Analyse dune attaque (partie 2)

Analyse d'une attaque (Partie 1)

Don Parker

Nous vous avons montré dans la première partie les informations qui peuvent être observées lors de l'ouverture de la séquence de paquets envoyée par Nmap. La séquence envoyée commence par une réponse d'écho ICMP pour déterminer si une adresse IP a été attribuée à l'ordinateur ou au réseau.

De plus, nous pouvons également deviner que le réseau de l'ordinateur attaqué est un réseau basé sur Windows en regardant le ttl dans le paquet de réponse d'écho ICMP qu'il renvoie. Ce qu'il faut faire maintenant, c'est continuer à observer les paquets restants dans le scanner Nmap et découvrir les informations restantes pour pouvoir connaître le profil du réseau victime.

Continuer

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Les deux paquets ci-dessus viennent après les paquets ICMP que nous avons observés dans la partie 1. Nmap a envoyé un paquet ACK à l'adresse IP du réseau victime 192.168.111.23 sur le port 80. Comme les informations sont falsifiées, nous n'avons pas une vue d'ensemble ici. On voit seulement que le paquet ACK reçu de l'attaquant était un paquet RST en réponse, puisque cet ACK n'était pas attendu. Il ne s’agit pas essentiellement d’une partie d’une connexion établie précédemment. Nous avons toujours un ttl de 128 correspondant au ttl observé auparavant.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Suite à l'échange des paquets ACK et RST, nous pouvons voir qu'un véritable paquet SYN a été envoyé du pirate au réseau de la victime, comme le montre le paquet avec le S en gras. Cela nous permet de déduire que le paquet SYN/ACK revient du réseau de la victime sur son port 21. Cet échange est ensuite terminé par un paquet RST renvoyé de l'ordinateur du pirate au réseau de la victime. Ces trois paquets contiennent désormais une mine d’informations sur la contrefaçon.

Nous avons également ttl 128 de la machine victime, mais aussi win64240. Bien que cette valeur ne soit pas répertoriée, il s'agit en effet d'une taille que j'ai déjà vue à plusieurs reprises dans Win32 (versions 32 bits de Microsoft Windows telles que Win NT, 2K, XP et 2K3). Une autre limitation des ordinateurs Windows est qu’ils sont imprévisibles quant au nombre d’ID IP. Dans ce cas, nous n’avons qu’une seule valeur d’ID IP. Nous avons besoin d’au moins une valeur supplémentaire avant de pouvoir affirmer avec certitude que cet ordinateur est un ordinateur Microsoft Windows. Notez que, regardez les paquets restants de l'analyse Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

La première information que le pirate regarde est de voir si le numéro d'identification IP augmente à 399. Cette IP DI est en effet 399 comme nous pouvons l'observer au milieu du paquet. Grâce à ces informations, le pirate est certain que l'ordinateur victime qu'il attaque est Windows NT, 2K, XP ou 2K3. On observe également dans cette séquence de paquets que le port 80 du réseau victime semble avoir un service, comme en témoigne le paquet SYN/ACK, le paquet SYN/ACK est déterminé en examinant le champ d'indicateur dans l'en-tête TCP, dans ce cas la valeur hexadécimale soulignée est 12 ou 18 en décimal. Cette valeur peut être détectée en ajoutant la valeur de l'indicateur SYN 2 à la valeur de l'indicateur ACK 16.

Énumération

Une fois que le pirate sait que les deux ports 21 et 80 sont ouverts à l'entreprise, il entrera dans l'état d'énumération. Ce qu’il doit savoir maintenant, c’est quel type de serveur Web écoute les connexions. Il serait inutile pour ce pirate d’utiliser une vulnérabilité Apache sur un serveur Web IIS. Dans cet esprit, l’attaquant ouvrira une session cmd.exe et découvrira le type de réseau.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Nous pouvons observer le type de réseau marqué ci-dessus ou la syntaxe nc.exe que le pirate tape dans l'adresse IP de la victime ainsi que le port 80. Une fois à l'intérieur, le pirate tapera le HTTP de la méthode GET suivi de quelques phrases grammaticalement incorrectes. Cette action peut amener le serveur Web du réseau victime à renvoyer des informations à son système lorsqu'il ne comprend pas la nature de la demande. C'est pourquoi ils répertorient naturellement les informations nécessaires aux pirates informatiques. Le pirate peut désormais voir qu’il se trouve dans Microsoft IIS 5.0. Encore meilleure nouvelle, car les pirates informatiques ont plusieurs exploits pour cette version.

Conclusion

En effectuant une analyse du réseau de la victime à l'aide de Nmap, le pirate peut alors recevoir une série de paquets de données importants. À l'intérieur de ces paquets de données, comme nous l'avons vu, se trouvent de nombreuses informations permettant aux pirates d'exploiter les vulnérabilités de l'architecture, du système d'exploitation, du type de réseau et du type de serveur.

En bref, de cette façon, les pirates peuvent obtenir des informations clés sur l’hôte, l’architecture et les services fournis. Avec ces informations en main, le pirate peut lancer une attaque sur le serveur Web du réseau de la victime. Dans la section suivante, nous présenterons plus en détail les attaques que les pirates peuvent utiliser pour attaquer les utilisateurs dans ce cas.

Analyse d'une attaque (partie 3)