FOCUS

Analyse aprs
KONRAD ZUWAA

l'attaque
Aprs avoir dcouvert une activit indsirable sur l'ordinateur,
Degr de difficult
notre objectif consiste le plus souvent dtecter les traces d'une
activit d'un utilisateur non autoris et apprendre que s'est
rellement pass sur notre ordinateur. C'est le but de l'analyse
aprs l'attaque.

L
'analyse aprs l'attaque a beaucoup de
points en communs avec une analyse
dtectiviste. Il faut dterminer l'heure,
l'endroit, lier de nombreux faits entre eux. Pour
obtenir des informations, nous sommes souvent
obligs de parcourir des endroits les plus
tranges du systme, mme le plus sombres.
Les informations obtenues seront maintes
fois partielles, imprcises, nous devrons faire
beaucoup d'effort pour les lier entre elles
et trouver des relations. C'est en quoi consiste
une analyse aprs l'attaque : utiliser les
informations que nous avons russi trouver
dans un systme compromis.
Afin de commencer l'analyse, il faut dans
un premier temps nous prparer la question
CET ARTICLE du point de vue thorique. Il est galement
EXPLIQUE...
recommand de prparer le systme
Qu'est-ce qu'une analyse
d'exploitation cet objectif d'une manire
aprs l'attaque,
comment la faire, approprie, ncessaires pour les oprations de
comment fonctionne
un systme de fichiers,
ce type. Je suppose que l'utilisateur se sert d'un
quoi ressemble une systme bas sur un systme UNIX (FreeBSD,
analyse d'un programme
suspect.
OpenBSD, Linux, etc.), une partie des informations
contenues dans l'article est toutefois universelle
CE QU'IL FAUT et peut se rapporter au systme Windows.
SAVOIR... Le point lmentaire d'une analyse aprs
connatre les notions l'attaque consiste ne pas chercher quelque
de l'administration d'un
systme UNIX, chose de particulier. Tous ceux qui cherchent
connatre les notions une rponse concrte dans le systme ne
du langage C,
avoir des connaissances trouveront rien en ralit. En effet, quoi faut-
gnrales sur les systmes il faire attention ? Il est difficile de dfinir au
informatiques et leur
fonctionnement dbut les points concrets analyser. Bien
videmment, nous pouvons nous demander
qui, quand et comment est entr dans notre
systme d'exploitation et ce qu'il y a fait. Mais
pour rpondre ces questions, il faut recueillir
de nombreuses donnes, sans trouver sur la
route aucune preuve claire et concrte. Nous
aurons tout au plus des fragments d'informations
que nous devons lier entre elles et en tirer des
conclusions.
Quelles informations sont stockes dans
notre systme ? Dans la plupart de cas, il
s'agit des dchets : des fichiers qui ne sont
pratiquement jamais utiliss. Seule une partie
minime des ensembles sur les serveurs UNIX est
ouverte de manire systmatique (ouverte et lue).
La plupart d'entre eux ne sont pas ncessaires
pendant longtemps, par exemple les fichiers
de configuration ne sont lus qu'au moment
du dmarrage du programme et ensuite, ils
restent sur le disque en attendant un prochain
dmarrage de l'ordinateur ou redmarrage, pour
que leur contenu soit lu. Comme nous le savons,
certains serveurs ne sont pas redmarrs
pendant des annes. Que faut-il en conclure ? Les
ordinateurs modernes sont capables de remplir
en quelques secondes les disques durs les plus
grands. Les processus systme se rapportent
toutefois toujours aux mmes donnes, en
utilisant les fichiers. Lorsque le systme lit donc
tout le temps et enregistre sur les mmes fichiers,
il efface en ralit ses traces. Ses traces lui
et les traces d'un intrus potentiel : les indicateurs

20 HAKIN9 5/2009
de temps, les traces de toute
modification indsirable dans les fichiers.
Pour cette raison, les informations
exceptionnelles, qui n'ont rien voir avec
les oprations ordinaires d'accs aux
donnes de fichiers ou d'ouverture de
dossiers non utiliss sont trs prcieuses
dans une analyse aprs l'attaque.
Une autre question importante est
l'ordre de modification d'informations
(en anglais Order Of Volatility). Comme
vous le savez, une partie d'informations
est soumise un effacement plus rapide
et par consquent une suppression.
Les informations se perdent le plus
rapidement sur les supports lectriques
(tels que les registres du processeur, sa
mmoire cache, la mmoire RAM) ou les
rcepteurs rseau, tels que les cartes
rseau, qui contiennent leurs propres
mmoires tampon ou les modules de
mmoires. Ces informations sont en
gnral inaccessibles pour nous car
la dure de leur vie oscille dans les
micro ou nanosecondes. Ensuite, nous
avons des processus dont la dure de
vie se situe entre plusieurs secondes
plusieurs heures (mais nous savons
que les informations sur lesquelles ils
reposent sont modifies sans cesse,
donc elles sont rapidement obsoltes).
Les disques durs, en fonction du type
d'informations, peuvent les stocker entre
plusieurs secondes jusqu' plusieurs
mois, voire annes. Tout est question
d'utilisation des informations : les
fichiers temporaires crs par certains
programmes ne peuvent exister que
quelques secondes alors qu'une norme
Une autre chose dont il faut se
rendre compte en effectuant une
telle analyse est l'illusion cre par le
systme d'exploitation autour de nous.
L'ensemble de systme de fichiers est en
effet une illusion. Les fichiers constituent
en effet une suite de zro et de un,
une information lectromagntique
enregistre sur un disque dur. Les
dossiers et les fichiers tout est
une illusion cre par le systme
d'exploitation, une sorte de facilit pour
nous simplifier l'utilisation de l'ordinateur.
Il ne faut pas l'oublier au moment
de rcuprer les fichiers perdus ou
d'analyser les fragments des ensembles
trouvs quelque part sur le disque ;
nous pouvons le faire en omettant le
systme de fichiers, ce qui permettra
d'augmenter considrablement la
quantit d'informations.
Il faut aussi faire attention au niveau
de confiance que nous pouvons avoir
par rapport une information donne.
Une seule information peut sembler
peu crdible mais si elle se rpte
dans de nombreux endroits diffrents,
elle commence l'tre davantage.
Prenons cet exemple : nous avons
trouv une entre sur la connexion d'un
utilisateur dans le fichier contenant les
logs du serveur. C'est une information
individuelle, elle peut ne pas tre crdible.
Si nous regardons toutefois le fichier
avec l'historique de commandes de
Listing 1. Fonction lstat() et la structure y lie
#include <sys/stat.h>
cet utilisateur dans son shell, nous
remarquerons qu'il avait saisi des
commandes appropries. Nous avons
obtenu une confirmation supplmentaire
de l'information relative sa connexion.
Si de plus, un systme IDS ou autre
renifleur fonctionnant dans le rseau en
question confirme qu'une telle connexion
a eu lieu depuis l'hte dont l'adresse
IP est x.x.x.x , nous pouvons tre
quasiment srs que l'information est
vraie. Nous ne sommes pas toutefois
toujours srs 100 % car un attaquent
expriment aurait pu prparer toutes
les sources susmentionnes. Malgr
tout cela, plus de sources confirment
l'existence de l'information, plus nous
pouvons y faire confiance.
Nous distinguons deux mthodes
de recueillir des informations : dans le
livre Forensic Discovery de Dan Farmer
et Wierse Venem, elles s'appellent
l'archologie numrique et la gologie
numrique. Il s'agit bien videmment
d'une analogie ces domaines
scientifiques et leur utilisation dans le
monde rel, non virtuel. L'archologie,
comme son nom l'indique, consiste
analyser ce qui a t cr par homme.
En le rapportant aux ordinateurs, nous
en concluons qu'il faut analyser l'activit
de l'utilisateur sur un ordinateur concret.
Il faut donc analyser les fichiers qu'il
avait utiliss, les processus lancs, tout
ce qui avait t initi depuis le compte

partie de donnes est stocke sur les

int lstat(const char* path, struct stat* buf);
disques sous la mme forme pendant
des mois. Les supports externes comme struct stat {

les disquettes, les mmoires de masse dev_t st_dev; /* ID de l'appareil contenant le fichier */
et les CD//DVD/BlueRay sont capables ino_t st_ino; /* numro inode */
de garder les donnes y enregistres node_t st_mode; /* protection */
nlink_t st_nlink; /* nombre de liens matriels */
pendant de longues annes.
uid_t st_uid; /* ID du propritaire du fichier */
Que pouvons-nous en conclure ? gid_t st_gid; /* ID du gr. du propritaire du fichier */
Dans un premier temps, il faut protger dev_t st_rdev; /* ID de l'appareil (si fichier spcial */
les donnes phmres que nous off_t st_size; /* taille complte en octets */
blksize_t st_blksize; /* taille du bloc du systme de fichiers */
pouvons perdre en un rien de temps.
blkcnt_t st_blocks; /* nombre de blocs allous */
Nous devons ainsi protger les time_t st_atime; /* heure du dernier accs (access) */
informations et leurs supports dans un time_t st_mtime; /* heure de la dernire modification (modification) */
ordre adquat : il faut commencer par les time_t st_ctime; /* heure de la dernire modification (time) */
};
donnes phmres et terminer par les
donnes qui ne sont pas menaces.

5/2009 HAKIN9 21
FOCUS
systme correspondant l'identifiant
du suspect. La gologie en revanche
est un processus d'analyse de l'activit
du systme d'exploitation en tant que
l'environnement parent de l'utilisateur,
qu'il forme en quelque sorte. Simplement
parlant, nous analysons tout ce que
l'utilisateur n'avait pas lancs et ce qui
fonctionne dans le systme : l'accs aux
fichiers de configuration, les oprations
sur les disques, les informations stockes
dans le systme de fichiers qui n'avaient
pas t crs par l'utilisateur.
Nous savons donc comment procder
l'analyse, il faut maintenant prparer le
systme d'exploitation cette analyse.
Il est vident qu'il faut disposer d'un
espace suffisant sur les disques durs
pour copier et ensuite monter les images
du systme de fichiers du systme
compromis. Certains outils, permettant
de raliser des oprations sur le systme
de fichiers de l'ordinateur compromis,
seront galement indispensables : pour
monter son image sur un autre ordinateur
ou sur un ordinateur qui fait objet de
nos recherches. Il ne faut pas oublier
que les informations sont phmres :
il faut dans un premier temps collecter
les informations dans la mmoire de
l'ordinateur, les processus et tout ce que
nous sommes incapables de copier
physiquement sur un autre ordinateur.
The Coroner's Toolkit, et le projet
qui devait le remplacer The Sleuth Kit,
constitue l'ensemble d'outils ncessaires.
TCT est un projet cr par les auteurs
du livre susmentionn, disponible
gratuitement sur Internet. Vous trouverez
davantage d'informations sur ce sujet
dans l'encadr Sur le Net. L'installation de
deux ensembles d'outils est plutt intuitive
et tout utilisateur intermdiaire du systme
UNIX sera capable de la faire. Procdons
l'analyse.

Le temps est l'argent

trouver des informations
sur le temps
Dans la plupart de cas, l'objectif de
l'analyse ne consiste pas voir ce
qui s'est pass. C'est plutt vident :
si quelqu'un a accd notre ordinateur,
il a pu faire quasiment tout dont il avait
envie. Nous ne pouvons rien y faire.
