| Sommaires |
|
|
|
|
| Breves |
|
|
|
- Appel de la dernière chance pour Gary McKinnon (Lire)- Version 3.0 du CD de secours F-Secure (Lire)- 20% de remise sur les certificats SSL VeriSign jusqu'au 31 mai 2008 (Lire)- Vol de données à Harvard (Lire)- Un exploit pour Quicktime découvert « in the wild » (Lire)- Les derniers jours de MD5 ? (Lire)- Le spam sur le déclin (Lire)- Des spams au format MP3 (Lire)- Areva T&D choisit iPass pour équiper 7000 utilisateurs (Lire)- Ironport lance des fonctions de prévention des fuites d’informations (Lire)- Sortie du numéro 8 de Uninformed (Lire)- Liens malveillants sur le service Google Adwords (Lire)- RSA SecurID en version mobile (Lire)- Deux exploits preuves de concept pour Adobe Photoshop (Lire)- Des titres suspendus à la bourse américaine pour cause de spam (Lire)- Le programme de SSTIC 2007 (Lire)- Le mois des failles PHP vient de commencer (Lire)- Internet de plus en plus résistant ? (Lire)- Augmentation des cryptovirus rançonneurs en vue pour Kaspersky (Lire)- Les forces de l’ordre interdites de piratage en Allemagne (Lire)
|
|
| Articles |
|
|
|
- Perfectionnement du Return Oriented Programming (Lire)- Le projet de loi HADOPI prochainement présenté à l’assemblée nationale (Lire)- PktAnon un framework pour l'anonymat des traces PCAP (Lire)- Maltego un outil de cartographie d’informations (Lire)- Exploitation en cours de la faille DNS (Lire)- [Lutter contre les spams vocaux par Sysun Technologies – partie 1] Introduction à la VoIP (Lire)- [Lutter contre les spams vocaux par Sysun Technologies – partie 2] Les risques de la VoIP (Lire)- [Lutter contre les spams vocaux par Sysun Technologies – partie 3] Le module AntiSPIT (Lire)- [Lutter contre les spams vocaux par Sysun Technologies – partie 4] AntiSPIT par l'exemple (Lire)- [Lutter contre les spams vocaux par Sysun Technologies – partie 5] Crédits et webographie (Lire)- Un accès complet à la mémoire des systèmes Microsoft Windows via le port Firewire (Lire)- GenDBG, un debugger générique (Lire)- [NessusWX – Partie 1] Introduction, installation et configuration (Lire)- [NessusWX – Partie 2] Audits et conclusion (Lire)- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT (Lire)- [IDS Snort Windows – Partie 2] Installation et configuration (Lire)- [IDS Snort Windows – Partie 3] Exemple de fichier de configuration (Lire)- [IDS Snort Windows – Partie 4] Conclusion et webographie (Lire)- [Sécurité et PHP - Partie 1] Les injections SQL (Lire)- [Sécurité et PHP - Partie 2] La gestion des sessions (Lire) |
| Commentaires | | | | - la notion de prototype s'applique au fait que l'on puisse effect ... (Lire)
- il faut aussi prendre en compte le fait que "prototype" dans ce ... (Lire)
- Bonjour Ines, Le terme détournement de prototype ne me choque pa ... (Lire)
- Bonjour,je profite du fait que vous connaissiez bien ce domaine ... (Lire)
- du point de vue des visiteurs oui mais le repas des speakers c'é ... (Lire)
- Contrairement a ce que vous annoncez, le SSTIC s'était déroulé d ... (Lire)
- en l'état ça ne semble pas possible de récupérer la base SAM loc ... (Lire)
- mais avec quelle logiciel va tu capturer la sam d'un windows.Sac ... (Lire)
- Si la question est "est-ce que je peux prendre la base SAM sur u ... (Lire)
- Salut je voulais savoir si on peut faire sa en réseau local, ave ... (Lire)
- je viens de rectifier les deux liens, merci pour la correction N ... (Lire)
- L'adresse officielle du magazine MISC est :www (dot) miscmag (do ... (Lire)
- Merci beaucoup je viens de corriger ça ... ... (Lire)
- Deux petites coquilles dans la commande iptables de l'article: i ... (Lire)
- L'ancienne version mise en page est disponible sur cette page : ... (Lire)
- je n'arive pas a le lire en entier, le tuto est peut etre bien m ... (Lire)
- j'utilise un certificat Rapid SSL depuis 2 ans et j'en suis cont ... (Lire)
- Merci pour ce lien, je ne connaissais pas ce prestataire! Ils on ... (Lire)
- pourquoi on devrait utiliser live helper plutot que la méthode d ... (Lire)
