Developpez.com - Sécurité
X

Choisissez d'abord la catégorieensuite la rubrique :


Helix, réponse à une intrusion

Date de publication : 26 février 2011.

Par Therrode Pierre ()
 

Avec l'ère de l'internet, nous sommes tous conscients d'être des cibles potentielles pour les pirates. En effet, la criminalité sur le net est de plus en plus présente dans cette nouvelle perspectives de technologies, les intrusions dans un système touchant aussi bien les simples utilisateurs que les entreprises. Toutefois, il est possible que de tels agissements puissent être sauvegardés afin de les analyser comme éléments de preuves.

       Version PDF (Miroir)   Version hors-ligne (Miroir)
Viadeo Twitter Facebook Share on Google+        



I. Introduction
II. La prise en main
III. L'investigation en elle même
IV. Inspection du disque et des connexions
V. Inspection du système
VI. Et après ?
VII. Conclusion
VIII. Sur Internet


I. Introduction

A l'heure actuelle, il existe de nombreuses sociétés qui permettent de traiter avec un professionnel afin de répondre à une intrusion dans un système. Le professionnel qui est généralement un expert, va par le biais de ses compétences pouvoir analyser le système, collecter et sauvegarder tous renseignements qui serviront par la suite comme éléments de preuve devant le tribunal.
Dans le milieu du computer forensic, il existe deux grosses sociétés qui se sont implanter dont AccessData, qui à produit le logiciel Forensic Toolkit, ainsi que la société Guidance avec le logiciel Encase Field Intelligence Model.
Cependant ces deux logiciels sont extrêmement chéres (compter plus de 3 à 4 milles euros chaque logiciels) et ils sont principalement destinés aux forces de l'ordre ou à tout autre organisme de lutte anti-cybercriminalité qui est accrédité par le gouvernement.
Lorsque l'intrusion informatique touche les petites et moyennes entreprises, il est généralement difficile pour des raisons financières de faire appel à ces logiciels, surtout si les pertes éventuelles sont inférieures au prix de l'investigation. Néanmoins, les petites entreprises ainsi que les utilisateurs victimes de tels méfaits, peuvent se tourner vers des solutions open-source qui offrent un panel d'outils nécessaires dans l'investigation forensic.
Pour cela, la société e-fense à développé le logiciel Helix qui est capable de répondre à de tels besoins. Il est à noté, que ce système est de plus en plus utilisé dans les centres de formations spécialisés (e-fense Training, C.H.F.I, SANS 508, etc...).


II. La prise en main

Comme énoncé plus haut, Helix est un ensemble d'outils spécialisés dans l'investigation forensic et de ce fait, il permet de mener à bien des enquêtes liées à la criminalité informatique. L'avantage majeur de ce produit, est qu'il est entièrement gratuit (sauf pour les versions "pro" et "entreprise", car il utilise la licence EULA).
Certes, il est vrai que les outils commerciaux distribués par AccessData et Guidance présentent des outils plus pointus, mais le recours à Helix permet de réduire considérablement les coûts d'une telles investigations.
Concernant la configuration matériel nécessaire, cette distribution peut être utilisée en mode console avec un processeur x86 et 48 Mo de mémoire. Pour ce qui est du mode graphique, l'interface bureautique XFCE fourni avec Helix a besoin d'au minimum d'un processeur Pentium et 128 Mo de RAM.
Enfin, le recours au live CD fonctionne sans aucun soucis avec un processeur Pentium II 300 MHz et 256 Mo de RAM. Bien entendu, le système est capable de reconnaître bon nombres de supports externes qui composent un ordinateur.
Bien entendu, le système est capable de reconnaître bon nombres de supports externes qui composent un ordinateur. Il est à noter que la suite d'outils Helix 1.9 est basé sous Ubuntu et qu'il peut être installer sur le disque dur grâce au script knx2hd, mais que l'utilisation du live CD lors d'une investigation est plus recommandée..
Outre le recours au live CD, l'une des forces principales de Helix, est qu'il peut être lancé depuis une session Windows. En effet, une fois le CD inséré dans le lecteur, la suite Helix s'exécute avec une fenêtre d'alerte qu'il faut avant tout accepter. Une fois que vous avez sélectionné votre langage et approuvé les termes, une nouvelle fenêtre s'affiche avec les outils prês à l'emploi, comme le montre la figure 1.

