Histoire d’une cyber-agression “HACK”

Je vais vous conter l’histoire de mon ami “GBen” qui a été victime d’un cyber-agresseur.

 

 

INTRODUCTION / CONTEXE

---

 

Nous travaillons actuellement à l’étranger et sommes logés dans un hôtel.

Comme dans la majorité des hôtels, une connexion WiFi gratuite (sans login/mdp) est disponible.

GBen possède un ordinateur portable :

– OS : Windows XP non officiel
– antivirus : Panda
– spybot search and destroy gratuit

 

 

 

Premiers signes

---

---

15h59 – Réception d’un mail PayPal

Peu de temps avant notre départ du travail, GBen reçoit un mail de PayPal concernant un virement de 200 euros vers une personne qu’il ne connait pas. Le mail contenant paypal.fr, ce dernier pense à une arnaque et le bascule dans les SPAMs. Sûr de lui, il n’évoque pas la moindre inquiétude.

 

16h17 – Inquiétude

Finalement pas si sûr de lui, il veut checker son compte PayPal. Il n’arrive pas à s’y connecter mais ne sait pas si l’erreur vient de lui ou si il a juste oublié son mot de passe. Petite sueur mais bon on est bientôt rentré alors il se réconforte en se disant que depuis son PC il pourra en savoir d’avantage.

 

16h39 – Fracture oculaire

GBen rentre dans sa chambre, pressé d’en savoir plus, ouvre son ordinateur et tombe sur une image particulièrement généreuse (un fond d’écran d’un ton douteux exhibant une femme approchant le quintal en petite tenue sur une moto…).

“Ah quel est le c** qui a fait ça, c’est un coup d’Eric ça !!!”

Et voilà ! Tout de suite, je suis victime d’un amalgame. Certes je trouve un certain intérêt au monde numérique et j’aime faire de mauvaise blague mais tout de même…

 

16h47 – Dring dring

Le téléphone de ma chambre sonne, je décroche :

“C’est toi qui a changé mon fond d’écran ??? Tu n’as rien d’autre a faire sérieux ???”

Quelques échanges plus tard, il m’annonce que Spybot a terminé son analyse et qu’il a des trucs en rouges…

 

16h53 – Des signes qui ne trompent pas

J’arrive dans sa chambre et je cherche le dossier dans lequel a été stocké le fond d’écran :

C:\Users\Gben\AppData\Roaming

Je lui glisse un léger “ça pue mec“… Et la BIM :  une image “anonymous” (comme il en existe des milliers sur le net) nous saute au yeux avec la visionneuse windows. Je jette un léger coup d’œil aux connexions en cours et remarque tout de suite que toutes les portes sont ouvertes… Allez on coupe tout et on analyse.

Je briefe rapidement GBen sur l’état actuel des choses :

– Quelqu’un possède un accès à son ordinateur soit de l’extérieur soit par le wifi gratuit
– Tu peux déjà te dire que le mec t’a potentiellement tout pris
– Tu te sens violé… C’est la merde mais peut-être qu’il est toujours en train de te violer alors ne traine pas, il faut agir !!!

 

16h58 – Un dialogue qui met dans le bain

– Heu… Eric… C’est bizarre, j’ai reçu ce mail de Paypal tout à l’heure… Je pensais que c’était un faux alors je l’ai basculé dans les SPAMs, mais je viens d’en recevoir un deuxième et grâce au PC je sais que ce n’est pas du pipeau…

– Whhaaattt ??!!! Franchement pourquoi tu n’as pas vérifié direct avec ton portable ?

– J’ai essayé mais je ne me souvenais plus de mon mot de passe alors j’ai préféré attendre d’être rentré car tout mes identifiants et mots de passe sont enregistrés dans mon navigateur.

– Mec, je ne suis pas un expert mais en gros : tu as un mec qui vient de cambrioler ton appart’ numérique, il a peut-être même récupérer tout tes papiers, bon certes il aurait pu faire plus de mal car il nous a mis le fond d’écran ce qui nous a averti de sa présence, mais bon en ce moment il se ballade sur le net avec ton identité !!!!

Pris d’un élan de Sherlock Holmes, je me lance dans une cyber enquête pendant que Gben contacte sa banque et modifie tous ses mots de passe.

 

 

A la recherche de preuves

---

---

Analyse de Spybot

Ce logiciel permet de rechercher les spywares, adwares ou trojan présents dans votre système.

