Les activit´es des intrus

Dans cette section, nous analysons les commandes lanc´ees par les intrus dans le but d’identifier leurs objectifs. Elle consid`ere les 210 sessions. La premi`ere remarque 121

Fig. 4.28 – Nature des intrus

significative est que tous les intrus d´ebutent leur activit´e par le changement du mot de passe des comptes qu’ils ont d´ecouverts. Changer le mot de passe leur permet d’obtenir l’exclusivit´e du compte pour acc´eder `a la machine. Cette pratique est loin d’assurer la furtivit´e des intrus : un administrateur syst`eme sait si une machine a

´et´e pirat´ee. La seconde remarque est que la plupart d’entre eux continuent par le t´el´echargement de fichiers sur Internet.

La commande la plus souvent utilis´ee pour le t´el´echargement estwget. Ainsi, 96 des 210 intrusions l’ont employ´ee. Rappelons que les connexions sortantes sont bloqu´ees ou redirig´ees. Dans tous les cas, une connexion vers un serveurweb ne peut aboutir.

Les intrus ont tout de mˆeme la possibilit´e d’initier des connexions dans l’autre sens. Ils peuvent donc t´el´echarger leur fichier sur le pot de miel via la commandessh, et ce, de- puis Internet. Il est int´eressant d’analyser le pourcentage d’intrusions pour lesquelles les intrus ont r´eussi `a contourner le probl`eme de t´el´echargement. Aussi surprenant que cela puisse paraˆıtre, seulement 30% des intrusions ont utilis´e des connexionssshinver- s´ees. Autrement dit, 70% des intrusions n’ont pas pu contourner ce probl`eme et ainsi poursuivre leur activit´e. Trois explications nous semblent pertinentes. Pour la pre- mi`ere explication, les intrus suivent des “recettes de cuisine”, disponibles sur Internet.

Ces recettes expliquent des m´ethodes d’attaques. La plupart du temps, elles emploient la commandewgetpour le t´el´echargement de fichiers. Les intrus, qui ont appliqu´e ces recettes mais qui n’ont pas r´eussi `a contourner le probl`eme de t´el´echargement, n’ont pas forc´ement connaissance d’autres moyens de t´el´echargement de fichiers. De plus, les intrus qui emploient ces recettes r´ealisent la plupart du temps un “coller” de l’in- t´egralit´e de la recette dans son terminal. Pour la seconde explication, nous supposons que le serveur sur lequel r´eside le fichier `a t´el´echarger ne supporte pas les connexions avec la commandessh. Pour la derni`ere explication, l’intrus se doute de la supercherie en constatant l’impossibilit´e de contacter des serveurswebsur Internet et ne poursuit pas son activit´e par prudence. Etonnamment, la premi`ere explication semble ˆetre la plus adapt´ee. Nous avons constat´e que plusieurs intrus ´echouent au t´el´echargement via la commandewgetmais reviennent plusieurs jours plus tard en tentant `a nouveau le t´el´echargement, avec la mˆeme commande. Certains de ces intrus sont mˆeme reve-

CHAPITRE 4. CARACT´ERISATION DES ATTAQUES OBSERV´EES SUR LE POT DE MIEL HAUTE INTERACTION

nus plusieurs fois. Les concernant, nous pouvons affirmer deux points. Tout d’abord, ils ne sont pas capables de comprendre pourquoi ce t´el´echargement ´echoue. Ensuite, le probl`eme de t´el´echargement (bloquage des connexions r´ealis´ees par la commande wget) n’alt`ere pas l’int´erˆet des intrus pour leur cible, notre pot de miel.

D`es le t´el´echargement de l’outil r´eussi, pour 41 des intrusions, les intrus pour- suivent par la d´ecompression de ce fichier sur leur cible. Pour approximativement 75%

des intrusions ayant r´eussi le t´el´echargement, la d´ecompression ne s’effectue pas dans le r´epertoire du compte courant mais dans des r´epertoires standards, dans lesquels l’´ecriture est possible, tels que /tmp, /var/tmpou encore /dev/shm. Cette d´emarche est employ´ee par les intrus car elle rend difficile l’identification du type d’activit´e malveillante. Effectivement, ces r´epertoires sont couramment employ´es par les utili- sateurs et le syst`eme d’exploitation. Quasiment tous les intrus ont d´ecompress´e leurs fichiers dans des r´epertoires cach´es. Un repertoire cach´e sur les syst`emes Unix est un r´epertoire dont le nom commence par un point. Donc, bien qu’ils ne se soucient pas de passer inaper¸cus (changement du mot de passe d’un compte), ils d´esirent tout de mˆeme ne pas d´evoiler le type d’activit´e qu’ils m`enent au cœur du syst`eme. Les fichiers compress´es contiennent des outils d’attaques. En observant leur fonctionnement (par des techniques de d´esassemblage, par exemple), nous avons identifi´e plusieurs activit´es diff´erentes.