L'information sur la date et l'heure de
cet vnement est beaucoup plus
importante. Cette information nous
permettra de nous rendre compte
quelles donnes auraient pu fuir de notre
ordinateur ou pendant combien de temps
l'ordinateur a t expos l'intervention
de l'extrieur. En vrifiant l'heure, nous
apprendrons aussi tt ou tard quelle
tait la raison de la corruption du
systme et ce qui a pu tre fait dedans.
Rappelons que cet article n'expliquera
pas comment dtecter que le systme
a t compromis, c'est un sujet d'un autre
article. Notre article dcrit ce qu'il faut faire,
en disposant des informations relatives
l'attaque de l'intgralit de notre
systme d'exploitation.

Indicateurs MAC
MAC (en anglais Modified, Accessed,
Changed modifi, utilis, chang) sont
des attributs du systme de fichiers,
dterminant la dure de diffrentes
oprations d'accs au fichier. Regardons
le Listing 1. Il prsente le prototype de
la fonction lstat(). Sa tche consiste
recueillir les informations sur le fichier
et les enregistrer dans une structure
Figure 1. XXX spciale. Cette structure correspond aux

22 HAKIN9 5/2009
paramtres de l'ensemble, stocks dans
le systme de fichiers.
La structure stat contient les
variables correspondant aux paramtres
du fichier. Nous nous concentrons sur
trois dernires positions : il s'agit des
indicateurs MAC. Cette structure nous
aide crire un programme, charg
de parcourir le systme de fichies la
recherche des modifications suspectes.
Il peut nous servir par exemple vrifier
les fichiers systme ou les fichiers de
configuration rcemment modifis.
Comme nous l'avons mentionn
auparavant, ces fichiers sont ouverts
trs rarement. Si nous remarquons des
modifications suspectes de temps, des
modifications des fichiers systme ou des
fichiers de configuration, voire l'apparition
de nouveaux programmes qui devaient
tre absents dans le systme c'est une
trace. Nous parlerons davantage des
indicateurs MAC dans la partie de l'article
consacre aux systmes de fichiers
UNIX. Nous y dcrirons en dtails qu'est
ce qu'un systme de fichiers et comment
l'utiliser nos fins, autrement dit, pour
trouver les traces indispensables.
Systme qui connecte
le trafic rseau source
d'informations
De nombreux grands serveurs
d'entreprise ou systmes dans de petites
entreprises dont l'infrastructure rseau
n'est pas trs dveloppe, sont quips
des systmes de connexion du trafic
rseau. Ces programmes, dont argus
est un exemple, permettent d'enregistrer
tous les vnements qui ont eu lieu sur le
rseau. Bien videmment, nous pouvons
rencontrer un problme. Un serveur Web
d'une taille moyenne est capable en
effet de gnrer des dizaines (voire des
centaines) de gigaoctets du trafic rseau.
L'analyse de toutes les donnes recueillies
par ce logiciel pourrait poser un souci :
qui voudrait lire toutes ces informations ?
Grce aux programmes de connexion,
il est par exemple possible de dtailler
uniquement les connexions sur un port
donn ou depuis un hte dfini. Il est
galement possible de gnrer des logs
d'aprs la date de l'vnement dans l
rseau : c'est une question du bon choix
de logiciel et de la spcification des filtres
de recherches. Imaginons que l'analyse
des indicateurs MAC nous a permis de
trouver un nouveau programme dans
le systme ; appelons ce programme
telnetd . Le programme prend la
place du serveur telnet en coutant
bien videmment sur un autre port pour
masquer son existence. Grce au logiciel
qui analyse le trafic rseau, nous pouvons
dtecter qu'un programme coute sur un
port dtermin. Nous avons donc deux
informations : un nouveau programme
dans le systme qui attend des
connexions depuis Internet. Un hasard ?
Probablement pas...