Je récupère l’analyse effectué par GBen et fait les comptes :

Ni plus ni moins de 5 RAT (Remote Access Trojan) dans le même dossier “C:\Users\Gben\AppData\Roaming” que celui des images importer par l’agresseur. Voici un de ces RATs :

RAT.PinMon: [SBI $36F1A822] Data (File, nothing done)
C:\Users\Gben\AppData\Roaming\dclogs\2018-10-21-1.dc
Category=Trojans
ThreatLevel=10
Weblink=http://forums.spybot.info/showthread.php?74416
Properties.size=4821
Properties.md5=F630059BDFC04917FDD1B51A8C6BFCF7
Properties.filedate=1540159224
Properties.filedatetext=2018-10-21 22:00:23

“Ouais cool Eric mais c’est quoi un RAT ??”

 

RAT

 

Qu’est ce qu’un RAT ?

RAT = Remote Acces Trojan

Ce trojan, installé par la victime, dissimulé dans une faille (souvent des mises à jour que la victime va facilement accepté), permet d’obtenir un accès à distance avec les privilèges administrateur de la victime.

Une fois le lien en place, l’agresseur a accès à l’intégralité de votre système, exemple :

– la totalité des fichiers (photos, fichiers personnels comme des relevés de compte ou des photocopies de pièces personnelles)
– la Webcam
– le micro
– la modification des bases de registre
– l’installation de programmes

“Oh abusé, bon par contre tu parles un peu chinois là… C’est quoi un trojan ?”

 

Trojan

C’est la pause “mythologie grecque” du professeur Eric :

Pendant dix ans, une armée s’est cassée les dents a essayer de prendre la ville de Troie sans jamais y parvenir. Alors, un gonze appelé Ulysse a eu une idée : “On va construire un putain de cheval en bois à leur offrir et on va se cacher dedans pour entrer dans la ville en même temps”…

Bon l’idée est un peu grosse mais il faut se remettre dans le contexte, ça fait dix ans qu’ils galèrent… Du coup pourquoi pas ?

Ulysse offre ce cheval aux troyens. Deux qui se sont méfier : Laocoon et Cassandre, mais bon, Ulysse a annoncé “Je vous offre ceci en guise de trêve, si vous l’acceptez, on arrête de vous attaquer, et en plus on vous file des vivres et des femmes.”

Alléchant ! Alors les troyens ont accepté le cheval, et après avoir surveiller que les mecs se tirent, ils ont baissé leur garde et se la sont collée ! BBQ, femmes et alcool à gogo !!!!

Une fois les troyens bien rognés, les quelques soldats d’Ulysse sont sortis du cheval et ont ouvert la porte !!!! Ulysse et ses potos ont débarqué et ont zigouillé toute la viande saoule qui trainaient là !!!!

 

Voici ce qu’est un cheval de Troie (Trojan horse en anglais) :

C’est une fonctionnalité malveillante, cachée dans un logiciel ou une mise à jour qui sera installée avec l’accord de l’utilisateur bien sûr.

 

Historique du navigateur

Ce dernier n’est pas à négliger, je n’ai pas la connaissance nécessaire pour affirmer qu’un hackeur puisse ou non récupérer les mots de passe présent dans Chrome sachant que ces derniers sont encryptés avant d’être stockés dans le système.

 

 

Lors de nos recherches, il a fallu réfléchir à l’heure, car là où nous sommes nous avons 6h de moins qu’en France, et GBen a laissé l’heure française sur son PC.

15h56 heure locale = 21h56 heure FR

 

On fait le lien avec le mail de PayPal confirmant le virement à 15h59.

 

15h59 heure locale = 21h59 heure FR

 

On en conclut que l’attaquant n’a peut-être pas les compétences pour récupérer les mots de passe mais a simplement utilisé le navigateur et laissé faire le remplissage automatique. Nous avons recensé tous les identifiants et mots de passe présents dans la base de données de Chrome afin que GBen liste toutes ses actions de modification de mots de passe a effectuer (car il en restait par rapport à ses premières actions).

 

Traqueur d’activité

J’ai recours à un logiciel libre dont parle le blog du hackeur que vous retrouverez ici.

 

1. Jour de l’agression

J’ai observé l’activité lors de son absence et je n’ai trouvé que :

==================================================
Action Time : 23/10/2018 22:09:53 ---> Heure locale = 16h09
Description : Task Run
Filename : dimsjob.dll
Full Path : C:\Windows\system32\dimsjob.dll
More Information : SystemTask, \Microsoft\Windows\CertificateServicesClient\SystemTask
File Extension : dll
==================================================

==================================================
Action Time : 23/10/2018 17:37:53  ---> Heure locale = 11h37
Description : Run .EXE file
Filename : makecab.exe
Full Path : C:\Windows\SysWOW64\makecab.exe
More Information : Microsoft Corporation, Microsoft® Windows® Operating System, Microsoft® Cabinet Maker, 6.1.7600.16385 (win7_rtm.090713-1255)
File Extension : exe
==================================================

Après quelques recherches, il s’avère que makecab.exe est un fichier souvent facilement infecté, par contre, le “dimsjob.dll” aura un comportement particulier et attise ma curiosité (si jamais quelqu’un veut que je lui envoie afin qu’il puisse le décompressé et l’analyser, j’en serais ravi).

