Helix, réponse à une intrusion
Date de publication : 26 février 2011.
Par
Therrode Pierre ()
Avec l'ère de l'internet, nous sommes tous conscients d'être
des cibles potentielles pour les pirates. En effet, la criminalité
sur le net est de plus en plus présente dans cette nouvelle
perspectives de technologies, les intrusions dans un système
touchant aussi bien les simples utilisateurs que les entreprises.
Toutefois, il est possible que de tels agissements puissent être
sauvegardés afin de les analyser comme éléments de preuves.
I. Introduction
II. La prise en main
III. L'investigation en elle même
IV. Inspection du disque et des connexions
V. Inspection du système
VI. Et après ?
VII. Conclusion
VIII. Sur Internet
I. Introduction
A l'heure actuelle, il existe de nombreuses
sociétés qui permettent de traiter avec
un professionnel afin de répondre à une
intrusion dans un système. Le professionnel qui
est généralement un expert, va par le biais de
ses compétences pouvoir analyser le système,
collecter et sauvegarder tous renseignements qui
serviront par la suite comme éléments de preuve
devant le tribunal.
Dans le milieu du computer forensic, il existe
deux grosses sociétés qui se sont implanter dont
AccessData, qui à produit le logiciel Forensic Toolkit,
ainsi que la société Guidance avec le logiciel
Encase Field Intelligence Model.
Cependant ces deux logiciels sont extrêmement
chéres (compter plus de 3 à 4 milles euros chaque
logiciels) et ils sont principalement destinés aux
forces de l'ordre ou à tout autre organisme de
lutte anti-cybercriminalité qui est accrédité par le
gouvernement.
Lorsque l'intrusion informatique touche les
petites et moyennes entreprises, il est généralement
difficile pour des raisons financières de faire appel
à ces logiciels, surtout si les pertes éventuelles sont
inférieures au prix de l'investigation. Néanmoins, les
petites entreprises ainsi que les utilisateurs victimes
de tels méfaits, peuvent se tourner vers des solutions
open-source qui offrent un panel d'outils nécessaires
dans l'investigation forensic.
Pour cela, la société e-fense à développé le
logiciel Helix qui est capable de répondre à de tels
besoins.
Il est à noté, que ce système est de plus en plus
utilisé dans les centres de formations spécialisés
(e-fense Training, C.H.F.I, SANS 508, etc...).
II. La prise en main
Comme énoncé plus haut, Helix est un ensemble
d'outils spécialisés dans l'investigation forensic
et de ce fait, il permet de mener à bien des
enquêtes liées à la criminalité informatique.
L'avantage majeur de ce produit, est qu'il est
entièrement gratuit (sauf pour les versions "pro"
et "entreprise", car il utilise la licence EULA).
Certes, il est vrai que les outils commerciaux
distribués par AccessData et Guidance
présentent des outils plus pointus, mais le recours
à Helix permet de réduire considérablement les
coûts d'une telles investigations.
Concernant la configuration matériel
nécessaire, cette distribution peut être utilisée en
mode console avec un processeur x86 et 48 Mo
de mémoire. Pour ce qui est du mode graphique,
l'interface bureautique XFCE fourni avec Helix a
besoin d'au minimum d'un processeur
Pentium et 128 Mo de RAM.
Enfin, le recours au live CD fonctionne
sans aucun soucis avec un processeur
Pentium II 300 MHz et 256 Mo de RAM.
Bien entendu, le système est capable
de reconnaître bon nombres de supports
externes qui composent un ordinateur.
Bien entendu, le système est capable
de reconnaître bon nombres de supports
externes qui composent un ordinateur.
Il est à noter que la suite d'outils Helix
1.9 est basé sous Ubuntu et qu'il peut
être installer sur le disque dur grâce au
script knx2hd, mais que l'utilisation du
live CD lors d'une investigation est plus
recommandée..
Outre le recours au live CD, l'une
des forces principales de Helix, est qu'il
peut être lancé depuis une session
Windows. En effet, une fois le CD inséré
dans le lecteur, la suite Helix s'exécute
avec une fenêtre d'alerte qu'il faut avant
tout accepter. Une fois que vous avez
sélectionné votre langage et approuvé
les termes, une nouvelle fenêtre s'affiche
avec les outils prês à l'emploi, comme le
montre la figure 1.
---> image
Cette première utilisation permet
entre autre de diagnostiquer les
premières pistes suite au passage
d'un pirate, grâce à des outils comme
WinAudit qui permet de regrouper toutes
les caractéristiques de l'ordinateur,
Wimen qui permet d'acquérir une
image de la mémoire RAM, ou encore divers outils allant de la récupération
de données volatiles (Nigilant32) aux
mots de passes (Mail Password Viewer,
Network Password Viewer, etc...), ainsi que
des programmes pouvant rechercher
dans la base de registre toutes traces de
modifications (Registre Viewer).
Une fois les premières pistes
repérées, il faut redémarrer l'ordinateur
pour pouvoir utiliser le live CD et ainsi
continuer l'investigation.
