Footprinting & reconnaissance - Master 1 : SSI 2020/2021 - Support de cours pour master ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
2020/2021 Footprinting & reconnaissance Master 1 : SSI
De quoi parlons nous ?
○ La première phase de toute attaque informatique est le footprinting.
○ Elle consiste à collecter toutes les informations possibles concernant la cible et le réseau
cible.
○ Cette collection d'informations aide à identifier différentes manières possibles d'entrer
dans le réseau cible.
○ Cette collection d'informations peut avoir été collectée à travers des informations
personnelles accessibles au public et des informations sensibles de toute source secrète.
○ En règle générale, le footprinting et la reconnaissance exécutent des attaques
d'ingénierie sociale, de système ou de réseau, ou par toute autre technique.
○ Les méthodes de reconnaissance actives et passives sont également populaires pour
obtenir des informations sur une cible directement ou indirectement.
○ Le but général de cette phase est de maintenir l'interaction avec la cible pour obtenir des
informations sans aucune détection ni alerte. Contoso Ltd.
2
M1-SSI- Introduction à la sécurité Cours N°02
Types de footprinting Informations obtenues Objectifs du footprinting
• Passif • informations sur l'organisation Connaitre la posture de sécurité
• Récolte d’informations sans • Détails relatifs aux employés, Réduire la zone ciblée
interactions directes numéros de téléphones, Identifier les vulnérabilités
emplacement, technologies Élaborer le schéma du réseau
• Actif web, historique de
• Recolte d’information via des l’organisation,…
interactions directes • Informations sur le réseau
• Domaines et sous domaines,
blocs réseaux, adresse IP des
systèmes accessibles,
enregistrements Whois, DNS,
etc…
• Informations sur le système
• OS, emplacement des
serveurs web, utilisateurs et
mdp,…
Contoso Ltd.
3
M1-SSI- Introduction à la sécurité Cours N°02
Méthodologie
And web services
Contoso Ltd.
4
M1-SSI- Introduction à la sécurité Cours N°02
Moteurs de recherche
○ L’attaquant utilise les moteurs de recherche pour extraire les informations relatives à la
cible telle que les plateformes technologiques utilisées, les pages de login, les détails
relatifs aux employés les portails intranet,… qui peuvent aider l’attaquant à faire du social
engineering d’autres types d’attaques système avancées
○ Moteurs de recherche les plus connus Google, bing, yahoo, Ask, Aol Baidu, DuckDuckgo
○ L’attaquant peut utiliser des operateurs de recherche avancés pour mettre en œuvre des
requêtes complexes permettant de trouver, filtrer et trier des informations spécifiques de
la cible
○ Les moteurs de recherche peuvent être utiliser pour trouver d’autres ressources
d'information accessibles au public exp : vous pouvez taper top job portals pour trouver
les principaux portails qui fournissent des informations critiques sur l'organisation cible
Contoso Ltd.
5
M1-SSI- Introduction à la sécurité Cours N°02
Footprinting utilisant les techniques google hacking
○ le Google haking fait référence à l'utilisation d'opérateurs de recherche Google avancés pour créer des requêtes de
recherche complexes afin d'extraire des informations sensibles ou cachées qui aident les attaquants à trouver des
cibles vulnérables
Contoso Ltd.
6
M1-SSI- Introduction à la sécurité Cours N°02
Footprinting utilisant Google Hacking Data Base
○ GHDB est une source faisant autorité pour interroger la portée toujours plus large du
moteur de recherche Google
○ les attaquants utilisent google dorks dans les opérateurs de recherche avancée google
pour extraire des informations sensibles sur leur cible, telles que des serveurs
vulnérables, des messages d'erreur, des fichiers sensibles, des pages de connexion et des
sites Web
Contoso Ltd.
7
M1-SSI- Introduction à la sécurité Cours N°02
Footprinting VOIP & VPN via GHDB
Contoso Ltd.
