1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
Nombre
d’intrusions
17 7 33 3 39 2 3 2 4 9 19 11 22 2 14 2 21
Fig. 4.26 – Nombre d’intrusions par grappe
Dans certains cas, un ˆetre humain peut mener une activit´e ne contenant que tr`es
peu de commandes. Les chances qu’il commette des fautes de frappe sont alors tr`es
faibles. De plus, un ˆetre humain minutieux peut faire extrˆemement attention `a la
saisie de commandes pour mener une saisie parfaite (sans faute de frappe). Dans ces
deux cas, du point de vue du pot de miel, la distinction entre un ˆetre humain et un
outil automatique est plus subtile. Pour r´ealiser cette distinction, nous consid´erons
la mani`ere dont les donn´ees sont transmises de la machine de l’intrus au pot de
miel. Nous pouvons noter que, pour les connexionsssh, la transmission des donn´ees
entre le client et le serveur est asynchrone. La plupart du temps, les impl´ementations
des clients du protocolesshutilisent la fonctionselect() pour obtenir les saisies de
l’utilisateur. Lorsque l’utilisateur presse une touche, cette fonction prend fin et le client
envoie le caract`ere correspondant au serveur. Notons que cette mani`ere de proc´eder est
n´ecessaire pour obtenir des impl´ementations r´eactives. En contre partie, des attaques
CHAPITRE 4. CARACT´ERISATION DES ATTAQUES OBSERV´EES SUR LE POT
DE MIEL HAUTE INTERACTION
statistiques existent pour inf´erer les touches press´ees par l’utilisateur[SWT01]. La
situation est diff´erente dans le cas d’un “copier-coller” dans le terminal de l’utilisateur
client. La fonctionselect()prend aussi fin mais le client ne se cantonne pas `a envoyer
les donn´ees caract`ere par caract`ere. Il envoie un tampon contenant l’int´egralit´e des
donn´ees issues du “copier-coller”. Ces transferts de donn´ees sont intercept´es par la
modification apport´ee `a la fonction tty_read() (cf. section 3.5.1). Nous admettons
que lorsque cette fonction retourne plus d’un caract`ere, les donn´ees ont ´et´e transf´er´ees
par “copier-coller”. Ainsi, une intrusion sans faute de frappe est r´ealis´ee par un outil
automatique si tous les ´echanges de donn´ees entre le client et le serveur se font bloc par
bloc. Cette implication constitue notre second crit`ere. Notons que, pour les intrusions
qui contiennent des transferts caract`ere par caract`ere, la pr´esence de transferts bloc
par bloc est vraisemblablement due `a des raccourcis clavier (tel que la s´equence de
codes ascii ^V).
Fig. 4.27 – Exemple de saisie avec une faute de frappe
Au niveau du pot de miel, les saisies de caract`eres des intrus sont intercept´ees au
niveau de la fonctiontty_read(). Ces saisies sont dat´ees. Elles constituent les donn´ees
auxquelles nous prˆetons attention dans la suite. Plus pr´ecis´ement, nous regroupons
les saisies de caract`eres par intrusion et nous les ordonnons par date. Nous sommes en
mesure de reconstituer ce que saisit et voit l’intrus sur son terminal. L’exemple de la
figure 4.27 pr´esente les donn´ees collect´ees au niveau de cette fonction si l’utilisateur
saisit la commandels avec une faute de frappe. Il saisit le caract`ere r au lieu des et
il utilise le caract`ere ^ ? pour corriger son erreur.
L’application de ces deux crit`eres sur les donn´ees nous a permis de classer les
in-trusions. Les r´esultats sont pr´esent´es sur la figure 4.28. Ainsi, 106 des 210 intrusions
contiennent des fautes de frappe. Ces 106 intrusions ont donc ´et´e r´ealis´ees par des
ˆetres humains. Pour les 104 intrusions r´ealis´ees sans faute de frappe, 47 d’entre elles
ont ´et´e men´ees caract`ere par caract`ere. La nature des intrus `a leur origine est
vrai-semblablement humaine. Quant aux autres intrusions, les activit´es correspondantes
ne sont pas assez importantes pour nous permettre de conclure sur la nature des
in-trus `a leur origine. Effectivement, elles contiennent uniquement une seule commande
d’un caract`ere, telle que w. Ainsi, plus des trois quarts des intrusions ont ´et´e r´ealis´ees
par des ˆetres humains. Le choix de la vuln´erabilit´e propos´ee aux attaquants (couples
(nom d’utilisateur, mot de passe) simples) est donc pertinent.
