une infection par un tel ver? 5. Documentation claire des étapes d'infection : Indiquez clairement le fonctionnement général du vers. Partie 3 Analyse d un logiciel malveillant mystérieux Plus difficile L objectif de cette partie du laboratoire est d analyser en détail le mode de fonctionnement d un logiciel malveillant écrit en JavaScript. Pour vous aider dans votre analyse, voici deux sites intéressants : http://jsbeautifier.org/ http://isc.sans.edu/diary.html?storyid=3484 Votre tâche est d analyser ce logiciel malveillant en utilisant la même approche que celle utilisée pour la première partie. Ainsi : 1. Code du logiciel malveillant : Présentez le code désobfusqué du logiciel malveillant. 2. Documentation claire des étapes d'infection : Indiquez clairement le fonctionnement général du ver. 3. Description du mécanisme de protection du virus : quels sont les éléments mis en place qui rendent l'analyse du virus plus complexe? Comment le logiciel camoufle-t-il ses véritables objectifs? Avertissement Pour les trois premières parties, les fichiers disponibles sur le site fournissent le code de programmes malveillants. L étude devra se faire SANS EXECUTER les codes puisque cela pourrait avoir des conséquences fâcheuses. Partie 4 Analyse d un script malicieux De plus en plus, les logiciels malveillants se propagent de façon passive. En infectant une page Web, il est possible d infecter tout visiteur de cette page. Divers scripts peuvent alors être exécutés de façon automatique et compromettre l ordinateur du visiteur. L objectif de cette partie du laboratoire est d analyser une page Web contenant divers scripts. Ces scripts ne sont pas malicieux. La page Web peut donc être téléchargée dans un fureteur. Ainsi, il faut entre autres choses :

Découvrir les divers scripts inclus dans la page Web; Déterminer le mode de fonctionnement, c'est-à-dire le résultat produit ainsi que les causes. Par exemple, si le script exploite une faille, il est important de le mentionner. Déterminer le comportement de fureteurs en présence de ces scripts ainsi que leur comportement. Il n est pas suffisant de télécharger cette page dans un fureteur. Il faut analyser attentivement le code de la page HTML. Dépendamment du fureteur, le comportement est différent. Cette page a été testée avec IE7, IE8, Firefox 3.0 et Firefox 3.5. Il est possible que certains scripts soient exécutés par certains fureteurs et pas par d autres. Il serait peut être intéressant de voir comment un vieux fureteur tel que IE6 réagirait. Pour pallier ces problèmes, il existe une extension NoScript (http://noscript.net/) pour Firefox. Cette extension permet de gérer les scripts qu un usager accepte ou non. Pour conclure cette partie, vous devez décrire le mode de fonctionnement de NoScript et présenter ces points forts et ces points faibles. Partie 5 Boni Dans cette partie, vous avez à manipuler un autre type d'obfuscation JavaScript. À partir de la ligne de code fournie, veuillez répondre aux questions suivantes (explication de 10 lignes maximum pour chaque question): 1. Expliquez de manière concrète l'utilité et le fonctionnement du script. (2 pts) 2. Expliquez pourquoi et comment le navigateur arrive à comprendre et exécuter ces caractères. (3 pts) Information Lisez très attentivement la grille de correction qui suit. Celle-ci vous indiquera les sections auxquelles vous devrez répondre ainsi que la pondération de chaque section de votre rapport. Deux séances sont dédiées à ce laboratoire. Le rapport de laboratoire devra être : concis et ne pas dépasser 15 pages (max. 1 page pour l introduction et 1 page pour la conclusion). remis avant le début de la troisième séance de laboratoire Une copie électronique doit être envoyée au chargé de laboratoire (valider l adresse avec ce dernier). Les copies papier ne sont pas nécessaires. Pénalité de 10% par jour de retard. Pénalité jusqu à 10% pour un travail non professionnel (qualité du français, présentation du rapport, ).

Grille d évaluation Parties et Description Introduction (5 points) Pondération Introduction sur les objectifs du laboratoire et les différentes parties. /5 Partie 1 Analyse de Samy (20 points) Description de la méthode d infection de tous les processus /7 Description de l approche qui permet d éviter la réinfection de processus déjà infectés /5 Description de l injection HTTP /8 Partie 2 Analyse d un ver mass-mailer (15 points) Description de la méthode d infection /3 Description de la méthode de propagation /3 Description de la méthode de détection /3 Description de la charge du ver (potentiel destructif) /3 Documentation claire et exhaustive des étapes importantes /3 Partie 3 Analyse du script malicieux (20 points) - Difficile Code du logiciel malveillant /5 Documentation claire et exhaustive des étapes importantes /10 Description di mécanisme de protection du logiciel malveillant /5 Partie 4 Analyse du script malicieux (35 points) Découvrir les divers scripts /5 Expliquer leur mode de fonctionnement /10 Décrire les différents comportements des scripts dans au moins quatre (4) fureteurs ou versions de fureteurs différents. Décrire le mode de fonctionnement de NoScript (points forts et points faibles) max. 1 page /10 Partir 5 Boni Question 1 /2 Question 2 /3 Conclusion (5 points) Conclusion /5 /10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back