CyberSécurité

Hack d’un jour

Auteur

Eric JOUFFRILLON

Date

29 octobre 2018

Commentaires

0

CyberSécurité

Histoire d’une cyber-agression « HACK »

 

Je vais vous conter l’histoire de mon ami « GBen » qui a été victime d’un cyber-agresseur.

 

Contexte


 

Nous travaillons actuellement à l’étranger et sommes logés dans un hôtel.

Comme dans la majorité des hôtels, une connexion wifi gratuite (sans login/mdp) est disponible.

GBen possède un ordinateur portable:

– OS: Windows XP non officiel;
– Antivirus: Panda;
– Spybot search and destroy gratuit.

 

PREMIERS SIGNES


 

15h59 – Réception d’un mail paypal

Peu de temps avant notre départ du travail, , GBen reçoit un mail de paypal concernant un virement de 200 euros vers une personne qu’il ne connait pas. Le mail contenant paypal.fr, ce dernier pense à une arnaque et le bascule dans les SPAMs. Sûr de lui, il n’évoque pas la moindre inquiétude.

 

16h17 – Inquiétude

Finalement pas si sûr de lui, il veut checker son compte paypal. Il n’arrive pas à s’y connecter mais ne sait pas si l’erreur vient de lui ou si il a juste oublié son mot de passe. Petite sueur mais bon on est bientôt rentré alors il se conforte en se disant que de son PC il pourra en savoir plus.

 

16h39 – Fracture oculaire

GBen rentre dans sa chambre, pressé d’en savoir plus, ouvre son ordinateur et tombe sur une image particulièrement généreuse (un fond d’écran d’un gouteux exhibant une femme en petite tenue approchant le quintal sur une moto).

« Ah quel est le c** qui a fait ça, c’est un coup d’Eric ça!!! »

Voila… Tout de suite, je suis victime d’un amalgame. Certes je trouve un certain intérêt au monde numérique et j’aime faire de mauvaise blague…

 

16h47 – Dring dring

Le téléphone de ma chambre sonne, je décroche:

« C’est toi qui a changé mon fond d’écran??? Tu n’a rien d’autre a faire, sérieux??? »

Quelques échanges plus tard, il m’annonce que spybot a terminé son analyse et qu’il a des trucs en rouges

 

16h53 – Des signes qui ne trompent pas

J’arrive dans sa chambre et je cherche le dossier dans lequel a été stocké le fond d’écran:

C:\Users\Gben\AppData\Roaming

Je lui glisse un léger « çà pue mec« … Et la BIM:  une image « anonymous » (comme il existe des milliers sur le net) nous sautes au yeux avec la visionneuse windows. Je jette un léger coup d’œil au connexion en cours et remarque tout de suite que toutes les portes sont ouvertes…. Allez on coupe tout et on analyse.

Je brief rapidement GBen sur l’état actuel des choses:

– Quelqu’un possède un accès à son ordinateur soit de l’extérieur soit par le wifi gratuit;
– Tu peut déjà te dire que le mec t’a potentiellement tout pris;
– Tu te sens violé… c’est la merde mais peut être qu’il est toujours en train de te violer alors traine pas il faut agir!!!

 

16h58 – Un dialogue qui met dans le bain

– Heu… Eric… c’est bizarre j’ai reçu ce mail de paypal tout à l’heure… je pensais que c’était un faux alors je l’ai basculé dans les spam… mais je viens d’en recevoir un deuxième et grâce au PC je sais que ce n’est pas du pipeau….

Whhaaattt??!!! Franchement pourquoi tu n’a pas vérifier direct avec ton portable?

– J’ai essayé mais je ne me souvenais plus de mon mot de passe alors j’ai préféré attendre d’être rentré car tout mes identifiants et mot de passes sont enregistrés dans mon navigateur.

– Mec, je ne suis pas un expert mais en gros: tu a un mec qui vient de cambrioler ton appart numérique, il a peut être même récupérer tout tes papiers, bon certes il aurait pu faire plus de mal car il nous a mis le fond d’écran mais bon en ce moment il se ballade sur le net avec ton identité!!!!

Pris d’un élan de sherlock holmes je me lance dans une cyber enquête pendant que Gben contact sa banque et modifie tout ses mot de passes.

 

A LA RECHERCHE DE PREUVES


 

Analyse de spybot

 

Ce logiciel permet de rechercher les spywares, adwares ou Trojan présents dans votre système.