---> image



Cette première utilisation permet entre autre de diagnostiquer les premières pistes suite au passage d'un pirate, grâce à des outils comme WinAudit qui permet de regrouper toutes les caractéristiques de l'ordinateur, Wimen qui permet d'acquérir une image de la mémoire RAM, ou encore divers outils allant de la récupération de données volatiles (Nigilant32) aux mots de passes (Mail Password Viewer, Network Password Viewer, etc...), ainsi que des programmes pouvant rechercher dans la base de registre toutes traces de modifications (Registre Viewer). Une fois les premières pistes repérées, il faut redémarrer l'ordinateur pour pouvoir utiliser le live CD et ainsi continuer l'investigation.
Comme énoncé plus haut, Helix offre de nombreux outils d'enquête, notamment avec des programmes tels que Sleuth Kit avec Autopsie (Figure 2) ou encore LinEn. Outre cela, le système contient des outils d'analyse spécifiques à Windows dont Regviewer ainsi que d'autres utilitaires pour pouvant s'adapter aussi à Linux, comme par exemple des logiciels antivirus ou anti-rootkit. Afin de pouvoir analyser le contenu du disque, dans l'espoir de pourvoir trouver des pistes et sans pour autant modifier le modifier, Helix possède des utilitaires pouvant analyser l'image d'un disque.

Concernant l'acquisition d'une image média, il est possible de l'extraire à distance. Ce qui dans certains cas peut être intéressant car si le système attaqué contient un programme malveillant, cela peut éviter toute intervention de celui-ci. Pour réaliser une image du disque, l'utilisateur peut tirer profit de la puissance de certains outils, dont:


-Adepto, qui est un outil permettant d'obtenir assez rapidement une image conforme au disque, tout en "capturant" les éventuelles erreures de système ainsi que les fichiers corrompus (Figure 3).

-LinEn, est un outils développé par la société Guidance Software (cette même société qui a développée le logiciel Encase) et qui permet d'obtenir au même titre que Adepto, une image du disque dur (Figure 4).


Une fois l'image du disque acquise, l'analyse de son contenu peut commencer en recherchant toute(s) trace(s) de l'intrusion, tous les fichiers cachés, ainsi que les moindres détails qui pourraient influencer les recherches. L'analyse des logs (ce que nous verrons plus loin) à également son importance, car cela permet d'obtenir le maximum d'information sur le type d'attaque ainsi que sur les méthodes employés. Toutes ces traces peuvent mener à l'origine de l'attaque.
Dans le même ordre d'idée, le logiciel Retriever permet de rechercher les fichiers les plus couramment utilisés, tels que les images, les vidéos, documents textes, ainsi que les mails.
Outre le fait de pouvoir analyser le système Linux et Windows, Helix possède un outils nommé Macinthos HFS permettant de pouvoir analyser le système Mac (Figure 5).
Enfin, le logiciel Registry Viewer, permet de consulter la base de registre du système Windows et le logiciel Bless Hex Editor est un logiciel Hexadécimal permettant une analyse plus approfondi du système.


III. L'investigation en elle même

Toutes investigations nécessite de prendre des précautions en matière de manipulations et de choix des outils. Lors de la collecte de preuves, il ne faut pas laisser le moindre indice suspect de coté car cela peut renseigner sur les méthodes utilisées par le pirate (été-t-il presser ?, quel outils a t-il utilisé ?, l'attaque venait-elle de l'intérieure ou de l'extérieure ?, etc...).

L'investigation en elle même, se déroule en quatre étapes:

. l'identification
. la collecte de données
. l'analyse
. le bilan


IV. Inspection du disque et des connexions

Avant tout, il est primordial de savoir sur quel système l'investigation à lieu, sur quel type de disque (FAT, NTFS, ufs, ffs, ext2/ext3, reiserfs, etc...) ainsi que la taille de la partition. Ces renseignements serviront par la suite à collecter au mieux les informations présent sur le média. Il est sans rappeler qu'avant tout procéder, il est judicieux de faire une copie du disque, et de le garder sur un autre support amovible (disque dur externe, clé USB, etc...).