4.6.3 Les activit´es des intrus
Dans cette section, nous analysons les commandes lanc´ees par les intrus dans le
but d’identifier leurs objectifs. Elle consid`ere les 210 sessions. La premi`ere remarque
Fig. 4.28 – Nature des intrus
significative est que tous les intrus d´ebutent leur activit´e par le changement du mot
de passe des comptes qu’ils ont d´ecouverts. Changer le mot de passe leur permet
d’obtenir l’exclusivit´e du compte pour acc´eder `a la machine. Cette pratique est loin
d’assurer la furtivit´e des intrus : un administrateur syst`eme sait si une machine a
´et´e pirat´ee. La seconde remarque est que la plupart d’entre eux continuent par le
t´el´echargement de fichiers sur Internet.
La commande la plus souvent utilis´ee pour le t´el´echargement estwget. Ainsi, 96 des
210 intrusions l’ont employ´ee. Rappelons que les connexions sortantes sont bloqu´ees
ou redirig´ees. Dans tous les cas, une connexion vers un serveurweb ne peut aboutir.
Les intrus ont tout de mˆeme la possibilit´e d’initier des connexions dans l’autre sens. Ils
peuvent donc t´el´echarger leur fichier sur le pot de miel via la commandessh, et ce,
de-puis Internet. Il est int´eressant d’analyser le pourcentage d’intrusions pour lesquelles
les intrus ont r´eussi `a contourner le probl`eme de t´el´echargement. Aussi surprenant que
cela puisse paraˆıtre, seulement 30% des intrusions ont utilis´e des connexionsssh
inver-s´ees. Autrement dit, 70% des intrusions n’ont pas pu contourner ce probl`eme et ainsi
poursuivre leur activit´e. Trois explications nous semblent pertinentes. Pour la
pre-mi`ere explication, les intrus suivent des “recettes de cuisine”, disponibles sur Internet.
Ces recettes expliquent des m´ethodes d’attaques. La plupart du temps, elles emploient
la commandewgetpour le t´el´echargement de fichiers. Les intrus, qui ont appliqu´e ces
recettes mais qui n’ont pas r´eussi `a contourner le probl`eme de t´el´echargement, n’ont
pas forc´ement connaissance d’autres moyens de t´el´echargement de fichiers. De plus,
les intrus qui emploient ces recettes r´ealisent la plupart du temps un “coller” de
l’in-t´egralit´e de la recette dans son terminal. Pour la seconde explication, nous supposons
que le serveur sur lequel r´eside le fichier `a t´el´echarger ne supporte pas les connexions
avec la commandessh. Pour la derni`ere explication, l’intrus se doute de la supercherie
en constatant l’impossibilit´e de contacter des serveurswebsur Internet et ne poursuit
pas son activit´e par prudence. Etonnamment, la premi`ere explication semble ˆetre la
plus adapt´ee. Nous avons constat´e que plusieurs intrus ´echouent au t´el´echargement
via la commandewgetmais reviennent plusieurs jours plus tard en tentant `a nouveau
le t´el´echargement, avec la mˆeme commande. Certains de ces intrus sont mˆeme
reve-CHAPITRE 4. CARACT´ERISATION DES ATTAQUES OBSERV´EES SUR LE POT
DE MIEL HAUTE INTERACTION
nus plusieurs fois. Les concernant, nous pouvons affirmer deux points. Tout d’abord,
ils ne sont pas capables de comprendre pourquoi ce t´el´echargement ´echoue. Ensuite,
le probl`eme de t´el´echargement (bloquage des connexions r´ealis´ees par la commande
Dans le document
Observation, caractérisation et modélisation de processus d'attaques sur Internet
(Page 133-136)