Software">
Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Importer

Bienvenue sur Scribd !

  • 18 vues

    Corrigé TP 05-03-2022

    Transféré par

    himmesoetefrancois
    Ce document présente deux cas d'attaques informatiques: le ver de Morris et Wannacry. Il décrit leur historique, leur mode de propagation, les failles exploitées et les mesures de prévention et d'éradication à mettre en place.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Corrigé TP 05-03-2022

    Transféré par

    himmesoetefrancois
    18 vues7 pages
    Ce document présente deux cas d'attaques informatiques: le ver de Morris et Wannacry. Il décrit leur historique, leur mode de propagation, les failles exploitées et les mesures de prévention et d'éradication à mettre en place.

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document présente deux cas d'attaques informatiques: le ver de Morris et Wannacry. Il décrit leur historique, leur mode de propagation, les failles exploitées et les mesures de prévention et d'éradication à mettre en place.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    18 vues7 pages

    Corrigé TP 05-03-2022

    Transféré par

    himmesoetefrancois
    Ce document présente deux cas d'attaques informatiques: le ver de Morris et Wannacry. Il décrit leur historique, leur mode de propagation, les failles exploitées et les mesures de prévention et d'éradication à mettre en place.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 7

    Activité à distance du 05/03/2022

    Corrigé
    UE SEC102 – CNAM Nouvelle-Aquitaine

    Cas n° 1 – Attaque du Ver de Morris

    Cas n° 2 – Attaque de Wannacry ou Wannacrypt

    Objectifs du TP :
    ➢ Expliquer rapidement l’historique et les raisons de l’attaque
    ➢ Classifier et expliquer dans quel type d’attaque classer ces deux infections
    ➢ Quelles failles système ont-ils utilisées ?
    ➢ Quelle prévention auriez-vous mise en place dans le cadre de l’administration d’un
    réseau entier de société ?
    ➢ Comment auriez-vous éradiqué le virus en cas de poste infecté ou comment auriez
    supprimé la menace ?

    1
    Cas n° 1 – Attaque du Ver de Morris

    « Un ver (Worm) est un programme qui peut se répliquer lui-même, se déplacer à travers un
    réseau en utilisant les mécanismes de ce même réseau, sans avoir besoin d'un support
    physique ou logique pour se propager ». On dit alors que c’est un ver réseau.

    Historique et raisons de l’attaque :


    Le ver de Morris (qui est un programme informatique) est ainsi nommé en référence à son
    créateur Robert Tappan Morris, étudiant dans les années 1990-2000, à l'Université privée
    américaine de CORNELL.
    Son lancement « officiel » est effectué entre le 2 et 3 novembre 1998 par Morris, depuis un
    des ordinateurs du MIT (Massachussetts Institute), situé à plusieurs centaines de kilomètres
    de l’université de Cornell.
    Morris fait ce choix pour une raison principale : masquer son action et échapper ainsi à la
    justice pénale (nouvelles lois antifraude votées deux ans plus tôt aux États-Unis).
    Initialement, c’était une expérience destinée à mesurer la taille du réseau ARPANET
    (« Advanced Research Project Agency Network », l’ancêtre d’internet aux États-Unis).
    Cependant, une erreur critique au niveau du code source, va provoquer la réplication du ver
    à de multiples exemplaires au sein même de l’ordinateur qui l’héberge par l’intermédiaire du
    logiciel sendmail (messagerie électronique).
    Or à cette époque, la quantité de mémoire dite « vive et morte » disponible est très faible sur
    un ordinateur; ce processus réplicatif va faire ralentir l’ordinateur jusqu’à le rendre
    inutilisable. On considère ainsi que le ver de Morris a été la première manifestation
    accidentelle d’une attaque par DoS (Denial of service).

    Failles connues et exploitées dans sendmail

    • En mode « debug » (pas à pas), envoi possible à distance de fichiers par l’utilisation
    d’un Shell.
    • Dépassement de tampon mémoire (buffer overflow) dans Finger (logiciel permettant
    de connaitre à distance l’heure de connexion d’un utilisateur sur une machine).
    • Faiblesse des mots de passe administrateurs et utilisateurs

    2
    Son mode de propagation (cycle)

    • Le ver s’introduit sur une machine A de type UNIX.


    • Il dresse une liste des machines connectées à A
    • Il attaque par brute force les mots de passe de la machine A grâce avec une liste de
    caractères prédéfinie (wordlist = attaque par dictionnaire).
    • II se fait passer pour un autre utilisateur (venant de A) auprès des autres machines
    connectées.
    • Il crée un petit programme pouvant se répliquer sur la machine distante.
    • Il se dissimule sur la machine infectée.
    • Et ainsi de suite

    Prévention (et rétrospectivement éradication de la menace)

    • À l’époque, aucune ; hormis peut-être la mise hors service physique du réseau


    (solution retenue en 1998 : débrancher les câbles réseau entre les machines).

    • Aujourd’hui :
    • renforcement du niveau de sécurité des mots de passe administrateurs
    • application de correctifs sur le noyau Unix (kernel)
    • Mise à jour des différents programmes (patch)
    • Sauvegardes régulières des données
    • cloisonnement de la machine infectée (l’isolation totale et physique)
    • utilisation d’un ou plusieurs antivirus combinés
    • analyse et filtrage du trafic réseau (manuel ou automatique)
    • formation des utilisateurs des postes de travail

    NB1 : les conséquences hormis financière furent les suivantes

    • Creation du Computer Emergency Respond Team (CERT)


    • Morris fut la première personne jugée selon la loi Computer Fraud and Abuse Act
    (1986) aux États-Unis.

