Le Savoir est une arme

Scanners de ports


Les scanners de ports (et les scanners d'IPs) sont des outils logiciels automatiques (des robots) analysant les ports ouverts derrière une adresse IP (un ordinateur) afin d'y déceler une vulnérabilité exploitable. Les scanners de ports peuvent donc être utilisés par des administrateurs de réseaux pour surveiller et durcir les réseaux dont ils ont la charge grâce à des outils d'analyse comme les logiciels Nessus ou NMap. Ces mêmes outils scanners de ports se trouvent également entre les mains de pirates. Pour eux, la recherche de ports ouverts puis de ressources vulnérables derrière un port, est conduite afin d'exploiter la vulnérabilité, pénétrer la machine et en exploiter enfin les ressources.

En termes d'insécurité, les scanners de ports ne conduisent pas une attaque en eux-mêmes, ils la précèdent.


Fonctionnement d'un scanner de ports :

Dans son principe général, le fonctionnement est simple : un scanners de ports va scanner (tester, interroger) un intervalle de ports ou un dictionnaire de ports sur chaque machine dans un intervalle d'adresses IPs (scanner d'IPs). Par exemple : recherche de ports ouverts entre les ports 35000 et 35100 sur l'intervalle d'adresses IPs 128.208.78.000 à 128.208.78.255

65.536 ports par machines et 274.941.996.890.625 adresses IP possibles.
Les ports de communications des ordinateurs sont nombreux (Windows laisse ses 65.536 ports ouverts par défaut !)

Les adresses IPs (adresse de votre ordinateur sur le réseau) vont, dans la norme IPV4, de 000.000.000.000 à 255.255.255.255 soit 2554, c'est à dire 4.228.250.625 adresses et donc autant de machines possibles connectées - ceci sur la base d'un adressage dit "IPV4" qui fut mis en place à l'origine en pensant qu'avec plus de 4 milliards d'adresses on pourrait "tenir" l'adressage longtemps. L'adressage se fait maintenant sur une base dite "IPV6" soit 2556, c'est à dire 274.941.996.890.625 adresses possibles ce qui devrait nous laisser le temps de voir venir.

La ressource accessible recherchée est, le plus souvent, la partie "serveur" d'un RAT (Remote Administration Tool) - (appelé abusivement "Trojans") qui va permettre de prendre le controle d'un ordinateur à distance.


Dans la chronologie des faits :

La partie "serveur" d'un RAT (Remote Administration Tool) est lachée dans la nature, au même titre qu'un virus, pour qu'elle infecte le plus grand nombre d'ordinateurs possible. Toutes les méthodes sont "bonnes" pour le déployer :

Faux fichiers (fake) sur les réseaux de P2P

Fichiers infectés sur les réseaux de P2P

Typiquement, les générateurs de clé (keygen) pour débloquer des copies pirates de logiciels (ces "serveurs" sont scannés par des organismes de type "détectives privés" identifiant et poursuivant les utilisateurs de copies pirates)

Les "économiseurs d'écran" sont d'excellents vecteurs de Trojans et sont, quasiment tous, des backdoors

Fichiers piégés sur les sites de download

Procédures piégées que l'on doit télécharger pour, par exemple, pouvoir jouer en réseau (de très nombreux sites de jeux on-line sont, ainsi, des vecteurs de trojans)

Contrôles ActiveX agressifs

Scripts

Etc. ...


Un scanner est utilisé pour trouver des "serveurs" qui "répondent" sur les machines des victimes potentielles. Le scanner peut chercher plusieurs "serveurs" de plusieurs RAT pour augmenter ses chances de trouver quelque chose d'exploitable. L'attaquant dit au scanner quels sont les RAT qu'il utilise. On remarquera que l'attaquant peut "tomber" sur un "serveur" qui se trouve tout à fait légitimement chez la victime, lorsqu'il s'agit, par exemple, d'une entreprise dont le service informatique est situé, géographiquement, ailleurs, ou dont l'informatique est sous-traitée auprès d'un prestataire de service, et qui permet ainsi à ses informaticiens d'intervenir à distance. Il existe des dizaines de logiciels de télémaintenance / télédiagnostic commerciaux - le plus célèbre, que l'on trouve sur les rayons de tous les magasins, étant probablement "PC-Anywhere" de Norton / Symantec.

La partie "client" du RAT est utilisée, sur la machine de l'attaquant pour prendre le contrôle de la machine de la victime. Accessoirement, si l'attaquant ne tombe pas sur "son" trojan avec "son" mot de passe, il va chercher à forcer le serveur trouvé chez la victime potentielle pour établir le dialogue, à partir de listes de mots de passe (et les hackers s'échangent des listes de mots de passe), de dictionnaires de mots de passe, de "force brute" etc. ...

Une fois dans la place, le pirate fait ce qu'il veut, silencieusement. Regarder ce que fait la victime, copier ses fichiers, modifier ses fichiers parfois, cacher sur l'ordinateur de la victime des documents ou outils compromettants pour l'attaquant, utiliser ses ressources, sa bande passante etc. ... On observera qu'en principe le pirate ne se fait pas remarquer, ce n'est pas son intérêt du tout. Il n'y a donc pas de destruction de fichiers et autres attaques visibles comme "tuer les processus", "rebooter la machine" (mais certains pirates, les débutants, tombent, au début, dans ces travers et se font remettre rapidement en place par leurs ainés car, au début, il faut se rapprocher de groupes "d'entraide" entre pirates et demander des conseils aux "confirmés" et, en sus, si on se fait voir de la victime elle ne va pas mettre longtemps à réagir et éradiquer le "serveur" sur sa machine).