Je récupère l’analyse effectué par GBen et fait les compte:

ni plus ni moins de 5 RAT « Remote Access Trojan » dans le même dossier « C:\Users\Gben\AppData\Roaming » que les images importer par l’agresseur. Voici un de ces RAT:

RAT.PinMon: [SBI $36F1A822] Data (File, nothing done)
C:\Users\Gben\AppData\Roaming\dclogs\2018-10-21-1.dc
Category=Trojans
ThreatLevel=10
Weblink=http://forums.spybot.info/showthread.php?74416
Properties.size=4821
Properties.md5=F630059BDFC04917FDD1B51A8C6BFCF7
Properties.filedate=1540159224
Properties.filedatetext=2018-10-21 22:00:23

 

« Ouais cool Eric mais c’est quoi un RAT?? »

RAT

 

 

Qu’est ce qu’un RAT? Remote Acces Trojan

C’est trojan, installé par la victime, dissimulé dans une faille (souvent des mise à jour que la victime va facilement accepté), permet d’obtenir un accès à distance avec les privilèges administrateur de la victime.

Une fois le lien en place, l’agresseur a accès à l’intégralité de votre système, exemple :

– la totalité des fichiers (photos, fichiers personnels comme des releve de compte ou des photocopie de pièces personnelles);
– la webcam;
– le micro;
– la modification des bases de registre;
– l’installation de programmes.

« Oh abusé, bon par contre tu parle un peu chinois…. c’est quoi un trojan« 

Trojan

 

C’est la pause mythologie grecque du professeur Eric:

 

Pendant dix ans, une armée s’est cassée les dents et n’a pas réussi à prendre la ville de Troie. Alors y a un gonze appelé Ulysse a eu une idée:  » on va construire un putain de cheval en bois et on va se cacher dedans »…

Bon l’idée est un peu grosse mais faut se remettre dans le contexte, ça fait dix ans qu’ils galèrent.. du coup ils acceptent…

Ulysse leur offre. Y en deux qui se sont méfier Laocoon et de Cassandre mais bon Ulysse il a annoncer « je vous offre ceci en guise de trêve, si vous acceptez on arrête de vous attaquer, en plus on vous file des vivres et des femmes. »

Du coup les troyens, ils ont pris le cheval, ils ont surveiller que les mecs se tirent et ils se la sont collées. BBQ, femmes et alcool a gogo!!!!

Une fois les troyens bien rognés les quelques soldats sont sortis du cheval et ouvert la porte!!!! Ulysse et ses potos ont débarqués et zigouillés toute la viande saoule qui trainaient!!!!

 

Voici ce qu’est un cheval de troie (Trojan horse en anglais):

C’est une fonctionnalité malveillante cachée dans un logiciel ou une mise a jour qui sera installé avec l’accord de l’utilisateur bien sûr.

 

Historique du navigateur

 

Ce dernier n’est pas à négliger, je n’ai pas la connaissance nécessaire pour affirmer qu’un hackeur puisse ou non récupérer les mot de passe présent dans chrome sachant que ces derniers sont encryptés avant d’être stockés dans le système.

 

 

Lors de nos recherches, il a fallu réfléchir à l’heure car nous avons 6h de moins que la France et GBen a laissé l’heure française sur son PC.

 

15h56 local = 21h56 heure FR

 

On fait le lien avec le mail de paypal confirmant le virement à 15h59.

 

15h59 local = 21h59 heure FR

 

On en conclue que l’attaquant n’a peut pas être pas les compétences pour récupérer les mots de passe mais a simplement utilisé le navigateur et laissé faire le remplissage automatique. Nous avons recensés tous les identifiants et mot de passes présent dans la base de données de chrome afin que GBen liste toutes ses actions de modification de mot de passe a effectuées (car il en restait par rapport à ses premières actions).

 

Traqueur d’activité

 

J’ai recours à un logiciel libre dont parle le blog du hackeur que vous retrouverez ici.

 

Présentation lastactivtyview

Jour de l’agression

 

J’ai observé l’activité lors de son absence et je n’ai trouvé que:

==================================================
Action Time : 23/10/2018 22:09:53 ---> Heure locale = 16h09
Description : Task Run
Filename : dimsjob.dll
Full Path : C:\Windows\system32\dimsjob.dll
More Information : SystemTask, \Microsoft\Windows\CertificateServicesClient\SystemTask
File Extension : dll
==================================================

==================================================
Action Time : 23/10/2018 17:37:53  ---> Heure locale = 11h37
Description : Run .EXE file
Filename : makecab.exe
Full Path : C:\Windows\SysWOW64\makecab.exe
More Information : Microsoft Corporation, Microsoft® Windows® Operating System, Microsoft® Cabinet Maker, 6.1.7600.16385 (win7_rtm.090713-1255)
File Extension : exe
==================================================

Après quelques recherches makecab.exe est souvent un fichier facilement infecté, par contre le « dimsjob.dll » aura un comportement particulier et attise ma curiosité.