Comme énoncé plus haut, Helix
offre de nombreux outils d'enquête,
notamment avec des programmes tels
que Sleuth Kit avec Autopsie (Figure 2)
ou encore LinEn. Outre cela, le système
contient des outils d'analyse spécifiques
à Windows dont Regviewer ainsi que
d'autres utilitaires pour pouvant s'adapter
aussi à Linux, comme par exemple des
logiciels antivirus ou anti-rootkit.
Afin de pouvoir analyser le contenu du
disque, dans l'espoir de pourvoir trouver
des pistes et sans pour autant modifier
le modifier, Helix possède des utilitaires
pouvant analyser l'image d'un disque.
Concernant l'acquisition d'une image
média, il est possible de l'extraire à
distance. Ce qui dans certains cas peut
être intéressant car si le système attaqué
contient un programme malveillant, cela
peut éviter toute intervention de celui-ci.
Pour réaliser une image du
disque, l'utilisateur peut tirer profit de la
puissance de certains outils, dont:
-Adepto, qui est un outil permettant
d'obtenir assez rapidement une
image conforme au disque, tout en
"capturant" les éventuelles erreures
de système ainsi que les fichiers
corrompus (Figure 3).
-LinEn, est un outils développé par
la société Guidance Software (cette même société qui a développée le
logiciel Encase) et qui permet d'obtenir
au même titre que Adepto, une image
du disque dur (Figure 4).
Une fois l'image du disque acquise,
l'analyse de son contenu peut commencer
en recherchant toute(s) trace(s) de
l'intrusion, tous les fichiers cachés, ainsi
que les moindres détails qui pourraient
influencer les recherches. L'analyse des
logs (ce que nous verrons plus loin)
à également son importance, car cela
permet d'obtenir le maximum d'information
sur le type d'attaque ainsi que sur les
méthodes employés. Toutes ces traces
peuvent mener à l'origine de l'attaque.
Dans le même ordre d'idée, le logiciel
Retriever permet de rechercher les fichiers
les plus couramment utilisés, tels que les
images, les vidéos, documents textes,
ainsi que les mails.
Outre le fait de pouvoir analyser le
système Linux et Windows, Helix possède
un outils nommé Macinthos HFS
permettant de pouvoir analyser le système
Mac (Figure 5).
Enfin, le logiciel Registry Viewer,
permet de consulter la base de registre
du système Windows et le logiciel Bless
Hex Editor est un logiciel Hexadécimal
permettant une analyse plus approfondi
du système.
III. L'investigation en elle même
Toutes investigations nécessite de
prendre des précautions en matière de
manipulations et de choix des outils. Lors
de la collecte de preuves, il ne faut pas
laisser le moindre indice suspect de coté
car cela peut renseigner sur les méthodes
utilisées par le pirate (été-t-il presser ?,
quel outils a t-il utilisé ?, l'attaque venait-elle
de l'intérieure ou de l'extérieure ?, etc...).
L'investigation en elle même, se
déroule en quatre étapes:
. l'identification
. la collecte de données
. l'analyse
. le bilan
IV. Inspection du disque et des connexions
Avant tout, il est primordial de savoir
sur quel système l'investigation à lieu,
sur quel type de disque (FAT, NTFS, ufs,
ffs, ext2/ext3, reiserfs, etc...) ainsi que la
taille de la partition. Ces renseignements
serviront par la suite à collecter au mieux
les informations présent sur le média.
Il est sans rappeler qu'avant tout procéder,
il est judicieux de faire une copie du
disque, et de le garder sur un autre
support amovible (disque dur externe,
clé USB, etc...).
Pour mener à bien cette enquête,
il nécessaire de procéder à l'analyse
du contenu du disque et du réseau avec
des commandes spécifiques qui sont
les suivantes:
Commande permettant de copier un
disque
-effectuer une copie sur un média
annexe, afin de l'analyser plus tard
avec Adepto: cp-rp répertoire_source
-effectuer une copie à distance
à l'aide de netcat (il est à noté que ce
procéder est aussi réalisable avec
la suite de logiciels sous Windows):
nc -p 1234 -l > Dossier_Cible
-effectuer une copie de la partition: dd
if =/dev/disque_source = /dev/disque
_cible
-effectuer une recherche de toutes
les opération contenu dans la
mémoire: dd if =/dev/mem of
=fichier_mémoire
Information sur les adresses et les
processus:
-lister la gestion des adresses dans les
processus mémoires: ps -ealf
-lister les bibliothèques de processus:
ltrace-p [pid]
-lister les processus en cours
d'exécution: ps -aux
ps -auexww
-afficher les appels système:
strace-p [pid]
Information sur le réseau
-trouver divers informations concernant
les connexions réseau: netstat -a
-lister les ports ouverts: netstat -an
-lister les ports inhabituellement
ouverts: netsat -nap, lsof -i
-voir toutes les adresses Mac: arp -a
-capturer le trafic réseau:
tcpdump -w
-retracer une adresse IP: traceroute
adresse_IP
Par la suite, il faut lancer une analyse plus
approfondie du système, tout en prenant
soin de ne plus se trouver connecté au
réseau.