 

2. Jour de l’installation du RAT

Ce dernier me permet de pouvoir remonter à la première infection du RAT le 12 octobre 2018.

==================================================
Action Time : 12/10/2018 16:17:55
Description : System Shutdown
Filename :
Full Path :
More Information :
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:17:54
Description : User Logoff
Filename :
Full Path :
More Information : Gben-PC\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:05:12
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, d597027d-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:05:09
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, d3e2e37a-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:53
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, ca3f3fa9-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:48
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, c733f00f-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 15:46:20
Description : Software Installation
Filename : FlashUtil32_31_0_0_122_pepper.exe
Full Path : C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_31_0_0_122_pepper.exe
More Information : Adobe Flash Player 31 PPAPI
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:43:47
Description : Task Run
Filename : sc.exe
Full Path : C:\Windows\system32\sc.exe
More Information : SvcRestartTask, \OfficeSoftwareProtectionPlatform\SvcRestartTask
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:36:00
Description : User Logon
Filename :
Full Path :
More Information : WORKGROUP\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 15:35:42
Description : System Started
Filename :
Full Path :
More Information :
File Extension :
==================================================

Deux programmes ont été exécuté :

– sc.exe
– Une mise à jour d’Adobe

N’oublions pas que le trojan est dissimulé dans un logiciel bénin.

 

 

Enquête

---

---

 

TcpView

Afin d’être certains de cette connexion, nous avons mis en place un analyseur de connexions qui nous permit donc d’analyser les portes ouvertes dans notre connexions Internet.

 

Grâce au site Web whois, nous avons récupéré les informations nécessaires à l’identification du lien TCP qui appartient à la société Panda, mais on peut observer une adresse qui envoie un SYN_SENT afin d’avertir une adresse distante, voici les informations révélées par whois :

 

inetnum: 176.162.192.0 – 176.175.255.255
netname: BOUYGTEL
descr: Bouygues Telecom Division Mobile
descr: Pool for APN 2G/3G/4G End users
country: FR
admin-c: NOCB2-RIPE
tech-c: NOCB2-RIPE
status: ASSIGNED PA
mnt-by: BYTEL-MNT
mnt-lower: BYTEL-MNT
created: 2017-03-13T08:32:18Z
last-modified: 2017-03-13T08:32:18Z
source: RIPE

Nous pensons avoir trouvé le coupable car les adresses destinataires des virements PayPal étaient à connotations françaises.

 

 

Dépannage

---

---

Voilà, il est quasiment minuit et nous avons fait un bon bout de chemin ce soir. Cependant nous n’avons pas assez d’éléments (et sûrement pas assez de compétences dans le domaine) pour aller plus loin.

Nous attaquons la réparation du laptop de GBen :

– extraction et nettoyage des données sensibles et personnelles de Gben (analyse avec Avast et spybot)
– formatage de la bête
– installation d’un ubuntu, (ça lui suffira, et ce sera plus sûr qu’un logiciel XP non officiel)

 

 

 

CONCLUSION

---

 

GBen et moi-même ne sommes pas des experts en cyber-attaques et pourtant cette histoire va nous servir. Faites attention à votre “vie numerique”, car notre environnement (personnel et professionnel) est de plus en plus dépendant du cyberespace (Internet).

 

Nous avons créé un moyen mémo technique, il faut “mettre du SAVON“ :

-> Source : Toujours vérifier les liens, les adresses de sites Web, n’insérer jamais de clef usb dont vous ne connaissez pas la source (clef trouvé par exemple)

-> Analyse : Je conseille d’effectuer une analyse mensuelle à l’aide d’un anti-virus, un anti-malware et un anty-spyware

-> Vpn : Protection de votre identité et surtout lorsque vous utilisez une connexion WiFi gratuite (je vais rédiger un article sur ce risque)

-> Officiel : N’utilisez que des programmes officiels et mettez les à jour régulièrement

-> Naïf : L’utilisateur l’es toujours !!! L’erreur humaine est souvent la cause première d’une infection. Prenez conscience et intéressez vous au monde numérique et surtout aux risques qui y sont liés !!!

 

Merci à GBen d’avoir accordé au site le droit de raconter son histoire et merci au blog du hackeur qui est devenu pour moi un site de référence.

 

En espérant que cette mésaventure puisse vous servir à ne pas vivre pareil !

N’hésitez pas à me la faire savoir !!

FingerInTheNet