Article Interessant, Technologies

Article Windows 7 Remote Control par Romain Livet en RISR2014

 

clip_image002

Dans cet article je vais aborder le fait qu’un simple fichier à la base anodin pour se révéler dangereux pour votre ordinateur. Ce sujet est destiné aux personnes qui ne disposent pas d’un antivirus sur leur ordinateur personnel. De nombreuses personnes sont amenées à travailler sur leur ordinateur, sans pour autant se soucier d’avoir un antivirus installé. (Windows Defender ne compte pas à mes yeux vous verrez pourquoi dans l’article)

De nos jours nous sommes tous amenés à acheter un ordinateur personnel pour effectuer différentes opérations telles que : naviguer sur le net, consulter ses comptes bancaires, se connecter aux réseaux sociaux et parfois même stocker des informations qui sont liées à notre entreprise.

Oui mais côté sécurité le sujet n’est jamais abordé car la plupart des personnes pensent que

les arnaques ne leurs arriveront jamais. (Pourquoi un pirate s’en prendrait à moi … o_O)

Il faut savoir que pour les pirates vous êtes une mine d’informations susceptibles de leur faire gagner de l’argent selon différentes manières.

C’est parti, je vous explique tout

En un premier temps j’ai créé un fichier exécutable (.exe) banal aux yeux de tous. Nous le nommerons « Windows.exe ».

Ensuite j’ai placé le fichier dans un répertoire où tout le monde détient les droits à savoir le

« C:\windows\temp\ » (la méthode d’envoi de l’exécutable peut se faire de plusieurs manières)

Puis j’ai directement lancé une analyse « anti-virale » avec Windows Defender qui est installé par défaut sur les environnements Windows.

clip_image004

Comme nous le voyons aucune détection de celui-ci avec le scan Rapide (le mode que tout le monde utilise par rapidité et facilité)

Par la suite j’ai lancé manuellement le fichier et aucune alerte n’est apparue, comme s’il ne s’était rien passé.

clip_image006

Ensuite pour me donner bonne conscience, je suis allé jeter un œil dans le gestionnaire des tâches Windows dans le but de trouver un processus anormal.

clip_image008

A première vue, rien n’est alarmant et pourtant l’exécutable se nomme « Windows.exe *32 ». Une information pourrait éventuellement nous mettre sur la piste au niveau de la description du processus. « Remote Service Application » et encore, nous pouvons croire que c’est un processus Microsoft sans gravité.

Mais pour être sûr, je ne souhaite en pas rester là et je lance un logiciel crée par la société

Sysinternals qui se nomme « ProcessExplorer » qui est ni plus ni moins le gestionnaire de tâches Windows mais en version « largement » plus avancé quand même

clip_image010

Nous retrouvons notre fameux « Windows.exe », nous remarquons sur la dernière colonne le nom de la société « Microsoft Corp. » Cette description pourrait nous faire arrêter nos recherches… Mais nous sommes sur le sujet, alors il ne faut pas abdiquer.

Je pousse le vice en allant dans les propriétés de l’exécutable dans le but récupérer le

maximum d’informations et d’avoir bonne conscience.

clip_image012

OK ! Pour l’instant je retrouve les informations suivantes. Le fichier se situe dans le dossier

« C:\Windows\temp\ », il est en cours d’utilisation sur la session de « Labo\user » Maintenant je me rends dans l’onglet « TCP/IP » qui pour moi est indispensable. (Vous comprendrez pourquoi juste après… Patience )

clip_image014

Et c’est là que je me rends compte que ma persévérance a payé !!!

Le fichier communique vers l’extérieur en ouvrant une brèche sur mon ordinateur grâce au port « 49303″ pour ensuite être réceptionné sur l’ordinateur distant possédant l’adresse

IP « 172.20.10.14 » sur le port « 10000«. Et pour clore le tout, la connexion est en ce moment

même active.

clip_image016clip_image018

C’est à ce moment-là que l’utilisateur se remémore toutes les opérations qu’il a effectué sur

son ordinateur depuis son achat (banque, données, mot de passe …)

Le premier réflexe à avoir dans ce type de situation est de réaliser un clic droit sur

l’exécutable en question et lancer un « Scan VirusTotal »

Pour cet exemple voici le résultat du scan :

clip_image020

clip_image021Le résultat est bien là … Sur un total de 57 antivirus, l’exécutable a été détecté par 53 antivirus comme potentiel danger.

Conseil

Télécharger un Anti-virus

Télécharger le logiciel MalwareBytes

Télécharger CCleaner

Maintenant je vais vous montrer le « Control Panel » que j’avais de mon côté.

clip_image023

Nous remarquons que je détiens toutes les informations concernant l’ordinateur distant.

clip_image024Vous remarquerez également que sur la partie gauche de l’image, nous retrouvons toutes les actions qu’un attaquant peut être amené à réaliser sur la machine de la victime.

Dans cet article, nous avons réalisé une analyse « Basique »

Je m’explique, dans cet article l’exécutable a été lancé par l’utilisateur et si l’utilisateur mets fin au processus dans le gestionnaire de tâche il ne se relancera plus (même après un redémarrage de l’ordinateur.)

J’aurai très bien pu créer un processus de la manière suivante :

· Lancer l’exécutable au bout de X minutes une fois présent sur l’ordinateur

· Relancer automatiquement après un redémarrage de l’ordinateur

· Le déployer dans la base de registre

· Le rendre persistant même après une fin de processus (relance automatique du processus)

· De désactiver l’accès pour l’utilisateur au gestionnaire de tâche/panneau de

configuration/base de registres…

· De désactiver le Firewall de Windows / les mises à jour Windows.

· De duire au minimum L’UAC du compte utilisateur voire même lui interdire

l’accès.

· De désactiver les notifications antivirus (Windows Defender dans notre cas)

· De mettre en place un « Keylogger » avec une remontée d’informations sur une

adresse mail définie

· … … …

Vous le comprendrez bien l’attaquant à la main complète sur votre ordinateur.

Un conseil, PROTEGEZ-VOUS !

Publicités

3 réflexions au sujet de “Article Windows 7 Remote Control par Romain Livet en RISR2014”

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s