V. Inspection du système
L'une des règles d'or lors d'une investigation
forensic, est de ne jamais faire confiance
aux programmes qui sont présents sur
un système compromis. En effet, un
programme d'apparence inoffensif peut
très bien cacher un rootkit ou tout autres
malwares qui auraient pour fonction, une fois
exécuté, d'effacer un dossier sensible ou
à rendre l'étude forensic impossible.
Pour cela, il est judicieux de lancer
le système Helix depuis le Live CD
et d'analyser le système compromis de
façon annexe (en prenant soin d'avoir au
par avant réalisé une copie du disque).
Suite à ces manipulations il est
bon d'examiner logs, dont certains en
particulier:
-/var/log/messages, est un fichier
système qui récupère tout, tels que les
messages ainsi que les programmes
qui ont été lancé durant une session.
-/var/log/secure, contient toutes les
informations de connexions.
-/var/log/maillog, log contenant les
enregistrements du trafic de courrier
entrant et sortant.
-/var/log/spooler, est un fichier
contenant tous les messages
d'erreurs des daemons uucp et innd
-/var/log/boot.log, contient tous les
messages de démarrage lors du
lancement du système
Si l'intrusion est présente sur un autre
système, j'invite le lecteur à prendre
connaissance de l'encadrer suivant.
IL faut par la suite continuer
l'investigation en lançant des logiciels
antivirus et anti-rookits. On pense alors
aux programmes comme ClamTk
(version amélioré de ClamAV) et
XFPROT, dont l'utilisation est similaire à un antivirus classique (Figure 6), ainsi
que les anti-rootkit comme chkrootkit
et rkhunter (ne l'ayant pas trouvé dans
la distribution, je conseil tout de même
de le télécharger pour pouvoir l'utiliser).
Pour le lecteur curieux d'en savoir plus
sur le fonctionnement de ClamAV, je
l'invite à prendre connaissance de l'article
de Thomas Kojm paru dans le n°21 de
Hakin9.
Néanmoins, il ne faut pas avoir une
confiance aveugle dans les résultats des antivirus. En effet, lors de la conférences
du Black-hat en 2005, deux Hackers
(James Butler et Sherri Sparks) ont
présenté le projet Shadow Walker, avec
un prototype de rootkit permettant de
manipuler directement les pages de
la mémoire physique. Ces nouvelles
générations de rootkits résident et
agissent uniquement dans la mémoire
physique et ce-ci, afin d'éviter toutes
détections d'antivirus tout en contrant les
techniques forensics traditionnelles...
Il faut donc rester vigilant, lors de
l'investigation d'un disque dure.
VI. Et après ?
Suite à une attaque, le nombre de traces
laissées par le pirate dépendra de ses
compétences en matière de piratage.
Ceux qui laissent des traces de leur(s)
passage(s) offrent aux spécialistes une
mine de renseignements pouvant donner
lieux à des arrestations. Pour mener à
bien ses recherches, l'expert peut s'aider
du logiciel Sleuth Kit avec Autopsie. IL
faut aussi porter une attention toute
particulière sur les fichiers qui ont été
effacés et se demander pourquoi celuici
et pas un autre (société qui cherche
à couler son concurrent, fichier sensible
relatif à un groupe ou une personne,...tout
en les mettant en corrélation avec les
événements produits).
Toute fois, les pirates qui arrivent à s'introduire dans un système,
prennent soin de camoufler leur venu ainsi que leur
présence en utilisant des backdoors ou
des rootkits afin de pouvoir revenir sur le
système. Face à cela, l'expert peut étudier
le réseau à l'aide du logiciel Wireshark ou Ourmon (s'il soupçonne
la présence d'une machine zombie). Une fois toutes les étapes réalisées,
il ne reste plus qu'à les porter devant le
tribunal. Tout éléments d'image d'un disque
dur ayant subit un piratage, est un élément de preuve devant un tribunal. En effet, les
informations contenues dans l'image
peuvent renseigner sur la date du piratage,
les modifications éventuelles des fichiers,
ainsi que les droits auxquels le pirate à eux
durant son intrusion dans le système.
VII. Conclusion
A travers cet article, nous avons donc
vu que la suite Helix présente des outils
pouvant mener à bien une étude forensic.
Toute de fois, cela peut parfois s'avérer
(très) difficile si l'on n'est pas expert
ou si le pirate à fait en sorte d'effacer
correctement toutes les traces de son
passage. En matière d'apprentissage
en criminologie informatique, cela
requière du temps et de la patience. Bien
évidement dans ce milieu, les personnes
qui accréditent les faits sont des experts
certifiés, et c'est donc pour cela que faire
appel à leurs services permet de pouvoir
gagner un temps précieux si le piratage
est porté devant les tribunaux.
VIII. Sur Internet
Copyright © 2011 Therrode Pierre.
Aucune reproduction, même partielle, ne peut être faite
de ce site ni de l'ensemble de son contenu : textes, documents, images, etc.
sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à
trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.