    NB2 : on peut trouver le code source (à des fins d’analyse) du ver de Morris sur internet à
    l’adresse : www.foo.be/docs-free/morris-worm/worm/

    3
    Cas n° 2 – Attaque de Wannacry

    « Un rançongiciel (ransomware) est un programme malveillant reçu par courriel ou disponible


    sur un site internet, qui provoque le chiffrement de tous les fichiers d’un ordinateur, y compris
    les fichiers accessibles en écriture sur les dossiers partagés dès lors qu’un ordinateur est
    connecté à un réseau informatique. Ce qui implique pour les propriétaires des fichiers d'envoyer
    de l'argent en échange de la clé qui permettra de les déchiffrer »

    Historique et raisons de l’attaque :


    L’histoire de Wannacry commence au sein de la NSA.
    Une des activités de la NSA consiste à rechercher des failles de sécurité dans divers logiciels.
    Pour pouvoir utiliser ces failles, on développe des morceaux de code (exploit) afin de pouvoir
    s'introduire dans des systèmes tiers (surveillance, espionnage ?).
    À une date inconnue, l’agence américaine de sécurité découvre une faille de sécurité dans le
    système d’exploitation de Microsoft (plus de 90% du parc mondial) qui n'a pas été encore
    dévoilé publiquement. Cette faille se trouve sur un Protocol réseau, le SMB (service message
    bloc).
    Conscient de la valeur de cette faille inconnue (zéro Day "O-Day") du public, la NSA met au
    point un exploit nommé EthernalBlue. Elle remarque alors que le tandem composé de
    EthernalBlue et d'un autre outil développé également en interne DoublePulsar (qui sert à
    installer une porte dérobée "backdoor") lui offre une arme technologique très efficace.
    Fin 2016, la NSA avoue à demi-mots que le code source de son exploit EthernalBlue à fuité sur
    internet, mettant ainsi l'agence américaine dans l'embarras.
    Au second semestre 2017, la NSA informe Microsoft qu’elle a "perdu" un de ces outils
    technologiques : EthernalBlue. Microsoft développe alors un patch de sécurité (MS17-010) qui
    sera publié le14 Mars 2017.
    Le 14 avril 2017, un groupe de hackers "The Shadow Brokers" (déjà connu pour avoir mis à
    disposition du public des outils de la NSA) réitère son action en dévoilant d'autres outils
    comme EthernalBlue et DoublePulsar entre autres.
    La publication du patch MS17-010 ayant déjà été faite, on assiste comme souvent à un
    décalage entre la publication et l'installation effective du patch sur les machines des
    entreprises.

    4
    Ce moment de flottement va permettre à Wannacry de se répandre au niveau mondial à partir
    du 17 mai 2017.

    Son mode de propagation


    La finalité d’EthernalBlue est le piratage ciblé de machines individuelles.
    Les créateurs de Wannacry ont suivi le concept développé par la NSA : le couplage
    d'EthernalBlue non pas avec DoublePulsar, mais avec un autre bout de code .Ce nouveau
    tandem devient alors un ver auto répliquant réseau.
    Wannacry est donc semblable à celui de Morris d'un point de vue conceptuel

    • Contamination des machines en réseau


    • Pas d’interaction humaine comme dans le cas d’IlOVEYOU
    • Pas de branchement de support contaminé (cas de STUXNET)
    • Wannacry scanne les LAN et internet pour trouver des ports SMB vulnérables à
    EthernalBlue.

    Son mode d’action

    • Intrusion sur la machine


    • Chiffrement des données avec une clé que lui seul possède, les rendant inaccessibles
    à l’utilisateur (ransomware)
    • Affichage d’un message de demande de rançon à l’écran de la machine
    • Demande de paiement 300 dollars US dans les trois jours ou 600 dollars US dans la
    semaine, à envoyer à une adresse Bitcoin (wallet).
    • Paiement ou non de la rançon
    • Déchiffrage ou non des données
    • Effacement ou non de Wannacry
    • Et ainsi de suite

    5
    Cible de Wannacry
    Ce sont surtout les administrations publiques, les entreprises possédant plus d’argent que les
    particuliers et surtout ayant plus de données sensibles sur leurs ordinateurs.

    Prévention

    • Mise à jour régulière de toutes les versions de Windows et des autres logiciels
    • Désactivation du Protocol SMB
    • Utilisation de sandbox (bac à sable)
    • Utilisation d’un ou plusieurs antivirus combinés et anti-malwares
    • Sauvegardes régulières des données
    • Amélioration de la détection des incidents de sécurité (IDPS)
    • Formation du personnel

    Éradication (ANSSI)

    • Déconnexion immédiate des machines infectées du ou des réseaux


    • Sauvegarder les données importantes sur des supports externes
    • Ne pas payer la rançon
    • Alerter le responsable de la sécurité informatique
    • Ne pas utiliser de logiciels gratuits d’éradication trouvés sur internet

    Procédure manuelle d’éradication (élément de base)

    • Démarrez l’ordinateur en mode sans échec


    • Identifiez le processus Wannacry via le gestionnaire de tâches (puis, achevez-le)

    6
    • Vérifiez les programmes lancés au démarrage (Configuration système, effacez tout
    programme suspect)
    • Nettoyez la base de registres (recherchez les clés Wannacry, CryptXXX)
    • Effacez les fichiers déposés par le malware (recherchez les fichiers les plus récents des
    répertoires temp, systèmes et applications)
    • Lancez le scanner de l’anti-malware (mis à jour)

    Vous aimerez peut-être aussi