Attaques/Intrusions ponctuelles (okay)

[Unpowed]

Salut ,

Je me demandais si ça arrive de subir des attaques/intrusions sur notre PC en sachant que l'on est connecté en permanence à internet mais que l'on est sur le bureau et sans malwares connus.
Tout ça pour savoir s'il est "safe" , sous un netbook , de travailler en permanence relié à internet même si l'on en a pas besoin , sans plus de protection à part un Firewall+AV (parce que c'est un netbook).

Merci.

[Malekal_morte]

Salut,

Tu as toujours des attaques automatisées de machines infectées qui sont sur ton réseau (soit ton réseau si tu es entreprise, soit internet).
Ces dernières tentent d'infection ton ordinateur viades vulnérabilités à distances, c'est pour cela qu'il faut maintenir son système à jour (et éventuellement avoir un parefeu qui filtre l'entrant, c'est le cas par défaut sur Windows depuis XP SP2).

Ensuite en ponctuel, tu peux aussi avoir un site infecté... => http://forum.malekal.com/les-exploits-s ... t3563.html

[Unpowed]

Salut ,

En fait sur un réseau domestique (relié par routeur/box) si l'une des machines est infectée , va-t-elle chercher à infecter les autres machines du réseau ?

Risque t-on des tentatives d'intrusion sur un poste seul clean sur réseau domestique routeur/box en sachant qu'il est juste relié à internet ?

D'après ce que j'ai lu et compris , avec les vulnérabilités à distance (failles de sécurité) , les criminels ont "carte blanche" sur tout ce qui se passe ?
Alors le compte limité ne pourra même pas bloquer l’exécution du malware ? De plus le téléchargement , l'exécution et l'installation de ce dernier se fera totalement en silence ? (Pas de prompt ou wizard ?)

[Malekal_morte]

En fait sur un réseau domestique (relié par routeur/box) si l'une des machines est infectée , va-t-elle chercher à infecter les autres machines du réseau ?

Selon l'infection oui.
C'est du RBot/SDBot il va faire des requetes par le réseau.

Risque t-on des tentatives d'intrusion sur un poste seul clean sur réseau domestique routeur/box en sachant qu'il est juste relié à internet ?

non c'est le routeur qui prend tout.

D'après ce que j'ai lu et compris , avec les vulnérabilités à distance (failles de sécurité) , les criminels ont "carte blanche" sur tout ce qui se passe ?
Alors le compte limité ne pourra même pas bloquer l’exécution du malware ? De plus le téléchargement , l'exécution et l'installation de ce dernier se fera totalement en silence ? (Pas de prompt ou wizard ?)

Pour une vulnérabilité à distance, le compte utilisé par l'utilisateur n'entre pas en jeu.
Le PC A envoie une requete sur le PC B sur le service vulnérabilité (bon port etc).
Même si tu n'es pas loggué, le service tourne et répond, si la vulnérabilité est présente, elle est exploitée et l'infection peux s'installer.

[Unpowed]

non c'est le routeur qui prend tout.

Je ne pense pas avoir bien compris , ça veux dire que c'est le routeur fait office de pare-feu et bloque la tentative d'intrusion ? (ping request deny ?)

Dans la même série :
Peut-on risquer des attaques de type Drop&Run (invention de ma part ) sur un poste seul , clean sur réseau domestique box/routeur en sachant qu'il est juste relié à internet ?
Exemple : Un PC vérifiant les conditions ci-dessus qu'on laisse allumé (personne n'utilise le PC) et connecté à Internet 24/24 et au bout d'un moment l'AV ou autre gueule "Logiciel Malveillant détecté !"
(Le criminel drop , peut-être au hasard le payload qui arrive chez nous , et ça marche parce que l'on est connecté à Internet , même avec un parefeu !?)

Autre chose : Dans le cas où une faille est exploitée , même si l'installation du malware se fait à notre insu , l'AV(Guard) peut tout de même détecter les fichiers installés sur le disque dur non ?
Ou bien du fait de l'acquisition des privilèges , le malware s’exclut de l'analyse AV ?

Merci , bonne soirée.

[Malekal_morte]

non c'est le routeur qui prend tout.

