> Tech > Vous venez d’être piratés! Et maintenant?

Vous venez d’être piratés! Et maintenant?

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Alan Sugano - Mis en ligne le 11/04/06 - Publié en Décembre 2004

Enfin vendredi ! Vous rêvez d’un long week-end de trois jours dans ce gîte rural chaudement recommandé par un ami. Au moment d’endosser votre veste, un utilisateur se plaint de la grande lenteur du réseau, particulièrement quand il essaie d’accéder à Internet. Vérification faite, vous constatez que le serveur et le réseau se traînent littéralement eux aussi. Vous consultez les statistiques de trafic fournies par le pare-feu et constatez un trafic sur Internet hors normes. Vous appliquez la commande Netstat au serveur et trouvez plusieurs connexions non autorisées à celui-ci, qui semblent provenir d’Internet. Poussant plus loin l’analyse, vous examinez le registre du serveur et y trouvez plusieurs programmes inhabituels prêts à se charger automatiquement. Appelez le gîte, annulez la réservation et préparezvous à un long week-end de travail. Vous venez tout simplement d’être piraté.Selon la nature de l’attaque, il n’est pas toujours facile de déterminer qu’il y a eu piratage. Pour découvrir l’attaque et appliquer le bon remède avant que les dommages ne s’étendent, il faut savoir où et quoi regarder. Je vais vous montrer où commencer à rechercher les programmes malveillants et comment appliquer un plan de reprise après piratage. Je conclurai en présentant trois cas pratiques montrant comment j’ai utilisé ces tactiques pour aider des entreprises à détecter un piratage de réseau, à redresser la situation, et à prévenir de futures attaques.

Vous venez d’être piratés! Et maintenant?

Bien entendu, avant de prendre des mesures pour arrêter l’attaque et reprendre la situation en mains, il faut trouver l’attaque en question. Par où commencer? Chaque attaque est particulière mais il faut toujours commencer par vérifier certains points. Commencez votre recherche dans les principaux éléments suivants.

Sous-clés de registres. Si vous soupçonnez le piratage d’une machine particulière, vérifiez en premier lieu les sous-clés Run de son registre. Recherchez d’éventuels programmes inhabituels qui se chargent à partir de ces sous-clés. En effet, non seulement les attaquants privilégient les sous-clés Run comment points de lancement de programmes voyous, mais ces sous-clés peuvent aussi servir de rampe de lancement de virus. Les sous-clés s’appliquent à Windows Server 2003, Windows XP, Windows 2000, Windows NT, Windows Me et Windows 9x. Plus précisément, il faut vérifier les sous-clés suivantes :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServicesOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunOnce
• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServices
• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce

Si vous utilisez les systèmes Windows 2003, XP, Win2K ou NT, vérifiez aussi la sous-clé HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\Explorer\ Run.

Tout programme que vous ne reconnaissez pas constitue une menace. A l’aide d’un moteur de recherche, Google ou autre, cherchez le nom du programme sur Internet et déterminez s’il est légitime. Soyez particulièrement sourcilleux vis-à-vis des programmes qui se chargent à partir de C :, C:\windows et C :\windows\system32. D’ailleurs, je conseille fort d’examiner régulièrement ces clés de registres pour vous familiariser avec tous les programmes appelés à se charger automatiquement sur vos ordinateurs.

Vérifiez aussi les sous-clés suivantes, même si elles servent moins souvent à lancer des programmes de piratage.

Elles s’appliquent à tous les systèmes d’exploitation (OS) Windows. Si la clé de registre par défaut contient une valeur autre que « %1 % », il est fort probable qu’il s’agit d’un programme pirate.

• HKEY_CLASSES_ROOT\batfile\shell\open\command
• HKEY_CLASSES_ROOT\comfile\shell\open\command
• HKEY_CLASSES_ROOT\exefile\shell\open\command
• HKEY_CLASSES_ROOT\htafile\shell\open\command
• HKEY_CLASSES_ROOT\piffile\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\ shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\ shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\ shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafile\ shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\ shell\open\command Services.

Examinez la sous-clé de registre HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services sur tous les OS Windows. Les entrées figurant sous cette sous-clé indiquent les services définis sur votre ordinateur. Il vaut mieux regarder directement dans le registre plutôt que d’utiliser la GUI Services de Windows parce que certains services (comme ceux de type 1) n’apparaissent pas dans la GUI Services. Là aussi, recherchez les programmes que vous ne reconnaissez pas. Si possible, comparez les entrées et les valeurs de la sous-clé Services à celles d’une machine de référence « pure » et analysez les éventuelles différences constatez.

Dossier Startup. Vérifiez le contenu des dossiers C:\Documents et Settings\All Users\Start Menu\Programs \Startup et C :\Documents et Settings\user-name\Start Menu\ Programs\Startup pour y détecter les fichiers cachés et les programmes insolites. Pour afficher la liste des fichiers cachés dans le dossier et les éventuels sous-dossiers courants, à une invite de commande, entrez
dir /a h /s

Planificateur de tâches. Recherchez dans le dossier C:\windows\tasks d’éventuelles tâches non autorisées. Si vous ne reconnaissez pas une tâche planifiée, analysez-la. Win.ini. Des utilisateurs vicieux peuvent charger des programmes de piratage automatiquement à partir de C :\windows\win. ini. Regardez dans la section suivante du fichier win.ini : [windows] Run= Load= Les éventuels programmes présents après Run= ou Load= se chargeront automatiquement au démarrage de Windows. System.ini. Des intrus peuvent utiliser des commandes shell pour charger des programmes dans C:\windows\system.ini. Recherchez system.ini : [boot] shell=explorer.exe Tout programme présent après explorer. exe se chargera automatiquement au démarrage de Windows. Il existe d’autres endroits à partir desquels un pirate peut charger automatiquement des programmes qui se lanceront au démarrage de Windows. L’utilitaire gratuit Autoruns de Sysinternals montre quels programmes sont configurés pour se charger lors du démarrage sur NT et systèmes ultérieurs. Vous pouvez télécharger cet outil à partir du site http://www. sysinternals.com/ntw2k/freeware/autoruns.shtml.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par iTPro.fr - Publié le 24 juin 2010