Investigation numérique - l'affaire signée Hélène K.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Investigation numérique - l'affaire signée Hélène K.

Message par ѠOOT » 03 oct. 2014 10:49

Bonjour,

Bienvenue à "Question pour un bonbon" TOP! Vous êtes des millions à m'utiliser et nous sommes des milliards disséminés sur toute la planète. Il y a 4 ans, j'ai fais l'objet d'une attention toute particulière du fait d'avoir été au cœur des débats sur des cyber-attaques gouvernementales secrètes ciblant les systèmes de contrôle de turbines d'un complexe nucléaire. Annoncé comme 0-day à l'époque, la vulnérabilité ( CVE-2010-2568 ) utilisée par le ver Stuxnet lors de l'Opération Olympic Games m'a fait mauvaise presse. Je suis, je suis... le raccourci Microsoft Windows bien sûr !

Quoi de plus banal que des raccourcis ? Vous l'ignorez encore mais vous allez découvrir que ces fichiers sont loin d'être aussi stupides qu'ils en ont l'air et qu'ils renferment de précieux renseignements.

J'ai créé un raccourci de l'application bloc-notes en guise de démonstration.

Vue depuis un éditeur hexadécimal.
Image

En surligné, les informations relatives au fichier à l'origine du raccourci. En gris : ses attributs ; en rose : la date de sa création ; en bleu : la date de son dernier accès ; en jaune : la date de sa dernière modification ; en vert : le poids du fichier.

En encadré, les informations relatives au volume de stockage. En rouge foncé : le type de volume ; en rouge vif : le numéro de série et en bleu : le nom du volume.

En vert : le SID de l'utilisateur ayant créé le raccourci.
Image

En rose vif : le nom de la machine où le raccourci a été créé.
En orange : l'adresse physique de l'interface réseau de la machine.

Je sais désormais que la machine se nomme "POSTEMARTIN", qu'elle est équipée d'un disque dur libellé "WIN500G" n° de série "FEED-CACA" et munie d'une carte réseau de marque Hewlett-Packard ( préfixes OUI ) ayant l'adresse MAC "F4-CE-46-E6-81-16" et enfin que l'identificateur de l'ordinateur ou de domaine est "21-1359250046-2587337161-2071543261" avec le RID "1000", etc...

Image

De nombreux moteurs de recherches spécialisés peuvent enrichir ces résultats. Par exemple, le projet IoT Map de Praetorian ou le désormais célèbre service SHODAN / SHODAN SCADA. Petite parenthèse, dans la culture gamer ce nom correspond à une entité virtuelle introduite dans le jeu "System Shock", sortie en 1994. L'histoire se déroule en 2072, un pirate informatique se fait appréhender alors qu'il tente d'infiltrer le système informatique d'une multinationale. Seront abandonnées les charges qui pèsent contre lui à condition de se voir implanter une interface neurologique permettant d'accéder au cyberespace pour attaquer l'intelligence artificielle hostile : SHODAN. Fin de parenthèse.

Une recherche révèle qu'une machine équipée de cette interface réseau a été aperçue début aout 2014 via l'ISP SFR, SHODAN a également parcouru ses partages de fichiers via le protocole SMB, et apparemment il était question de comptabilité.

Image

Avec de tels outils à portée de main, vous comprenez mieux pourquoi les ordinateurs, switchs, routeurs, stockages en réseaux, caméras, tablettes, smartphones, imprimantes, chaudières, réfrigérateurs, baby-phones et autres objets connectés,.... doivent être systématiquement configurés un minimum avant d'être utilisés / autorisés à accéder à Internet. Ce qui prends des jours pour un humain ne prends que quelques seconds pour des algorithmes / machines. Ce qui est interessant, c'est que ces informations ainsi collectées en source ouvertes servent aussi bien aux pirates informatiques qu'à ceux qui veulent s'en protéger.

Avec un simple raccourci, il est donc possible de produire un condensat (empreinte) de ces renseignements ( ex: COMPUTERNAME+MAC+GUID+SID ) dans le but de générer une signature unique. Signature qui pourrait être utilisée dans un mécanisme de vérification situé en amont d'un code malveillant dont le comportement serait plus intelligent que la moyenne. Seule la machine ciblée se verrait, après d'autres vérifications, délivrer le premier étage de la charge réelle (chiffrée). Quant aux machines étrangères aux objectifs, elles n'auraient que des leurres à l'exécution.

Remarque: si l'attaquant se donne les moyens d'être à proximité géographique de sa cible ( ex: connexion Wi-Fi ), il pourra balayer les réseaux existants pour l'identifier sur l'AP via la MAC du client et de là tester des attaques et/ou tendre des pièges. Les wardrivers doivent avoir une petite idée sur le type d'outils à déployer.

Voilà, je n'ai fais que survoler le sujet, l'objectif étant de susciter votre attention sur l'usage de fichiers *.lnk. Question: est-il possible d'obtenir un raccourci à l'insu d'un tiers ? Je vous laisse méditer :]~


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »