Etat de l'art de l'autopsie d'intrusions dites "tout en mémoire"

Par Xavier Poli, secuobs.com
Le 02/07/2007

---

Résumé : Nicolas Ruff propose, lors de l'édition 2007 du SSTIC, un tour d'horizon des solutions de forensic utilisables suite aux intrusions dites "tout en mémoire". Ces attaques sont de plus en plus répandues, notamment via l'utilisation de l'outil Meterpreter qui fait partie de la plateforme d'exploitation libre Metasploit. - Lire l'article



Lors de la dernière édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC - lien ) qui s'est déroulée à Rennes du 30 au 31 mai, Nicolas Ruff, chercheur en sécurité informatique travaillant pour la société EADS ( lien ), a réalisé une présentation ( lien ) sur l'autopsie d'une intrusion dite « tout en mémoire » pour les systèmes d'exploitation de la marque Microsoft Windows.

Les différentes techniques d'autopsie, ou forensic, consistent dans un premier temps à récupérer la totalité de la mémoire physique afin de l'analyser dans un second pour y trouver des preuves de l'intrusion. La problématique principale étant de se retrouver au final avec une image cohérente de la mémoire afin que l'on puisse l'exploiter lors de l'analyse ; différentes solutions de collecte de la mémoire physique sont abordées dans la présentation.

On retiendra notamment le couple dd/nc ( lien ) pour l'accès au périphérique \Device\PhysicalMemory dans le cas d'un système d'exploitation qui n'aura pas préalablement été configuré en vue du risque potentiel d'une intrusion de ce genre ; à noter que cet accès a été bloqué par Microsoft depuis la version Windows 2003 Server SP1 et que cette méthode reste relativement lente.

Outre les solutions matérielles avec l'acquisition de la mémoire via une carte PCI (non disponible actuellement sur le marché public) ou un FPGA en PCMCIA ( lien ), on notera également la possibilité de provoquer un crashdump via différentes techniques comme la double séquence clavier "Ctrl droit + ScrollLock" suivant l'activation d'une clé ( HKLM\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters\CrashOnCtrl
Scroll ) de la base de registre ou bien encore l'utilisation de la console Emergency Management Service pour les systèmes d'exploitation Windows 2003 Server.

Une fois la mémoire collectée, la plupart des solutions d'analyse existantes actuellement, comme SleuthKit ( lien ) par exemple, propose une approche orientée vers les supports de stockage qui n'est pas particuliérement adaptée à ce type d'attaques ; elles peuvent être réalisées via un outil comme Meterpreter ( lien ) appartenant à la plateforme d'exploitation libre Metasploit ( lien ).

L'analyse, quant à elle, consiste dans un premier temps à reconstruire la mémoire virtuelle afin d'y retrouver ensuite des structures spécifiques comme la liste des processus par exemple ; des outils comme PTFinder ( lien ), MemParser ( lien ) ou Volatools ( lien ) sont disponibles à cet effet. Un exemple d'analyse, via les Microsoft Debugging Tool (WinDbg - lien ), d'une intrusion avec injection de DLL par Metasploit via Meterpreter est disponible dans l'article détaillé ( lien ).

Bien que ces intrusions ne soient pas vraiment les plus populaires actuellement, elles font cependant de plus en plus d'adeptes ; les outils disponibles pour les contrer n'en sont encore qu'à un stade relativement peu avancé en terme de fonctionnalités mais il y a fort à parier que cette problématique grandissante potentialise un futur marché florissant pour l'analyse du tout en mémoire.

La présentation de Nicolas Ruff ainsi que l'article détaillé sont disponibles en téléchargement sur le site des actes du SSTIC ( lien ).