8
M1-SSI- Introduction à la sécurité Cours N°02
Autres techniques de footprinting via les moteurs de recherche
○ collecte d’information en utilisant la recherche avancée de google
et la recherche avancée d’images
○ collecte d’information en utilisant la recherche inversée d’image
○ collecte d’information à partir des moteurs de recherche vidéo
○ collecte d’information en utilisant les méta moteurs de recherche
○ collecte d’information à partir des moteurs de recherche ftp
○ collecte d’information à partir des moteurs de recherche IoT
Contoso Ltd.
9
Ajouter un pied de page
trouver les domaines de premier niveau (TLD) et les sous-domaines
d'une entreprise
○ rechercher l'URL externe de l'entreprise cible dans un moteur de recherche, tel que
Google et Bing
○ les sous-domaines fournissent un aperçu des différents départements et unités
commerciales d'une organisation
○ vous pouvez trouver les sous-domaines d'une entreprise par une méthode d'essai et
d'erreur ou en utilisant un service tel que https://www.netcraft.com
○ vous pouvez utiliser le script python de sous-liste (sublist3r python script), qui énumère
les sous-domaines sur plusieurs sources à la fois
Contoso Ltd.
10
Ajouter un pied de pagetrouver la localisation géographique de la cible
○ les attaquants utilisent des outils, tels que google earth, google maps et
WIKImapia, pour obtenir l'emplacement physique de la cible, ce qui les aide
à effectuer une ingénierie sociale et d'autres attaques non techniques.
○ Ces outils aident les attaquants à trouver ou localiser les entrées des
bâtiments, les caméras de sécurité, les portes, les endroits où se cacher, les
points faibles dans les clôtures de périmètre, etc.
Contoso Ltd.
11
Ajouter un pied de pageServices en ligne : Les réseaux
• Intelius
• Pipi sociaux
• BeenVerified
• Whitepages
• PeekYou
Contoso Ltd.
12
Ajouter un pied de pageLes réseaux sociaux
Ce que information Ce que l’attaquant prend
l’utilisateur fait
L’utilisateur Photo de la cible Données personnelles de
maintient son Numéro de téléphone la cible pour l’ingénieurie
profil Adresse mail sociale
Date de naissance
Emplacement
Détails professionnels
L’utilisateur let à Informations personnlles les plus récentes Informations relatives à
jour son profil Emplacement le plus récent la plateforme et à la
Informations sur les amis et la famille technologie
Activités et centres d’intérêts Détails professionnels
Informations sur les évènements à venir Tout ce qu’il y a à côté
Contoso Ltd.
Informations relatives à la technologie 13
Ajouter un pied de pageContoso Ltd.
14
Ajouter un pied de pagerécolte de listes de diffusion (listes mails)
○ la collecte d'adresses e-mail liées à l'organisation cible agit comme un vecteur d'attaque
important lors des phases ultérieures du piratage
○ les attaquants utilisent des outils automatisés tels que THEHARVESTER et MAIL SPIDER
pour collecter les adresses e-mail publiques de l'organisation cible qui les aident à
effectuer des attaques d'ingénierie sociale et force brute
Contoso Ltd.
15
Ajouter un pied de pageRécolte d’informations à partir des services financiers
○ Les services financiers
tel que Google Finance,
MSN Money et Yahoo
finance fournissent des
informations utiles à
propos de la compagnie
cible tel que la valeur de
marché des actions
d'une entreprise, profil
de l'entreprise et détails
des concurrents
○ L’attaquant peut utiliser
ces informations pour
effectuer des dénis de
services, brute force ou Contoso Ltd.
16
attaques par phishing Ajouter un pied de pageFootprinting via les sites de recrutement
○ Les détails de l’infrastructure de l’organisation peuvent être récoltés à partir des offres
d’emplois
○ L’attaquant utilise les informations techniques obtenues via les sites de recrutement tel
que Dice, Linkedin ou simply hired pour détecter les vulnérabilités sous-jacentes dans
l'infrastructure informatique cible
Contoso Ltd.