Je ne pense pas avoir bien compris , ça veux dire que c'est le routeur fait office de pare-feu et bloque la tentative d'intrusion ? (ping request deny ?)

oui principe du NAT : https://www.malekal.com/2010/11/20/prin ... anslation/

Peut-on risquer des attaques de type Drop&Run (invention de ma part ) sur un poste seul , clean sur réseau domestique box/routeur en sachant qu'il est juste relié à internet ?
Exemple : Un PC vérifiant les conditions ci-dessus qu'on laisse allumé (personne n'utilise le PC) et connecté à Internet 24/24 et au bout d'un moment l'AV ou autre gueule "Logiciel Malveillant détecté !"
(Le criminel drop , peut-être au hasard le payload qui arrive chez nous , et ça marche parce que l'on est connecté à Internet , même avec un parefeu !?)

Pas trop compris...
Mais pour quelqu'un droppe un malware comme ça sans intervention de l'utilisateur, il faut avoir la main sur le PC, donc on en revient aux exploitations de vulnérabilités à distance...

Autre chose : Dans le cas où une faille est exploitée , même si l'installation du malware se fait à notre insu , l'AV(Guard) peut tout de même détecter les fichiers installés sur le disque dur non ?
Ou bien du fait de l'acquisition des privilèges , le malware s’exclut de l'analyse AV ?

Il va emettre une détection s'il est capable de reconnaître le malware.
Une fois qu'il est passé, le pirate a le contrôle du PC donc il peux désactiver l'AV, le planter ou autres.

[Unpowed]

Pas trop compris...

Pour faire un peu plus clair , le PC reste sous Windows , sur le bureau , il n'y a pas d'utilisateur (physiquement) mais est quand même loggué compte Admin/Limité , peu importe.
En étant connecté à Internet , on attends jusqu'à un moment où l'Antivirus détecte quelque chose , pas présent sur le disque dur initialement mais parce qu'un criminel a droppé un malware sur un poste justement connecté à Internet.

Petite image : C'est comme si un criminel "détecte" une maison (PC) , il sait qu'il y en a une (IP) , alors il y entre dans le salon , par exemple , y dépose une bombe (Malware) et s'en va.

En excluant la possibilité des vulnérabilités à distance , cette situation est elle possible ?

[Malekal_morte]

Comment il y rentre ton criminel sur le PC ? par l'opération du saint esprit ou en tappant n'importe quoi sur son clavier comment dans les films ?

[Unpowed]

Bien joué , d'après ce que tu dis , j'en comprend que c'est pas possible.

Ben moi je pensais que le criminel , il teste les IP et quand il en trouve une à son goût (qui semble répondre) , il s'y introduit et du coup il peut comme avoir sur son écran toute l'arborescence de notre HDD et il fait copier/coller d'un de ses malwares sur notre poste et il tente de le faire installer et se déconnecte de notre poste.
Pourquoi ? Eh bien pour en prendre le contrôle ou juste pour nous embêter.

[Malekal_morte]

heu c'est pas la fête non plus.
Eventuellement ce que tu dis, ça peux arriver si le PC visé est mal configuré mais bon maintenant avec les params par défaut etc...
Bref, les auteurs de malwares actuellement, ils ont surtout pour but de faire executer du malware par les internautes s'ils veulent installer du malware à grande échelle, en les trompant (social engineering) ou éventuellement des exploits sur site WEB.

[Unpowed]

Ah ouais je comprend mieux là !

Eventuellement ce que tu dis, ça peux arriver si le PC visé est mal configuré mais bon maintenant avec les params par défaut etc...

Sinon comment ce genre d'attaque s'appelle t-il ?

Et puis concenant les failles , cette phrase me fait douter :

Mais pour quelqu'un droppe un malware comme ça sans intervention de l'utilisateur, il faut avoir la main sur le PC, donc on en revient aux exploitations de vulnérabilités à distance...

Pour une vulnérabilité à distance, le compte utilisé par l'utilisateur n'entre pas en jeu.
Le PC A envoie une requete sur le PC B sur le service vulnérabilité (bon port etc).
Même si tu n'es pas loggué, le service tourne et répond, si la vulnérabilité est présente, elle est exploitée et l'infection peux s'installer.

Ça , c'est-à-dire que juste en ayant une vulnérabilité , une infection peut s'installer juste comme ça , sans que j'ai à ouvrir un fichier piégé ou autres ,
ou bien c'est après une première infection que par la suite , le criminel peut ensuite passer par cette vulnérabilité pour télécharger d'autres malwares sur mon poste ?

[Malekal_morte]

Ça , c'est-à-dire que juste en ayant une vulnérabilité , une infection peut s'installer juste comme ça , sans que j'ai à ouvrir un fichier piégé ou autres ,
ou bien c'est après une première infection que par la suite , le criminel peut ensuite passer par cette vulnérabilité pour télécharger d'autres malwares sur mon poste ?

Lire :
http://forum.malekal.com/exploitation-s ... 13629.html
et notamment : https://www.malekal.com/2011/06/17/java ... ss-hiloti/

et en pratique tu as cette vidéo, où l'on voit clairement l'infection s'installer sans ouverture de fichiers par l'utilisateur :


Une vulnérabilité est un comportement non prévue par une application (un bug si tu veux), qui peux permettre dans certains cas d'execute du code.
Donc le but est de tirer partie d'une vulnérabilité pour pouvoir faire executer un malware sur un PC et donc l'infecter.
Dans le cas ci-dessus, c'est à travers la visite d'un site WEB qui a été modifié par le pirate qui redirige automatiquement l'internaute vers un site (un peu comme tu as des liens vers les pubs et autres) à lui qui va faire executer un fichier Java ou Flash ou PDF.
Ce fichier contient l'exploit, la portion de code qui tire partie de la vulnérabilité connue sur une application connue. Donc par exemple un PDF qui vise une vulnérabilité sur Adobe Reader, le gars visite le site, ça lance le PDF sur Adobe Reader, si ça marche, c'est la cata, le malware est téléchargé et executé par Adobe Reader.

Une fois le malware executé, le malware fait ce qu'il doit faire, si c'est un rogue, il va lancer de faux scans etc.
Si c'est un bot (donc un malware qui permet le contrôle du PC), le PC est dans un botnet, donc après le botmaster peux faire executé d'autres malwares s'il en a envie.

Pour les vulnérabilités à distance, c'est la même chose.
Il faut une vulnérabilité sur un service réseaux où l'on peux se connecter puis un autre PC, en général, le service RPC ou par exemple SMB (partages de fichiers).
Le PC infecté va tester si le serveur est disponible sur le PC visé, si oui, il va envoyer la requete pourrie qui permet l'execution du dropper malicieux qui va être uploadé et exécuté par le PC visé grâce à la vulnérabilité donc dans ce cas pour que ça marche il faut :
* que le service ayant la vulnérabilité soit présent, donc PC pas à jour
* que le service soit disponible sur l'interface d'où on veux se connecter (genre pas de restrictions sur tel réseau ou tel réseau, bref qu'on puisse s'y connecter)
* que la requête de connexion fonctionne, donc pas de pare-feu qui bloque la connexion

C'est toujours à peu près le même schéma.
La vulnérabilité sert de port d'entrée pour infecter l'ordinateur initialement.

C'est comme ça que fonctionnaient les vers Blaster & co et fonctionnent certains SDBot/Rbots.
Là on est dans le schéma machine sur internet, maintenant tu as des routeurs et des pare-feu entrants sur Windows qui bloquent.
Mais imagine ce genre de malwares qui arrivent sur un gros réseau où en général de machines à machines à l'intérieur de ce réseau, la conf est plus laxiste car on pense que le danger vient de dehors (internet => réseau entreprise).
C'est comme ça que Conficker a infecté plein de réseaux d'entreprise.

Eventuellement ce que tu dis, ça peux arriver si le PC visé est mal configuré mais bon maintenant avec les params par défaut etc...

Sinon comment ce genre d'attaque s'appelle t-il ?

Ca n'a pas de nom mais en disant ça je pensais au temps de Windows 98 ou 2000, où il n'y avait pas de pare-feu par défaut et que tout le monde à cette époque se connectait avec un modem, cela faisait que le partage de ficheirs étaient accessibles depuis internet (maintenant, c'est plus le cas avec les routeurs et y a un firewall entrant depuis Windows XP SP2).

Comme la configuration de partages de fichiers étaient supers laxistes (on pouvait avoir un nom d'utilisateur sans mot de passe).
Comme tout le monde connait l'utilisateur par défaut sur Windows : Administrateur, Administrator en anglais etc.
T'avais juste à tenter d'aller sur une ressources ou partages, ça te demandait un nom d'utilisateur, tu mettais Administrateur et hop, tu avais accès.
Du coup, y avait des scripts automatisés qui compromettaient des machines comme ça.

[Unpowed]

En lisant tes posts , j'ai l'impression que pour actionner les infections par vulnérabilités , il faut obligatoirement une action de l'utilisateur , c'est-à-dire qu'il doit ouvrir un fichier infecté (PDF , par ex.) ou bien aller sur un site hacké qui lui reconduit vers un fichier similaire , donc on peut dire que l'utilisateur y est pour quelque chose ! (téléchargement direct du malware/fichier piégé ou redirection cachée par iframe ou autre).

Du coup est-ce si mon PC n'est pas à jour et que je suis connecté à Internet (routeur/box) mais que je ne suis pas en train d'utiliser le net (pas de surf , de jeu en ligne , etc...) , je risque ce type d'infection ?

Ça n'a pas de nom mais en disant ça je pensais au temps de Windows 98 ou 2000, où il n'y avait pas de pare-feu par défaut et que tout le monde à cette époque se connectait avec un modem, cela faisait que le partage de fichiers étaient accessibles depuis internet (maintenant, c'est plus le cas avec les routeurs et y a un firewall entrant depuis Windows XP SP2).

Ah oui , je me souviens de ça aussi ,il y avait même des "spécial sécurité" qui disaient qu'un PC se faisait infecter en seulement 7 minutes , exposé au net par le modem sans pare-feu ! D'où leur nécessité absolue à l'époque.

[Malekal_morte]

En lisant tes posts , j'ai l'impression que pour actionner les infections par vulnérabilités , il faut obligatoirement une action de l'utilisateur , c'est-à-dire qu'il doit ouvrir un fichier infecté (PDF , par ex.) ou bien aller sur un site hacké qui lui reconduit vers un fichier similaire , donc on peut dire que l'utilisateur y est pour quelque chose ! (téléchargement direct du malware/fichier piégé ou redirection cachée par iframe ou autre).

On peux voir ça comme.
C'est vrai sauf pour les exploits distantes visant des services réseaux.

Du coup est-ce si mon PC n'est pas à jour et que je suis connecté à Internet (routeur/box) mais que je ne suis pas en train d'utiliser le net (pas de surf , de jeu en ligne , etc...) , je risque ce type d'infection ?

Pour exploit sur site WEB non puisque tu surfs pas.
Pour les exploits distantes vers des services réseaux, si y a pas de PC infectés sur ton réseau non.
Note que dans le cas d'un portable, c'est pas du tout recommandé puisqu'on a tendance à les brancher un peu partout... donc genre suffit que tu le branches sur un réseau avec des PC infectés et ils vont infecter le portable à leur tour.

[Unpowed]

Pour exploit sur site WEB non puisque tu surfs pas.
Pour les exploits distantes vers des services réseaux, si y a pas de PC infectés sur ton réseau non.
Note que dans le cas d'un portable, c'est pas du tout recommandé puisqu'on a tendance à les brancher un peu partout... donc genre suffit que tu le branches sur un réseau avec des PC infectés et ils vont infecter le portable à leur tour.

Ah d'accord , parce que disons que c'est rassurant pour les personnes qui n'ont pas utilisé un PC depuis longtemps et qui veulent s'y remettre , le PC n'etant pas mis à jour , l'AV non plus , ce qui aurait pu être en quelque sorte dangereux.

Cependant , si pour la mise à jour AV , Windows c'est OK puisque l'on ne surf pas , qu'en est-il pour la mise à jour du navigateur ?
Par exemple , pour Mozilla , il faut aller dans A propos pour lancer la procédure de recherche de mise à jour , du coup on est obligé de faire un peu de surf pour la page d'accueil , et donc si notre page d'accueil a été hackée c'est là que l'on risque l'infection non ?