Archives de catégorie : Outils

Liste d’outils utilisables en SSI.

Anti-rootkits

chkrootkit

chkrootkit est un programme dont le but est de détecter la contamination d’une machine par un rootkit sur des machines de type Linux.

ossec

ossec comporte un module anti-rootkit.

rkhunter

rkhunter est un outil réputé de recherche de rootkit, fonctionnant sur Linux. Il permet de vérifier l’intégrité des principaux fichiers système (dont les commandes principales) et de s’assurer qu’aucun des principaux rootkits n’est pas installé sur le système concerné.

Installation

Sur Ubuntu, le paquet est inclus dans la distribution de base. Il suffit donc de taper :

sudo apt install rkhunter

Pour lancer une analyse, c’est aussi assez simple :

sudo rkhunter -c

Quelques remarques

Il faut tout d’abord s’assurer de la mise-à-jour de l’outil, car les techniques d’attaque évoluent.

sudo rkhunter --update

Ensuite, il faut garder à l’esprit qu’un rootkit va chercher à se dissimuler, et que certains vont chercher à corrompre rkhunter pour qu’il affiche que tout va bien ! Idéalement, l’intégrité de l’outil lui-même doit être vérifiée (ainsi que de sa base de référence), manuellement, par exemple. On peut aussi réinstaller l’outil à chaque lancement, à partir du site de référence. C’est très fastidieux, mais très utile.

Au 11 avril 2018, la signature de la version 1.4.6 était :

-----BEGIN PGP SIGNATURE-----
iQIcBAABAgAGBQJakfRfAAoJEOnF3FDROqqDFt0P/AkUyV2tBmXmiafikV3yschZ
qr0MsTMd7X+KMFQuA+tFsnJxJBP0AzjTiRF/5QYB6uLQnwyOWGb8rKe+cLmOO3//
uHWwEnOJba0JWGmdogbDVHOcZFzMV7UZQ2F7YrCiVzWdeW9pX1/nzP1yF7wkRaRW
fzm0CYC3DZ4CxNzsAK3wKu84kB0UwnR4wMIDp9W5RNgOmtOEEOJMk+BErxP2NaJ8
zC6uSlkWHT2gcEmCVNN5B4+BX1WHgkOCpobWfOEgV8dr16Np3FegZs3nBnwOvZK+
MuB1IefnwfhcIe1gkDlMPNTpfXv/fvIYyYy9Ki03PIG2Vk0E/s/1QnsBizAwBZMe
LkMz4wfIeoG2pASDPi13dIO9imApUQqPKdH57asTzDhbuODJHfvW1+89LqUpOCSH
BdleOHd425FwEmV7CFRV3rZlj92AWpCfhRJNFvT3D4mYitb/92i7bv12/vmGU/Sh
KlQ3uHPl0mJPMyT2GYXjEr+x729zPEhxWlCiv6kht/1A8CPwGlzHjKI7shay/aX1
V87J80eUG0NaQSjbg2wwpW1U05z78EDhshyrAyq2xbSkYyujHb4YPAKieMS6edu7
wX029+PDo343k7/D/Skoo2T6Pln542nlIlAi69S2JukC6rmSivcbpdQVKOvEkjAf
CSR8IYmLoAgchsxuvtgu
=aA1j
-----END PGP SIGNATURE-----

L’identité PGP du signataire était 0xe9c5dc50d13aaa83.

Site officiel

unhide

unhide est un outil système (Linux) permettant de traquer des processus cachés (trahissant généralement une tentative de dissimulation d’un rootkit).

Outils (Sécurisation)

En dehors des outils de base (comme les antivirus), il existe des outils ayant une action plus spécifique. Ils peuvent être utilisés en complément des méthodes de protection habituelles, pour des vérifications supplémentaires.

Pentest

10 outils de pen test pour hackers éthiques, selon le Monde :

Vérifier ses PDF

De nombreux programmes malveillants utilisent des pièces-jointes au format PDF pour s’installer et se propager. Les programmes anti-virus doivent normalement les détecter, mais il existe également des outils permettant spécifiquement de les tester et de les vérifier.

Outils grand public

Il suffit souvent de donner l’url du PDF à examiner ou de l’envoyer par le formulaire de la page web pour savoir si le PDF est réputé dangereux ou non.