L'exemple ci-dessus dmontre qu'il
est recommand d'installer un logiciel
dont l'objectif consiste surveiller le trafic
rseau. Dans des situations comme celle
dcrite ci-dessus, il peut nous tre d'un
grand recours. Munissons donc l'avance
de ce type de l'outil.
Structure du systme
de fichiers de UNIX.
Utilisation pratique de ces
connaissances
Le systme de fichiers dans les UNIX
se diffre de manire considrable du
systme dans les systmes d'exploitation
Microsoft. La diffrence lmentaire se
situe dans l'approche des fichiers et
des rpertoires ; un utilisateur dbutant
d'un UNIX entend srement souvent que
tout est fichier dans le systme UNIX.
C'est en partie vrai car la plupart (sinon
tous) d'appareils dans ce systme ont
leur reprsentation sous forme d'un
fichier spcial. Cette dmarche permet
d'accder directement cet appareil, ce
qui nous sera utile dans la suite de notre
analyse
La hirarchie du systme de fichiers
se diffre galement du systme
Windows. Le produit de Microsoft propose
des disques durs marqus par les
lettres de l'alphabet latin. Pour accder
une partition donne du disque, il faut
dans un premier temps choisir la lettre
qui correspond au disque physique
ou logique donn (donc par exemple
une partition). Sous Linux, FreeBSD ou
autres systmes, nous ne ressentons
aucunement le fait d'avoir accd un
autre disque dur ou une autre partition.
Nous ne nous rapportons en effet
aucun symbole permettant de choisir
un disque donn.
Le rpertoire / constitue le niveau le
plus lev dans la hirarchie *niksa. C'est
un endroit suprieur pour tous les autres
fichiers et rpertoires dans le systme ;
il est impossible de passer au rpertoire
dessus (cela correspond au rpertoire X:
dans le systme Windows o X signifie la
lettre du disque dur). Tout systme UNIX
contient un ensemble standard de sous-
rpertoires dans le rpertoire principal :
il s'agit notamment de /mnt/, /bin/, /usr/,
etc. Ils correspondent au rpertoire C:
\WINDOWS, C:\PROGRAM FILES sous
Windows. Si vous tes attentifs, vous
remarquerez tout de suite la diffrence
dans la convention de sparation des
rpertoires : dans le systme Windows,
nous utilisons le caractre \, tandis que
dans les systmes Linux ou FreeBSD,
il s'agit du caractre / (bien que dans les
nouveaux systmes Windows, le caractre
/ fonctionne galement).
Le systme de fichiers *niksa est
sensible la casse donc les fichiers XYZ
et xyz sont des objets compltement
diffrents. De plus, il ne faut pas oublier
que la notion d'extension du fichier est ici
absente : elle est optionnelle et ne sert
qu' nous faciliter le travail pour que nous
puissions nous rendre compte quoi
nous avons affaire.
Il nous reste encore analyser
plusieurs notions importantes que nous
mettrons en pratique dans un instant.
La premire d'entre elles est un lien au
fichier, appel un noeud intermdiaire
(en anglais inode). Il s'agit d'un chiffre
dfinissant le fichier donn, pointant
l'objet donn et permettant d'y accder.
Nous avons aussi deux types de liens :
liens symboliques et liens matriels.
Le lien matriel indique directement
les donnes enregistres sur le disque
dur, il se rapporte tout simplement un
espace donn occup par le fichier sur
l'appareil. Il dfinit par exemple le bloc de
la mmoire du disque dur o se trouve le
fichier en question, son adresse physique.
Le lien symbolique en revanche est une
structure qui indique le nom du fichier
dans le systme et non directement
5/2009 HAKIN9 23
FOCUS
les donnes auxquelles ce fichier se
rapporte. C'est autrement dit un raccourci
courant au fichier. Imaginons que nous
avons cr le fichier /Monfichier. Nous
disposons donc d'un lien matriel pointant
aux donnes stockes par ce fichier.