Si jamais quelqu’un veut que je lui envoie afin qu’il puisse de décompressé et l’analyser, j’en serais ravi.

 

Jour de l’installation du RAT

 

Ce dernier me permet de pouvoir remonter à la première infection du RAT le 12 octobre 2018.

==================================================
Action Time : 12/10/2018 16:17:55
Description : System Shutdown
Filename :
Full Path :
More Information :
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:17:54
Description : User Logoff
Filename :
Full Path :
More Information : Gben-PC\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:05:12
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, d597027d-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:05:09
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, d3e2e37a-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:53
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, ca3f3fa9-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:48
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, c733f00f-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 15:46:20
Description : Software Installation
Filename : FlashUtil32_31_0_0_122_pepper.exe
Full Path : C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_31_0_0_122_pepper.exe
More Information : Adobe Flash Player 31 PPAPI
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:43:47
Description : Task Run
Filename : sc.exe
Full Path : C:\Windows\system32\sc.exe
More Information : SvcRestartTask, \OfficeSoftwareProtectionPlatform\SvcRestartTask
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:36:00
Description : User Logon
Filename :
Full Path :
More Information : WORKGROUP\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 15:35:42
Description : System Started
Filename :
Full Path :
More Information :
File Extension :
==================================================

Deux programmes ont été exécutés:

– sc.exe;
– une mise à jour d’adobe.

N’oublions pas que le trojan est dissimulé dans un logiciel bénin.

 

ENQUÊTE


 

TcpView

 

Afin d’être certains de cette connexion, nous avons mis en place un analyseur de connexions qui nous permet donc d’analyser les portes ouvertes dans notre connexions internet.

 

Grâce au site web whois, nous avons récupérer les informations nécessaires à l’identification du lien TCP appartient à la société Panda mais on peut observer une adresse qui envoie un SYN_SENT afin d’avertir une adresse distante, voici les informations révélées par whois:

 

inetnum: 176.162.192.0 – 176.175.255.255
netname: BOUYGTEL
descr: Bouygues Telecom Division Mobile
descr: Pool for APN 2G/3G/4G End users
country: FR
admin-c: NOCB2-RIPE
tech-c: NOCB2-RIPE
status: ASSIGNED PA
mnt-by: BYTEL-MNT
mnt-lower: BYTEL-MNT
created: 2017-03-13T08:32:18Z
last-modified: 2017-03-13T08:32:18Z
source: RIPE

Nous pensons avoir trouvé le coupable car les adresses destinataires des virements PayPal étaient à connotation française.

 

DÉPANNAGE


 

Voila, il est quasiment minuit et nous avons fait un bon bout de chemin ce soir. Cependant nous n’avons pas assez d’éléments (et surement pas assez de compétences dans le domaine) pour aller plus loin.

Nous attaquons la réparation du laptop de GBen:

Extraction et nettoyage des données sensibles et personnelles de Gben (analyse avec avast et spybot);
Formatage de la bête;
Installation d’un ubuntu, ça va lui suffire et ça sera plus sûr qu’un logiciel XP non officiel.

 

CONCLUSION


 

GBen et moi-même ne sommes pas des experts en cyber et pourtant cette histoire va nous servir. Faites attention à votre vie « numerique » car notre environnement (personnel et professionnel) est de plus en plus dépendant au cyberespace (internet).

 

Nous avons créer un moyen mémo technique, il faut mettre du SAVON:

Source: toujours vérifier les liens, les adresses de sites web, n’insérer jamais de clef usb dont vous ne connaissais pas la source (clef trouvé par exemple)

Analyse: je conseil d’effectuer une analyse mensuel à l’aide d’un anti-virus, un anti-malware et un anty-spyware.

Vpn: protection de votre identité et surtout lorsque vous utilisez une connexion wifi gratuite (je vais rédiger un article sur ce risque)

Officiel: N’utiliser que des programmes officiels et mettez les à jour

Naïf: l’utilisateur l’es toujours!!! L’erreur humaine est souvent la cause première d’une infection. Prenez conscience et interessez vous au monde numerique et surtout aux risques liés!!!

 

Merci à GBen d’avoir accordé au site le droit de raconter son histoire et merci au blog du hackeur qui est devenu pour moi un site de référence.*

 

eric jouffiron

Spécialiste système et support de télécommunication
10 ans d’expérience

Formateur Système de télécommunication spatiale
3 ans d’expérience

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

un × deux =

%d blogueurs aiment cette page :