Outils pour les spécialistes

Il s’agit d’outils en python et en ligne de commande…

Sources

Outils gratuits (?) des éditeurs

Voir aussi https://www.csoonline.com/article/3563872/10-more-free-security-tools-worth-a-look.html.

Outils proposés par l’ANSSI

  • CLIP OS, le système d’exploitation durci sur Linux que l’agence développe depuis 2006 et dont la version 5 désormais disponible est entièrement conçue sur une base open source ;
  • Wookey, disque dur USB chiffrant sécurisé ;
  • DFIR ORC (pour outil de recherche de compromissions), intégralement libre depuis 2019, il regroupe un ensemble d’outils qui permettent la
    recherche, l’extraction et la mise à disposition des données forensiques (analyse post-incident des données du système) en environnement Microsoft Windows ;
  • OpenCTI (Open Cyber Threat Intelligence), solution libre pour traiter et partager la connaissance en matière d’analyse de la cybermenace, né d’un partenariat entre l’ANSSI et le CERT-EU

Chasser les rootkits

Il ne s’agit pas de courir dans la montagne en faisant du bruit avec des casseroles : les rootkits sont des animaux dangereux mais on les trouve en général quand on ne les cherche pas, hélas.

C’est quoi, un rootkit ?

En simplifiant : c’est un ensemble d’utilitaires, ou d’utilités, qui viennent se greffer à votre insu dans votre système dans le but d’en prendre le contrôle ou au moins d’utiliser ses ressources à votre insu, et de manière sournoise et cachée. Comment ? En lançant des process cachés sous Windows, en modifiant le comportement de certaines commandes sous Linux, etc.

Un rootkit peut être installé par un hacker s’il découvre une faille, une vulnérabilité ou un accès non protégé, son but étant que la source des attaques ou des actes malveillants qu’il veut mettre en oeuvre partent d’une machine tierce et sans indice direct permettant de l’identifier. Souvent, la machine infectée devient une machine zombie,

Outils et applications

Voir aussi l’article http://www.esecurityplanet.com/network-security/slideshows/10-top-rootkit-scanners.html.

Rootkits

  • rkhunter
  • chk rootkit
  • unhide
  • RFX Network
  • System Integrity Monitor : http://www.rfxn.com/projects/system-integrity-monitor/
  • Process Ressource Monitor : http://www.rfxn.com/projects/process-resource-monitor/
  • Linux Socket Monitor : http://www.rfxn.com/projects/linux-socket-monitor/
  • Network Socket Inode Monitor : ?
  • Mebromi: the first BIOS rootkit in the wild :
    • http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/
    • http://www.symantec.com/security_response/writeup.jsp?docid=2011-090913-2903-99

DDoS Protection

  • DOS Deflate X
  • mod evasive

Binary protection

  • Libsafe
  • Tripwire
  • Snort
  • Wget/Lynx disabling…

Server auditors

  • Lynis
  • MySQL performance ??
  • On Guard

Analyse (forensics, debugging)

Sécurisation de librairies PHP

Détection

Il existe des programmes de détection et de prévention de rootkits spécifiques à Windows :

Il existe également des programmes de détection et de prévention de rootkits spécifiques à Windows :

  • chkrootkit de Nelson Murilo et Klaus Steding-Jessen (UNIX/Linux)
  • rkhunter de Michael Boelen (UNIX/Linux)
  • Zeppoo de ZeppooTeam (UNIX/Linux), renommé kernsh le 15 mai 2007, ce projet est maintenant intégré dans le framework ERESI (18 septembre 2007).
  • Trend Micro Rootkit Buster

Il est également utile de savoir que des outils dit anti-virus complètent leurs mécanismes de protection par de la détection de rootkits.

Sous Linux

Articles complémentaires

http://www.lesnouvelles.net/articles/chiffres/comparatif-antirootkit-epitech (lien obsolète)

SSL (et TLS)

Wifi

Web Application

  • Uniscan

A classer

Non classés

  • Malwarebytes Anti-Malware
  • G-DATA
  • BitDefender
  • Kaspersky
  • Avira AntiVir
  • AVG Anti-Virus
  • NOD32
  • F-ESET
  • DarkSpy
  • Avast!
  • Blacklight F-secure
  • Rootkit Hook Analyzer
  • Spybot S&D (Safer Networking)
  • RootAnalyser (Safer Networking)
  • GMER
  • ad-aware
  • HijackThis

Autres outils