Grce la commande ln -s, nous
sommes capables de crer de nombreux
liens symboliques qui seront de facto
des raccourcis de ce fichier car ils se
rapporteront son nom dans le systme
de fichiers. Un seul lien matriel pointera
toutefois aux donnes dans ce fichier.
Pourquoi avons-nous besoin de
tout cela ? C'est indispensable pour
comprendre le concept de suppression
des fichiers par le systme d'exploitation.
Comme tout le monde en a srement
entendu parler, il est possible de rcuprer
les donnes depuis un fichier supprim.
Et la suppression d'un fichier par le
systme d'exploitation n'est rien d'autre
que la suppression des liens matriels
et symboliques au fichier en question, de
sorte qu'il ne soit pas possible de le lire
depuis le niveau du systme de fichiers.
De plus, le bloc du disque donn o s'est
trouv le fichier, est marqu par le videmment, de l'espace disponible sur le
systme d'exploitation pour tre cras. Au disque. Un double enregistrement occupe
moment opportun, le systme d'exploitation
enregistre ici d'autres donnes en
dtruisant ce qui y avait t stock Le mode le plus populaire est celui qui
auparavant. Cette possibilit dpend de
l'activit de l'ordinateur en question : des
oprations de lecture/d'enregistrement
y sont souvent effectues, la probabilit
de la suppression, qui rend impossible
de rcuprer le fichier, augmente
considrablement.
Ce message est trs utile dans
l'analyse aprs l'attaque. Nous pouvons
essayer de lire le contenu du disque dur en
omettant le systme de fichiers en pensant
pouvoir lire des informations prcieuses.
De plus, nous pouvons essayer de
rcuprer les fichiers prcieux supprims
par l'attaquant. Mais c'est un processus qui
prend beaucoup de temps et d'effort et qui
se termine souvent par un chec. Lorsque
Listing 2. Crer une image de la partition et la copier via le rseau
#!/bin/bash
dd if=/dev/hda1 bs=100k of=obraz.hda
nc -l -p 2345 > obraz.hda
24 HAKIN9 5/2009
nous voulons rcuprer des donnes
prcieuses, il est conseill de confier
cette tche aux spcialistes qualifis qui
travaillent dans les entreprises, charges
des travaux de ce type au quotidien.
La dernire caractristique (importante
de notre point de vue) du systme de
fichiers d'un systme d'exploitation
moderne tel que Linux, FreeBSD, Microsoft
Windows, est un journaling, autrement
dit, une journalisation. Comme son nom
l'indique, il s'agit d'une manire d'enregistrer
des informations sur les vnements
survenus dans le systme de fichiers : les
oprations d'enregistrement d'un fichier, sa
lecture, bref, un journal de tout ce que le
systme de fichiers a ralis en une dure
dtermine. Il en est ainsi dans la plupart
de cas car il est galement possible de
configurer la journalisation de sorte qu'elle
enregistre en fonction de nos besoins
le fichier deux fois, ce qui permettra de
rcuprer les donnes incorrectement
enregistres. Tout cela est une question
d'un certain compromis entre la
performance (donc l'opration de lecture/
d'enregistrement) et la scurit et bien
en effet deux fois plus d'espace qu'une
opration standard d'enregistrement.
n'enregistre pas le fichier en entier mais
seulement ses mtadonnes (les donnes
dont dispose le systme de fichiers sur
le fichier, illustres l'aide de la structure
stat prsente sur le Listing 1).
Parcourir le systme
de fichiers
La premire opration faire consiste
crer une image du systme de fichiers.
Pour ce faire, nous disposons de la
commande dd . Le Listing 2 prsente son
fonctionnement.