- les utilisateurs ne sont pas toujours les seuls à pouvoir être m ... (Lire)
- Comme c'est indiqué dans l'article les pilotes madwifi ne permet ... (Lire)
- Tout ça peut se résumer à: C'st l'utilisateur qui est le point f ... (Lire)
- après tout cela, comment mettre la carte sur une puissance de 30 ... (Lire)
- pourquoi ne pas utiliser live-helper ?voir le projet Debian Live ... (Lire)
- C'est le problème des solutions de sécurité en général qu'elles ... (Lire)
|
|
|
Tests |
Aujourd'hui |
Ce
mois |
Ajoutés |
5 |
942 |
|
|
|
|
Etat de l'art de l'autopsie d'intrusions dites "tout en mémoire"
Par Xavier Poli,
secuobs.com
Le 02/07/2007
Résumé : Nicolas Ruff propose, lors de l'édition 2007 du SSTIC, un tour d'horizon des solutions de forensic utilisables suite aux intrusions dites "tout en mémoire". Ces attaques sont de plus en plus répandues, notamment via l'utilisation de l'outil Meterpreter qui fait partie de la plateforme d'exploitation libre Metasploit.
Lors de la dernière édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC - lien http externe url:[click] ) qui s'est déroulée à Rennes du 30 au 31 mai, Nicolas Ruff, chercheur en sécurité informatique travaillant pour la société EADS ( lien http externe url:[click] ), a réalisé une présentation ( lien http externe url:[click] ) sur l'autopsie d'une intrusion dite « tout en mémoire » pour les systèmes d'exploitation de la marque Microsoft Windows.
Les différentes techniques d'autopsie, ou forensic, consistent dans un premier temps à récupérer la totalité de la mémoire physique afin de l'analyser dans un second pour y trouver des preuves de l'intrusion. La problématique principale étant de se retrouver au final avec une image cohérente de la mémoire afin que l'on puisse l'exploiter lors de l'analyse ; différentes solutions de collecte de la mémoire physique sont abordées dans la présentation.
On retiendra notamment le couple dd/nc ( lien http externe url:[click] ) pour l'accès au périphérique \Device\PhysicalMemory dans le cas d'un système d'exploitation qui n'aura pas préalablement été configuré en vue du risque potentiel d'une intrusion de ce genre ; à noter que cet accès a été bloqué par Microsoft depuis la version Windows 2003 Server SP1 et que cette méthode reste relativement lente.
Outre les solutions matérielles avec l'acquisition de la mémoire via une carte PCI (non disponible actuellement sur le marché public) ou un FPGA en PCMCIA ( lien http externe url:[click] ), on notera également la possibilité de provoquer un crashdump via différentes techniques comme la double séquence clavier "Ctrl droit + ScrollLock" suivant l'activation d'une clé ( HKLM\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters\CrashOnCtrl
Scroll ) de la base de registre ou bien encore l'utilisation de la console Emergency Management Service pour les systèmes d'exploitation Windows 2003 Server.
Une fois la mémoire collectée, la plupart des solutions d'analyse existantes actuellement, comme SleuthKit ( lien http externe url:[click] ) par exemple, propose une approche orientée vers les supports de stockage qui n'est pas particuliérement adaptée à ce type d'attaques ; elles peuvent être réalisées via un outil comme Meterpreter ( lien http externe url:[click] ) appartenant à la plateforme d'exploitation libre Metasploit ( lien http externe url:[click] ).
L'analyse, quant à elle, consiste dans un premier temps à reconstruire la mémoire virtuelle afin d'y retrouver ensuite des structures spécifiques comme la liste des processus par exemple ; des outils comme PTFinder ( lien http externe url:[click] ), MemParser ( lien http externe url:[click] ) ou Volatools ( lien http externe url:[click] ) sont disponibles à cet effet. Un exemple d'analyse, via les Microsoft Debugging Tool (WinDbg - lien http externe url:[click] ), d'une intrusion avec injection de DLL par Metasploit via Meterpreter est disponible dans l'article détaillé ( lien http externe url:[click] ).
