| LES
MENACES ET LES METHODES D'INTRUSION
Il
existe plusieurs méthodes d'intrusion et chaque leaktest
utilise une ou plusieurs de ces techniques pour démontrer
les vulnérabilités des firewalls.
Les
différentes méthodes existantes :
La
substitution
Le
programme utilise le nom d'une application autorisée
à accéder à Internet (ex :
utilise le nom iexplore.exe pour se substituer à
Internet Explorer) et se copie dans le même répertoire
que l'application substituée. Cette technique outrepasse
les firewalls qui se fondent sur des noms de fichier d'application
mais pas ceux qui se fondent sur des sommes de contrôle
(Hash MD5 en général).
Le
lanceur
Cette méthode permet à un processus d'accéder
à Internet en lançant une application autorisée
et lui envoie des paramètres en ligne de commande.
Comme le firewall considère que l'application est autorisée,
la requête d'accès à Internet est autorisée
puisque légitime.
Un bon firewall doit intercepter les requêtes provenant
d'un processus qui essaye d'en lancer un autre.
L'injection
de DLL
Cette méthode utilise un processus autorisé,
pour charger un fichier DLL malicieux. Après son chargement,
le code de la DLL devient une partie du processus autorisé.
et peut transmettre des données privées sur
le réseau tandis que le firewall considère cette
activité comme provenant d'un processus légitime.
Cette technique est souvent utilisée par les Troyens.
L'attaque
de synchronisation
Quand une requête non autorisée est détectée,
la plupart des firewalls la suspende et demande à l'utilisateur
si il désire l'autoriser ou la bloquer. Pour bloquer
un processus, le PID (process identifier) est requis. Les
programmes qui utilisent l'attaque de synchronisation transmettent
des données de façon irrégulière,
en changeant le PID après que chaque portion de code
qui est envoyée.
Les
règles par défaut
Beaucoup
de firewalls disposent d'un jeu prédéfini de
règles par défaut pour ne pas bloquer totalement
l'accès à Internet après être installé.
Les programmes malicieux peuvent utiliser à leur avantage
ces règles pour outrepasser le firewall.
Atteinte
directe de l'interface de réseau
Tout le trafic réseau dans un environnement Windows,
utilise par défaut la couche de pile Winsock TCP/IP.
Mais quelques programmes peuvent utilisés des couches
plus basses que la pile de réseau Windows et même
communiquer directement avec une interface réseau et
ainsi outrepasser le firewall.
Injection
de processus en mémoire
Cette technique d'attaque est une des plus difficile à
détecter. Un processus est généralement
constitué de plusieurs threads, lesquels accélère
l'exécution des processus.
Un programme malicieux peut injecter un nouveau thread qui
exécutera son propre code dans les threads d'un processus
de confiance, ce qui est encore plus difficile à détecter,
vu que le malware emploie un thread existant et modifie son
code pour accéder à Internet. Aucune DLL est
chargée ce qui rend ce type d'attaque difficile à
détecter.
La
requête récursive
Quelques malwares utilise un service système pour accéder
au réseau au lieu d'attaquer ou de modifier une application
de confiance.
|