La commande dd permet de crer
l'image du disque dur, appelons-la
par exemple image.hda . Ensuite, il est
possible soit de copier manuellement
l'image en question sur un autre
ordinateur soit d'utiliser le rseau pour le
faire (comme le prsente le Listing). Il faut
toutefois prendre en considration le fait
que le rseau peut ne pas tre scuris
et une partie d'informations peut alors
tre intercepte par des personnes non
autorises. Dans une telle situation, il faut
penser chiffrer le fichier transfr.
L'tape suivante consistera monter
le systme de fichiers de la victime sur
notre ordinateur. Pour ce faire, nous
faisons la commande mount comme
si nous montions un autre disque. Le
commutateur -t servira dterminer
quel systme de fichiers est contenu
dans l'image. Ajoutons galement les
options ro, noexec, nodev (pour viter
d'craser accidentellement l'image ou de
dmarrer les programmes). Maintenant,
nous sommes prts agir.
Dans un premier temps, nous
vrifions les indicateurs MAC du systme
de fichiers mont. Pour ce faire, nous
disposons de la commande mctime
du paquet d'outils TCT, que nous avions
install auparavant sur le systme utilis
pour effectuer l'analyse. Cette commande
affichera quels fichiers taient utiliss et
en effet, comme nous l'avons voqu
au dbut, toute utilisation d'un fichier non
utilis d'habitude doit attirer notre attention.
Imaginons que nous avons dcouvert un
fichier appel telnetd , comme c'tait le
cas dans l'exemple analys ci-dessus.
Dans un premier temps, il faut s'assurer
qu'il s'agit d'un vrai serveur telnet.
La manire la plus simple consiste
gnrer la somme md5 pour ce fichier
et la comparer aux sommes md5
disponibles pour les fichiers de chaque
distribution des systmes, que vous
trouverez sur Internet. La commande
est la suivante : md5sum telnetd .
Nous comparons la somme la valeur
approprie en provenance de la base de
donnes correspondant au systme de
la distribution en question. Si les sommes
md5 sont diffrentes, il s'agit de deux
programmes diffrents. Il est galement
possible que le fichier telnetd soit en
ralit un autre fichier du systme donn,
par exemple /bin/login , ce qui permet
l'intrus de se connecter au systme
distance. Il faut donc vrifier si l'une
des sommes md5 correspond au fichier
analys. L'heure de la cration du fichier
donn est aussi importante. Elle nous
informe de la date probable o le systme
a t compromis.
L'tape suivante consiste analyser
les logs des interfaces rseau. Cette
dmarche nous permet souvent de
dterminer quels htes se sont connects
une date dtermine l'ordinateur sur
le port donn, par exemple sur le port o
coute le programme telnetd . Grce
l'adresse IP de cet hte, nous pouvons
vrifier s'il est prsent quelque part dans
les logs. En gnral il se trouve une
date infrieure, ce qui permet de voir quel
programme tait l'origine du systme
compromis. Simplement parlant, quelle
application contenait des failles permettant
l'attaquant de l'exploiter distance.
Lorsque nous connaissons l'origine
du systme compromis et la date de
l'vnement, nous pouvons passer une
analyse plus dtaille du programme
trouv. Ce n'est pas le sujet de notre
article, nous ne nous limiterons donc qu'
un bref aperu de possibilits disponibles.
L'analyse du programme suspect peut
tre divise en statique et dynamique.
L'analyse statique comprend tout ce
que nous pouvons faire sans lancer le
programme suspect. Nous pouvons faire la
commande strings pour afficher toutes les
suites de caractres dans le programme,
vrifier les bibliothques avec lesquelles il est
li de manire dynamique. La dernire tape
la plus difficile consiste dsassembler
le code du programme pour observer
en dtails son fonctionnement. C'est une
tche qui demande beaucoup de temps
et d'effort. Les connaissances excellentes
de l'assembleur sont absolument
indispensables.
