Case-Study3-Forensicréseau

Attaque d'une connexion VPN

1. Objectifs de l’étude de cas

Le but de cet exercice est d’analyser les traces d’une attaque qui a ciblé le réseau central d’un aéroport.

2. Contexte

Un aéroport fait appel à un prestataire pour maintenir les applications de son réseau central. L'aéroport
utilise des connexions VPN pour l'accès à distance. Avec ces connexions VPN, les entreprises externes
ont accès au réseau central de l'aéroport. "IT System Administrators Europe" (ITSAEU) est une société
fictive qui effectue la maintenance sur l'un des serveurs de bases de données des aéroports et sur les
applications. Bob, un employé de l'ITSAEU, utilise une connexion VPN pour la maintenance. La
connexion VPN donne accès à l'ensemble du réseau central de l'aéroport.

3. Scénario

Un hacker veut s'introduire dans l'une des applications de l'aéroport. via une session VPN d’un agent de
maintenance.

Bob est chargé de la maintenance des applications de l'aéroport. Il utilise la connexion VPN de
l'aéroport. Bob termine son travail à 17h00, verrouille son ordinateur et quitte le bureau de l'ITSAEU.

Juste après 18h00, un pirate informatique compromet l'ordinateur de Bob, active le Bureau à distance
(RDP) et crée un nouveau compte (caché). Le pirate se connecte à l'ordinateur de Bob via le bureau à
distance avec le compte nouvellement créé. Il y a une icône OpenVPN sur le bureau avec un statut
inactif. Le pirate examine la configuration actuelle de la table de routage de l'ordinateur pour voir si
l'ordinateur dispose toujours d'une connexion VPN active initiée par un administrateur. L'ordinateur
dispose d'une connexion VPN active et a accès aux réseaux privés de l'aéroport.

Un outil d'analyse de port en ligne de commande appelé "Nmap" est téléchargé sur l'ordinateur. Le pirate
lance l'analyse (via la connexion VPN) pour rechercher des machines connectées. Afin de ne pas se faire
remarquer, il configure le scanner “nmap” de manière à ce que le pentesting s’effectue lentement. Quatre
adresses IP ont été trouvées sur le réseau de l'aéroport et font l'objet d'une enquête plus approfondie.

Trois adresses IP ont des ports ouverts qui indiquent des serveurs Web. L'un des serveurs Web contient un
site Web lié à un serveur de base de données. Il s'agit d'une application web de maintenance de bases de
données appelée "phpMyAdmin". Le pirate utilise des mots de passe fréquemment utilisés mais ne peut
pas se connecter. Les noms "Bob" et "ITSAEU" sont répertoriés sur la page principale du serveur Web du
serveur de base de données. Le pirate utilise la combinaison de ces noms pour se connecter avec succès.
Une fois connecté, une exportation de base de données est effectuée et dump téléchargé sur l'ordinateur de
Bob.

Le pirate regarde le deuxième serveur Web Horaire. Il utilise des mots de passe bien connus
fréquemment utilisés, mais ils ne fonctionnent pas. L'aéroport surveille les tentatives de
connexion infructueuses dans les fichiers journaux. Lorsque la valeur seuil est dépassée, une
notification est envoyée aux administrateurs système de l'aéroport.

1/17
 Case-Study3-Forensicréseau

A 22h50, les administrateurs système de l'aéroport sont avertis que quelqu'un essaie de se
connecter au tableau de bord de l'application horaire avec le nom d'utilisateur "admin" mais
avec un mauvais mot de passe. Les administrateurs consultent les journaux du serveur Web du
serveur AirtPortSys1 et le journal du serveur VPN. Ils découvrent que les tentatives de
connexion incorrectes proviennent de la connexion VPN de Bob.

En raison de l'heure tardive et plutôt inhabituelle pour que les administrateurs de l'ITSAEU se
connectent, les administrateurs de l'aéroport ont été avertis que quelque chose d'étrange se
passait. Bob est digne de confiance, mais le trafic suspect passe par sa connexion VPN. Ils
pensent que sa connexion VPN pourrait être compromise. L'aéroport sécurise le journal du
réseau actuel, le journal VPN et le journal du serveur Web. Ils contactent également l'ITSAEU
et reçoivent les journaux réseau pertinents du routeur ITSAEU. L'ITSAEU ne trouve aucune
trace sur l'ordinateur de Bob.

Les fichiers journaux suivants sont collectés :

● routerairport_20180726_enp0s8.pcap
● routeritsaeu_20180726_enp0s8.pcap
● openvpn.log (serveur VPN de l'Aéroport)
● access_log (serveur Web aéroport AirPortSys1)

Le pirate utilise le framework Metasploit. Une fois l'ordinateur de Bob compromis, un nouveau compte est créé et
Windows Remote Desktop est activé.