Bien que ces intrusions ne soient pas vraiment les plus populaires actuellement, elles font cependant de plus en plus d'adeptes ; les outils disponibles pour les contrer n'en sont encore qu'à un stade relativement peu avancé en terme de fonctionnalités mais il y a fort à parier que cette problématique grandissante potentialise un futur marché florissant pour l'analyse du tout en mémoire.
La présentation de Nicolas Ruff ainsi que l'article détaillé sont disponibles en téléchargement sur le site des actes du SSTIC ( lien http externe url:[click] ).
Les 20 derniers articles de la categorie Tendances :- Perfectionnement du Return Oriented Programming (Lire)
- Le projet de loi HADOPI prochainement présenté à l’assemblée nationale (Lire)
- [Lutter contre les spams vocaux par Sysun Technologies – partie 1] Introduction à la VoIP (Lire)
- [Lutter contre les spams vocaux par Sysun Technologies – partie 2] Les risques de la VoIP (Lire)
- [Lutter contre les spams vocaux par Sysun Technologies – partie 3] Le module AntiSPIT (Lire)
- [Lutter contre les spams vocaux par Sysun Technologies – partie 4] AntiSPIT par l exemple (Lire)
- [Lutter contre les spams vocaux par Sysun Technologies – partie 5] Crédits et webographie (Lire)
- Près de 45% des femmes seraient prêtes à révèler leur mot de passe contre du chocolat (Lire)
- Les exploits web de plus en plus utilisés par les cybercriminels (Lire)
- Le retour de la riposte graduée (Lire)
- Plus de 100 millions d’hôtes répondent présent sur internet (Lire)
- Publication du premier rapport annuel de PhishTank (Lire)
- Etat de l art de l autopsie d intrusions dites tout en mémoire (Lire)
- Progression en vue pour le social engineering (Lire)
- Deuxième édition du Microsoft Security Intelligence Report (Lire)
- La fiabilité des exploitations sur plates-formes Windows dépendante de la prise d’empreinte (Lire)
- La chine, terre d accueil des botnets pour le second semestre 2006 (Lire)
- 16 % des entreprises sans protection anti-spyware (Lire)
- Une présentation sur le clonage RFID annulée à la conférence BlackHat (Lire)
- Les experts en sécurité et le WIFI ne font pas bon ménage à la RSA Conference (Lire)
| Mini-tagwall de la revue de presse : security, vulnérabilité, microsoft, phone, hacker, attack, network, windows, iphone, google, apple, vulnerability, sécurité, internet, server, inject, mobile, black, remote, patch, exploit, malware, protect, yahoo, firefox, linux, research, business, crypt, video, source, laptop, vista, intel, virus, access, office, virtual, biometric, pirate, phish, drive, cisco, vmware, china, critical, cross, facebook, chine, privacy, flash, website, photo, opera, fraud, oracle, botnet, layer, symantec, conference, email, storage, russia, wireless, identity, database, adobe, break, trojan, europe, podcast, social, local, storm, theft, police, government, player, arrêt, password, crack, mozilla, inclusion, wi-fi, overflow, browser, digital, certif, share, georgia, visio, trust, fightin, expert, safari, monitor, olympic, client, nokia, legal, youtube, airport, trend, developer, fingerprint, france, mcafee, process, vendor, hijack, fichier, myspace, music, surveillance, infect, buffer, attaque, squid, backup, india, certificat, detect, activex, america, robot, japan, prison, gmail, green, spammer, terrorism, major, futur, joomla, camera, cookie, scanner, desktop, military, solaris, cache, gates, defcon, hardware, defend, audit, rootkit, document, skype, réseau, verizon, passport, nuclear, switch, package, compromis, août, torrent, policy, authentication, upgrade, blackberry, compliance, poisoning, pentagon, memory, appliance, interview, système, traffic, router, paypal, français, german, kaminsky, bluetooth, university, engineering, obama, development |
| Ce site vous a plu ? Par avance, merci de bien vouloir nous adresser un don (transaction sécurisée par compte Paypal ou par carte de crédit) si vous le désirez afin de préserver le caractère indépendant de nos recherches en cliquant sur le bouton suivant : |
|
|
|
|
|
|
|
|