Pour mener à bien cette enquête, il nécessaire de procéder à l'analyse du contenu du disque et du réseau avec des commandes spécifiques qui sont les suivantes:


Commande permettant de copier un disque

-effectuer une copie sur un média annexe, afin de l'analyser plus tard avec Adepto: cp-rp répertoire_source

-effectuer une copie à distance à l'aide de netcat (il est à noté que ce procéder est aussi réalisable avec la suite de logiciels sous Windows): nc -p 1234 -l > Dossier_Cible

-effectuer une copie de la partition: dd if =/dev/disque_source = /dev/disque _cible

-effectuer une recherche de toutes les opération contenu dans la mémoire: dd if =/dev/mem of =fichier_mémoire


Information sur les adresses et les processus:

-lister la gestion des adresses dans les processus mémoires: ps -ealf

-lister les bibliothèques de processus: ltrace-p [pid]

-lister les processus en cours d'exécution: ps -aux ps -auexww

-afficher les appels système: strace-p [pid]


Information sur le réseau

-trouver divers informations concernant les connexions réseau: netstat -a

-lister les ports ouverts: netstat -an

-lister les ports inhabituellement ouverts: netsat -nap, lsof -i

-voir toutes les adresses Mac: arp -a

-capturer le trafic réseau: tcpdump -w

-retracer une adresse IP: traceroute adresse_IP


Par la suite, il faut lancer une analyse plus approfondie du système, tout en prenant soin de ne plus se trouver connecté au réseau.


V. Inspection du système

L'une des règles d'or lors d'une investigation forensic, est de ne jamais faire confiance aux programmes qui sont présents sur un système compromis. En effet, un programme d'apparence inoffensif peut très bien cacher un rootkit ou tout autres malwares qui auraient pour fonction, une fois exécuté, d'effacer un dossier sensible ou à rendre l'étude forensic impossible.
Pour cela, il est judicieux de lancer le système Helix depuis le Live CD et d'analyser le système compromis de façon annexe (en prenant soin d'avoir au par avant réalisé une copie du disque).


Suite à ces manipulations il est bon d'examiner logs, dont certains en particulier:

-/var/log/messages, est un fichier système qui récupère tout, tels que les messages ainsi que les programmes qui ont été lancé durant une session.

-/var/log/secure, contient toutes les informations de connexions.

-/var/log/maillog, log contenant les enregistrements du trafic de courrier entrant et sortant.

-/var/log/spooler, est un fichier contenant tous les messages d'erreurs des daemons uucp et innd

-/var/log/boot.log, contient tous les messages de démarrage lors du lancement du système


Si l'intrusion est présente sur un autre système, j'invite le lecteur à prendre connaissance de l'encadrer suivant. IL faut par la suite continuer l'investigation en lançant des logiciels antivirus et anti-rookits. On pense alors aux programmes comme ClamTk (version amélioré de ClamAV) et XFPROT, dont l'utilisation est similaire à un antivirus classique (Figure 6), ainsi que les anti-rootkit comme chkrootkit et rkhunter (ne l'ayant pas trouvé dans la distribution, je conseil tout de même de le télécharger pour pouvoir l'utiliser). Pour le lecteur curieux d'en savoir plus sur le fonctionnement de ClamAV, je l'invite à prendre connaissance de l'article de Thomas Kojm paru dans le n°21 de Hakin9.
Néanmoins, il ne faut pas avoir une confiance aveugle dans les résultats des antivirus. En effet, lors de la conférences du Black-hat en 2005, deux Hackers (James Butler et Sherri Sparks) ont présenté le projet Shadow Walker, avec un prototype de rootkit permettant de manipuler directement les pages de la mémoire physique. Ces nouvelles générations de rootkits résident et agissent uniquement dans la mémoire physique et ce-ci, afin d'éviter toutes détections d'antivirus tout en contrant les techniques forensics traditionnelles... Il faut donc rester vigilant, lors de l'investigation d'un disque dure.