Nous avons identifi´e quatre activit´es principales, men´ees par les intrus. La pre- mi`ere est le lancement d’un balayage (en anglais, scan) afin d’identifier des machines disposant du servicessh. Aucun de ces balayages n’a test´e le r´eseau auquel appartient le pot de miel. Nous supposons que l’intrus a d´ej`a identifi´e les machines du r´eseau du pot de miel et disposant du service ssh. Apr`es tout, ces intrus ont eu vent de la pr´e- sence du service ssh sur notre machine par le biais d’un balayage du r´eseau de notre machine. Une seconde hypoth`ese concerne la prudence d’un intrus. Afin de ne pas

´eveiller les soup¸cons, ce dernier peut vouloir minimiser le nombre de machines d’un mˆeme r´eseau qu’il p´en`etre. L’id´ee principale est d’utiliser une machine, en l’occurrence notre pot de miel, comme tremplin afin de balayer d’autres r´eseaux sur Internet. Elle met en ´evidence le ph´enom`ene de rebond. En employant des rebonds, l’intrus brouille les pistes permettant de le localiser. Il masque son identit´e. Quant aux outils de ba- layage utilis´es, nous pouvons facilement les obtenir sur Internet. L’un d’eux se nomme pscan.c. Les connexions initi´ees depuis le pot de miel et `a destination d’Internet sont bloqu´ees `a l’exception des connexions `a destination du servicessh. Ces derni`eres sont trait´ees par le m´ecanisme de redirection. Nous les ´etudions dans la suite, `a la section 4.6.5.

La seconde activit´e consiste `a lancer un clientirc. Des exemples de clientircsont emech[Ene] etpsyBNC. Ces clients ne sont pas des outils d’attaque. Mais leur utilisa- tion a ´et´e d´evi´ee de leur but initial par les intrus. Ces derniers les utilisent souvent pour permettre aux machines d’unbotnetde communiquer. Le nom des ex´ecutables a souvent ´et´e chang´e. Sachant que ce client doit ˆetre ex´ecut´e le plus longtemps possible, ce changement est probablement une tentative de dissimulation de l’activit´e. Cette attitude co¨ıncide avec leur d´esir de masquer leur activit´e sans se soucier d’ˆetre furtif.

Aujourd’hui, bon nombre d’articles traite de la furtivit´e des programmes malveillants.

Des techniques pointues ont ´et´e mises au point. Mais elles ne sont pas employ´ees par les intrus que nous avons observ´es. Globalement, cette activit´e est li´ee `a l’intention des intrus d’augmenter la taille de leur botnet. A ce niveau, nous supposons que l’intrus 123

est anim´e de motivations ´economiques.

La troisi`eme activit´e concerne l’augmentation des privil`eges. Certains intrus tentent de voler les privil`eges de l’administrateur. Etonnamment, nous avons observ´e seule- ment 3 intrusions ayant r´ealis´e cette activit´e. Deux logiciels malveillants diff´erents ont

´et´e utilis´es. Le premier exploite deux vuln´erabilit´es : une vuln´erabilit´e qui concerne le gestionnaire de m´emoire de l’appel syst`ememremap[CERb] et une autre qui concerne le gestionnaire charg´e de g´erer les tas des processus[CERa]. Ces exploits ne peuvent pas fonctionner sur le pot de miel en raison d’un conflit de version. L’intrus aurait dˆu s’en rendre compte, ´etant donn´e qu’il s’est int´eress´e `a la version du syst`eme d’ex- ploitation (commande uname -a). Pourtant, il a tout de mˆeme ex´ecut´e son logiciel malveillant. Le test ne l’en a pas dissuad´e. Bien entendu, cette ex´ecution a ´echou´e.

Le second logiciel malveillant exploite une vuln´erabilit´e dans le programme ld. Cet exploit a ´et´e utilis´e par 3 intrus, qui ont ainsi obtenu un acc`es en tant que root sur le pot de miel. Seulement, ce logiciel n’a r´eussi que partiellement : par exemple, la suppression de fichiers par l’intrus entraˆıne des erreurs. En somme, aucun intrus n’a pu ex´ecuter un programme en tant queroot.

La derni`ere activit´e observ´ee sur le pot de miel concerne le phishing. Un seul intrus a r´ealis´e une telle activit´e. Il a t´el´echarg´e un mail pr´e-r´edig´e et a essay´e de l’envoyer au travers du serveur de mail local (smtp). Nous pensons que cette activit´e ne constitue qu’une premi`ere phase de l’attaque car la liste des destinataires du message ´etait courte. Les activit´es de phishing permettent de monter des escroqueries. Elles sont li´ees, elles aussi, `a des motivations ´economiques.