2/17
 Case-Study3-Forensicréseau

Affichage du script Metasploit

Création d’un utilisateur “tmpguest”

Le pirate remarque l'icône OpenVPN lorsqu'il se connecte via le bureau à distance. Les
réseaux 10.20.30.0/24 et 10.20.31.0/24 ont été trouvés en consultant la configuration IP et
la table de routage IPv4.

Icône de l’outil “OpenVPN”

Un scanner de port en ligne de commande “Nmap” est téléchargé sur l'ordinateur de Bob. Pour
trouver les hôtes actifs, le pirate lance une analyse des ports. Le pirate analyse d'abord la plage

3/17
 Case-Study3-Forensicréseau

réseau 10.20.30.0/24. Pour éviter les systèmes de détection d'intrusion (IDS), le scanner est
effectué très lentement. De cette façon, il a fallu plus de 4 heures pour trouver lequel des 256
hôtes est actif. Plus l'analyse dure, plus les chances que le pirate soit détecté par Bob
augmentent. Cependant, le Hacker prend le risque car il suppose qu'il est moins susceptible
d'être découvert en dehors des heures de bureau.

Lancement d’un scan de port utilisant “nmap”

La sortie de l'analyse Nmap montre les quatre machines trouvées par l'analyse.

4/17
 Case-Study3-Forensicréseau

Quatre machines trouvées

Le pirate explore les services sur les IP actives en effectuant un nouveau scan. Il continue un
scan de port pour chaque IP trouvée pour les ports tcp:22 (ssh), tcp:80 (http) et tcp:443
(https).

Résultat de scan de ports

Les adresses IP 10.20.30.1, 10.20.30.71 et 10.20.30.189 ont des ports ouverts pour tcp:80
et tcp:443, cela suppose que les serveurs Web sont en cours d'exécution. L'adresse IP
10.20.30.189 est celle du serveur Web. Une interface Web de gestion de base de données.

5/17
 Case-Study3-Forensicréseau

Interface Web de gestion de base de données

Interface Web de gestion de base de données

6/17
 Case-Study3-Forensicréseau

Interface Web de gestion de base de données

Le pirate insère une requête SQL pour afficher le contenu de la base de données. Le
résultat est montré dans l'image ci-dessus. La base de données est dumpée sur l'ordinateur
de Bob.

7/17
 Case-Study3-Forensicréseau

Interface Web de la machine 10.20.30.71

Le pirate ne connaît pas le mot de passe mais essaie de se connecter avec le nom
d'utilisateur "admin". Les administrateurs du système de l'aéroport sont avertis lorsque
quelqu'un essaie de se connecter au tableau de bord avec un mot de passe erroné.

8/17
 Case-Study3-Forensicréseau

Les tentatives de connexion infructueuses peuvent être trouvées dans le fichier journal du serveur Web.

Le fichier journal du serveur Web peut être utilisé pour déterminer à partir de quelle adresse IP les tentatives de

9/17
 Case-Study3-Forensicréseau

connexion infructueuses ont été effectuées. Dans ce cas à partir de l'adresse IP 10.20.31.2.

Interface Web de l’état de VPN

La connexion est arrêtée et les fichiers journaux sont sécurisés après avoir découvert que le compte VPN
de Bob est lié à l'adresse IP récupérée 10.20.31.2. Le pirate copie rapidement le dump de la base de
données et efface les pistes de l'ordinateur de Bob.

Dump de la Base de Données

10/17
 Case-Study3-Forensicréseau

Fichier dump de la Base de Données

4. Environnement d’investigation

Infrastructure réseaux:

11/17
 Case-Study3-Forensicréseau

Machine virtuelle fournie : Ubuntu (8 Go Mémoire, 60 Go d’espace disque)

● Wireshark
● tcpdump
● sha256sum
● cat
● grep
● wc
● sed
● awk

Fichiers journaux et hash respectifs (calculés avec l’algorithme sha256sum) :

access_log (serveur Web aéroport 6f33beb68e3641b0c9b1866c7b5821c8142634f2ba7ede0fc73c4550

AirPortSys1) 4ecef5a9

openvpn.log (serveur VPN de l'Aéroport) e65cd8c0d80da7dadc4c17f80d20cc8d51c064b2ed3e064b9edbc4ec

688f7eea

routerairport_20180726_enp0s8.pcap 4b80c6ebc3b229eabe6617cbf5662da83a7fbcfe0dc35a2c415cf467a
b291706

routeritsaeu_20180726_enp0s8.pcap 3c8b8d5c68dbb9fe7ba196fccc11ee82e693646620183cfb4639bd11
447ef836

5. Travail demandé

Journal du serveur Web

Les administrateurs de l'aéroport ont été informés des tentatives de connexion invalides de
l'application exécutée sur le serveur Web AirPortSys1. Lorsque les administrateurs consultent
le journal du serveur Web, les tentatives de connexion infructueuses sont confirmées.