VI. Et après ?

Suite à une attaque, le nombre de traces laissées par le pirate dépendra de ses compétences en matière de piratage. Ceux qui laissent des traces de leur(s) passage(s) offrent aux spécialistes une mine de renseignements pouvant donner lieux à des arrestations. Pour mener à bien ses recherches, l'expert peut s'aider du logiciel Sleuth Kit avec Autopsie. IL faut aussi porter une attention toute particulière sur les fichiers qui ont été effacés et se demander pourquoi celuici et pas un autre (société qui cherche à couler son concurrent, fichier sensible relatif à un groupe ou une personne,...tout en les mettant en corrélation avec les événements produits). Toute fois, les pirates qui arrivent à s'introduire dans un système, prennent soin de camoufler leur venu ainsi que leur présence en utilisant des backdoors ou des rootkits afin de pouvoir revenir sur le système. Face à cela, l'expert peut étudier le réseau à l'aide du logiciel Wireshark ou Ourmon (s'il soupçonne la présence d'une machine zombie). Une fois toutes les étapes réalisées, il ne reste plus qu'à les porter devant le tribunal. Tout éléments d'image d'un disque dur ayant subit un piratage, est un élément de preuve devant un tribunal. En effet, les informations contenues dans l'image peuvent renseigner sur la date du piratage, les modifications éventuelles des fichiers, ainsi que les droits auxquels le pirate à eux durant son intrusion dans le système.


VII. Conclusion

A travers cet article, nous avons donc vu que la suite Helix présente des outils pouvant mener à bien une étude forensic. Toute de fois, cela peut parfois s'avérer (très) difficile si l'on n'est pas expert ou si le pirate à fait en sorte d'effacer correctement toutes les traces de son passage. En matière d'apprentissage en criminologie informatique, cela requière du temps et de la patience. Bien évidement dans ce milieu, les personnes qui accréditent les faits sont des experts certifiés, et c'est donc pour cela que faire appel à leurs services permet de pouvoir gagner un temps précieux si le piratage est porté devant les tribunaux.


VIII. Sur Internet

http://www.e-fense.com/products.php - Site officiel de la société e-fense

http://www.accessdata.com - Site officiel de la société AccessData

http://www.guidancesoftware.com - Site officiel de la société Guidance

http://www.forensicswiki.org/wiki/Main_Page - Page Wiki contenant des informations et des outils Open-Source liés à l'investigation forensic

http://www.hsc.fr/ressources/breves/hackresponse.html - très bonne lecture réalisé par le cabinet de sécurité HSC concernant la réponse à une intrusion

http://www.sans.org/score/checklists/ID_Linux.pdf - Aide mémoire en réponse à une intrusion sous Linux

http://www.sans.org/score/checklists/ID_Windows.pdf - Aide mémoire en réponse à une intrusion sous Windows

http://www.opensourceforensics.org - Site regroupant de nombreux outils open-source pour l'investigation forensic

http://wiki.backtrack-fr.net/index.php/Liste_des_fichiers_logs – page regroupant tous les logs de chaque systèmes (Red Hat/Mac OSX, Solaris, Debian, Windows, Linux, etc...)

http://www.thetrainingco.com/pdf/Monday/Techno%20Forensics%2020071029%20NDon nelly%20Macintosh%20Imaging.pdf - Compte rendu d'une conférence sur les méthodes forensic sur Mac, Windows et Linux

http://rkhunter.sourceforge.net - Pogramme rkhunter

http://ourmon.sourceforge.net - Projet Ourmon

http://www.informit.com/store/product.aspx?isbn=0321591801 - Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century, livre traitant de la sécurité et des intrusions dans un réseau

http://www.blackhat.com/presentations/bh-jp-05/bh-jp-05-sparks-butler.pdf - Présentation du projet Shadow Walker lors du Black-hat 2005




               Version PDF (Miroir)   Version hors-ligne (Miroir)

Valid XHTML 1.0 TransitionalValid CSS!

Copyright © 2011 Therrode Pierre. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.

Contacter le responsable de la rubrique Sécurité