WebJob une architecture centralisée d'administration distante pour la sécurité offensive et défensive

Par Xavier Poli, secuobs.com
Le 08/02/2009

---

Résumé : WebJob est une architecture client/serveur furtive pour réaliser, périodiquement et massivement, des tâches automatisées, signées et parallèles depuis un serveur distant central et via des transmissions basées sur le chiffrement SSL et l'authentification mutuelle par certificat. - Lire l'article



WebJob est un projet pour faciliter l'exécution d’un programme/script récupéré depuis un serveur distant et cela en une opération unique, périodique ou pas, effectuée par une application cliente locale et contrôlée par un serveur central comme pour les Botnet ( lien ). Les résultats seront alors archivés et envoyés vers le serveur distant défini. Cela peut s’avérer pratique autant offensivement que défensivement, dans le sens où WebJob fournit un mécanisme automatisé de récupération/exécution d'éléments sains sur un système endommagé/compromis.

WebJob, c’est tout d'abord une solution idéale afin d'effectuer des audits et des diagnostics distants des systèmes, mais aussi des relevés de preuves ( lien ) pour confirmer d’éventuelles compromissions, l’ensemble pouvant améliorer les facultés de résilience ( lien ) d’une organisation face à un incident particulier. C’est également une plateforme pour centraliser en un seul point, le serveur WebJob, la gestion et l’administration distante d’un parc de machines pour une infrastructure donnée.

Cette solution est donc capable de faciliter le travail quotidien des administrateurs, aussi bien au niveau de l’automatisation des tâches régulières, que dans la mise en place de stratégies de surveillance et d’audit pour les systèmes administrés. On peut par exemple effectuer des vérifications périodiques de certains facteurs régissant les systèmes d’exploitation ciblés, au même titre qu’il est possible de réaliser des mises à jour automatisées de fichiers particuliers ( Crontab - lien ), mais aussi de la vérification d’intégrité du système de fichiers et de la gestion des correctifs de sécurité.

Fonctionnellement, WebJob s’appuie sur le schéma transactionnel suivant : un client émet une requête pour un programme/script donné auprès du serveur, ces derniers s'authentifient mutuellement puis le serveur envoie l'élément demandé. Celui-ci est lancé dans la foulée sur le client, les information en sortie d'exécution sont alors envoyées vers un serveur défini préalablement. Ce schéma a été implémenté de façon à ce qu’une multitude de machines puissent être traitées en parallèle, WebJob supporte ainsi l’automatisation massive d’une tâche effectuée simultanément sur un ensemble d’ordinateurs.

WebJob est une solution Open Source ( lien ) développée en C ( lien ), elle est compatible avec la plupart des systèmes modernes, à savoir AIX, FreeBSD, HP-UX, Apple MacOS X, NetBSD, OpenBSD, GNU/Linux, SUN Solaris et les systèmes Microsoft Windows. L’utilisation dans un environnement d’émulation, comme celui de CygWin ( lien ), est aussi supportée. Lors de ses différentes phases opérationnelles, il n’est d'ailleurs pas nécessaire que l'application cliente soit initialement installée sur la machine auditée.

Elle peut être exécutée depuis de nombreuses sources de stockage comme des disquettes, des [CD|DVD]ROM, un partage réseau ou une clé USB. Elle est configurable et utilisable en ne nécessitant qu’un minimum d’interactions avec le système cible, un avantage pour effectuer de la recherche de preuves de compromission. Ce dernier point permet en effet de réduire les risques d’altération des données originelles du système qui devront être analysées ultérieurement à l’aide d’outils spécifiques ( Sleuth Kit et Autopsy - lien

Il est de plus possible de transférer les données de façon sécurisée et chiffrée à l’aide du protocole SSL ( lien ). Les processus d’authentification mutuelle des serveurs et des clients impliqués sont supportés via des certificats spécifiques aux intervenants. Pour les transmissions, WebJob ne nécessite par défaut que l'ouverture du port 443 avec l’autorisation d’y établir des connexions initialement sortantes depuis le poste client, ce n’est jamais le serveur qui est directement à l’initiative de l’établissement de la communication.

Cela représente un atout dans l’optique de garder, au mieux, inchangée la politique de sécurité du poste client audité. Notamment pour les filtres sur les accès extérieurs, il n’y a en effet pas besoin que le client présente un port ouvert en écoute pour les connexions entrantes, comme vu précédemment. Cette impression de sécurité est d’autant renforcée que cette solution comporte un mécanisme interne de signature pour vérifier l’intégrité des tâches planifiées pour les clients, les signatures GPG ( lien ) sont supportées dans ce cadre.

D'autres fonctionnalités avancées sont incluses comme les fonctions de crochetage type Hooking ( voir notre dossier - lien ), mais également le support de programmes exécutables au format auto-extractible PaD ( Payload And Delivery - lien ) qui autorise l’exécution d'éléments divers au sein d'un système de planification des tâches à la manière d’un Cron ou des commandes At ( lien ). C'est une solution complète en termes d’administration distante et d'organisation, autant défensive que offensive.

Son utilisation malicieuse en fait effectivement une arme redoutable vu ses capacités de pénétration et son haut niveau d’abstraction. Tous les champs d’application sont recensés sur le site officiel ( lien ), l'imagination faisant le reste. Ils sont classés par catégories, on retrouve notamment : administration et gestion (système de package, IDS, Crontab) , collecte et surveillance (Rsync, Tcpdump, BIM, IDS, données sensibles), conformité et analyse des correctifs de sécurité, synchronisation et mises à jour automatiques.

A savoir finalement que WebJob ( lien ) est un outil faisant partie intégrante de l’Integrity project, au même titre que des éléments comme le système de recueil de preuves FTimes ( lien ), les utilitaires HashDig ( lien ) pour la gestion des fonctions de hachage et enfin PaD, déjà cité précédemment. Les auditeurs multiples de grandes infrastructures peuvent aussi regarder Dradis ( voir SecuMail - lien ), un outil Web pour centraliser et partager des informations lors d'un audit.

Par ailleurs, Benjamin Caillat ( voir ses articles - lien ) de l’ESIEA ( lien ) fera une présentation ( lien ) sur les backdoors ( lien ) et la « shellcodisation » avec Wishmaster ( voir notre dossier - lien ) lors de la prochaine édition Black Hat Europe ( lien ) qui se tiendra du 14 au 17 avril 2009 à Amsterdam.

Source : HolisticInfoSec ( lien )