12/17
 Case-Study3-Forensicréseau

Log du serveur Web AirportSys1

a. Fichiers journaux openvpn.log et access_log

Utiliser le fichier journal openvpn.log du serveur VPN et le access_log du serveur Web Apache
AirportSys1.

Examinez les fichiers openvpn.log et access_log par rapport au dessin de réseau ci-dessous.

○ Utilisez les outils de ligne de commande, basés sur le access_log, combien de fois
avez-vous noté une connexion avec le nom d'utilisateur "admin" ?
○ Que peut-on dire de l'intégrité des fichiers journaux ? Justifiez votre réponse
○ D'après openvpn.log, quelle est l'adresse IP de l'ordinateur de Bob ? Justifiez votre réponse

b. Examiner la configuration du réseau ci-dessous

13/17
 Case-Study3-Forensicréseau

Examinez les traces de l'attaque dans les captures réseau :

● Que pouvez-vous dire des adresses IP suivantes utilisées dans cet exemple ? Sont-elles
publiques ? Sont-elles routables ? Justifiez votre réponse

10.20.30.71
172.25.100.2
198.51.100.20
203.0.113.210

c. Examiner les fichiers journaux du routeur

14/17
 Case-Study3-Forensicréseau

● routerairport_20180726_enp0s8.pcap
● routeritsaeu_20180726_enp0s8.pcap

Utilisez uniquement les fichiers journaux routerairport_20180726_enp0s8.pcap et

routeritsaeu_20180726_enp0s8.pcap

○ Quand la connexion VPN a-t-elle démarré ? Justifiez votre réponse

○ Quelles adresses IP ont de nombreuses connexions avec la machine de Bob ? Justifiez votre
réponse
○ Supposons que l'ordinateur de Bob soit compromis, quelle est probablement l'adresse IP du
pirate ? Justifiez votre réponse
○ Examiner le trafic de l'adresse IP du pirate par rapport à l'adresse IP de l'ordinateur
de Bob et localiser l'attaque. Justifiez votre réponse

Examinez le flux TCP de l'attaque dans Wireshark

○ Que dire de la lisibilité de l'activité réseau lors de la connexion VPN ? Justifiez votre réponse
○ Convertir le routeritsaeu_20180726_enp0s8.pcap en ASCII

$ tcpdump –A –r routeritsaeu_20180726_enp0s8.pcap > routeritsaeu_20180726_enp0s8.txt

○ Construire le Timeline de l'incident en fonction de fichiers journaux disponibles.

○ Sélectionnez le formulaire de sortie ASCII routeritsaeu_20180726_enp0s8.pcap. Utilisez
cat/grep/sed/awk pour générer une liste de toutes les lignes appartenant à la connexion Openvpn
en fonction du numéro de port ou du service de remplacement
<heure [hh:mm:ss]> <src-ip.src-port> <direction> <dst-ip.dst-port>
exemple :

$ cat routeritsaeu_20180726_enp0s8.txt | grep openvpn | awk '{print

$1,$3,$4,$5}'
| sed s/.$//g | sed s/[.][0-9][0-9][0-9][0-9][0-9][0-9]//g

Exemple de résultats:
16:36:18 198.51.100.20.1048 > 203.0.113.210.openvpn
16:36:18 203.0.113.210.openvpn > 198.51.100.20.1048

Le port VPN utilisé 1194. Dans, le fichier routeritsaeu_20180726_enp0s8.txt, le port a été remplacé par openvpn

○ Utilisez les commandes grep pour montrer les lignes qui contiennent openvpn
○ Utilisez les commandes awk pour extraire et afficher les colonnes 1, 3, 4 et 5

d. Examiner les captures :

● routerairport_20180726_enp0s8.pcap
● routeritsaeu_20180726_enp0s8.pcap

● D'après les informations contenues dans les fichiers journaux, quelle attaque est probablement
utilisée ? Justifiez votre réponse
● Quelle technique est utilisée par le pirate pour contourner les restrictions du pare-feu sur les

15/17
 Case-Study3-Forensicréseau

ports ouverts ? Justifiez votre réponse

===========================

FIN DU TP

16/17