L'analyse dynamique comprend
toutes les oprations que nous pouvons
effectuer lors du fonctionnement du
Listing 3. Lecture d'informations dans le journal du systme de fichiers
# tune2fs -l /dev/hda1 | grep -i journal
filesystem features: has_journal filetype needs_recovery sparse_super
Journal UUID: <none>
Journal inode: 8
Journal device: 0x0000
# icat /dev/hda1 8 > ~/fsJournal
programme analys. Elle comprend donc
de telles oprations que le dbogage
du programme en temps rel, son suivi
l'aide de la fonction systme strace .
Cette dmarche est toutefois lie avec un
risque de dtruire le systme sur lequel
nous travaillons. Les systmes virtuels
spciaux ont t donc crs des fins
d'une telle analyse. Ils essaient d'muler
le systme dtermin avec une plate-
forme matrielle donne pour tromper
au maximum le programme suspect.
Il est possible d'intercepter les appels
des fonctions systme, des interruptions
matrielles, l'accs aux interfaces rseau,
bref, tout ce dont ce programme a besoin
lorsqu'il est lanc dans un environnement
rel.
Connatre le fonctionnement du
programme suspect est un lment
important de l'analyse aprs l'attaque. Il
permet de se rendre compte quoi le
systme compromis a t utilis. Une
fois cette analyse effectue, nous devons
disposer de l'information sur la date
de l'vnement. Nous pouvons mme
connatre la date de la dernire connexion
de l'intrus dans le systme compromis.
Cette information suffit pour crer un
rapport d'une telle analyse.
Recherche d'informations
dans des endroits atypiques
Le dernier point abord dans notre article
est une sorte de curiosit : recherche
d'informations dans des endroits
atypiques.
Dans un premier temps, parlons du
journal du systme de fichier. L'accs y
est possible uniquement en appelant le
journal et son noeud intermdiaire, sans
les structures du systme de fichiers. Il faut
donc trouver, au moyen du programme
tune2fs pour le systme ext3, le
numro adquat du noeud intermdiaire
correspondant au journal du systme de
fichiers . Ensuite, l'aide du programme
icat (inode cat) du paquet TCK, nous
pouvons copier le contenu de ce nouvel
dans le fichier sur le disque dur. Il est
alors possible de parcourir le journal la
recherche de quelque chose d'intressant.
Une chose intressante consiste
aussi rechercher directement dans
la mmoire des systmes UNIX. Bien
videmment, cette dmarche est utile
seulement si nous avons rapidement
dcouvert l'attaque. Il est alors possible
de vrifier ce qui se trouve actuellement
dans la mmoire et filtrer les rsultats
la recherche des preuves. Pour ce
faire, nous pouvons utiliser un fichier-outil
spcial dans le rpertoire /dev il s'agit
de /dev/mem, donc la mmoire. l'aide
de la combinaison des commandes
cat /dev/mem | grep quelqueCho
seDintressant , nous parcourons la
mmoire du point de vue du contenu des
donnes importantes pour nous. Le Listing
3 prsente comment lire le journal du
systme de fichiers, la manire de le faire
est assez atypique. C'est pour cette raison
nous avons parl de cette opration dans
cette partie de l'article.
Conclusion
L'analyse aprs l'attaque est un outil
indispensable dans la situation o nous
sommes victime d'une cyberattaque.
Elle permet de dterminer la date de
l'vnement et les oprations qui ont
pu tre effectues dans le systme
compromis : pourquoi l'attaquant s'en est
servi ?. Ces informations sont ncessaires
si nous souhaitons nous protger contre
une nouvelle attaque de notre systme.
Nous esprons que les systmes que
vous administrez n'auront jamais besoin
d'tre soumis une telle analyse aprs
l'attaque.
Sur le Net :
http://www.porcupine.org/forensics/
forensic-discovery une excellente
publication relative l'analyse aprs
l'attaque,
http://www.porcupine.org/forensics/
tct.html The Coroner's Toolkit,
http://fr.wikipedia.org/wiki/Ext3
systme de fichiers ext3.
5/2009 HAKIN9 25