17
Ajouter un pied de pageFootprinting : deep & dark web
○ Deep web : il se compose de pages Web et de contenus qui sont masqués et non indexés
et ne peuvent pas être localisés à l'aide des navigateurs Web et des moteurs de
recherche traditionnels. il peut être consulté par un moteur de recherche comme tor
browser, et www virtual library
○ Dark web ou darknet: c'est un sous-ensemble du deep web qui permet à quiconque de
naviguer de manière anonyme sans être tracé. Il peut être accessible via ToR browser,
Freenet, GNUnet, I2P et Retroshare
○ les attaquants utilisent des outils de recherche dark et deep Web, tels que le navigateur
tor et l'exonera tor pour recueillir des informations confidentielles sur la cible, y compris
les détails de la carte de crédit, les informations du passeport, les details de carte
d’identité, les enregistrements médicaux, les comptes de média sociaux, numero de
sécurité sociale, etc
Contoso Ltd.
18
Ajouter un pied de pageDéterminer l’OS
○ Le moteur de recherche SHODAN permet de trouver des équipements connectés (routeurs,
serveurs, IOT, etc…) en utilisant divers filtres
○ Le moteur de recherche Censys fournit une vue complète de tout serveur ou équipement
exposé à internet
Contoso Ltd.
19
Ajouter un pied de pageVOIP & VPN footprinting via Shodan
Contoso Ltd.
20
Ajouter un pied de pageCompetitive
Intelligence
Gathering
(Collecte de veille concurrentielle )
Contoso Ltd.
21
Ajouter un pied de pageCollecte de veille concurrentielle (Competitive Intelligence Gathering)
○ C’est un processus d’identification, de collecte, d’analyse, de vérification et d’utilisation
des informations relatives aux concurrents à partir de ressources tel que internet.
○ La veille concurentielle est de nature non interférente et subtile
○ Les cources d’informations peuvent être :
• Les sites web de l’organisation et les annonces de recrutement
• Les moteurs de recherche et les bases de données en ligne
• Les articles de presse et les rapports annuels
• Les journaux financiers, conférences
• brevets et marques
• Ingénieurie social des employés
• Agents distributeurs et fournisseurs
• entretiens avec les clients et les fournisseurs
• Etc….
Contoso Ltd.
22
Ajouter un pied de pageCollecte de veille concurrentielle (Competitive Intelligence Gathering)
Contoso Ltd.
23
Ajouter un pied de pageAutres techniques de footprinting via des services web
○ Récolte d’information via des sites de profilage d’entreprise :opencorporate, crunchbase
○ Monitoring de la cible en utilisant des alertes : google alerte, tweeter alert
○ Suivi de la réputation en ligne de la cible : trackur, Brand24
○ Groupes, forum et blogs
○ Recolte d’information en utilisant NNTP usenet newsgroup
Contoso Ltd.
24
Ajouter un pied de pageCollecte d’information via le social engineering
○ l'attaquant utilise des astuces d'ingénierie sociale pour collecter des informations sensibles sur le site Web
d'un réseau social
○ L’attaquant crée de faux profils et utilise de fausses identités pour leurrer les employés afin qu’ils révélent
leurs informations sensibles
○ l'attaquant collecte des informations sur les intérêts des employés et les incite à révéler plus d'informations
Contoso Ltd.
25
Ajouter un pied de pageLocalisation des informations à partir des sites de média sociaux
○ Les attaquant traquent les sites de média sociaux en utilisant des outils tel que
BuzzSumo, GoogleTrend, Hashalit, etc….afin de decouvrir plus de contenu partagé en
utilisant Heshtags ou mots clés, traqueurs de comptes et URL, adressses mails,..
○ L’attaquant utilise ces informations pour faire du phishong, social engineering et d’autres
types d’attaques
Contoso Ltd.
26
Ajouter un pied de pageeffectuer une recherche de localisation sur les sites de médias sociaux
○ effectuer une recherche de localisation sur les sites de médias sociaux tel que tweeter, Instagram ou
Facebook aide l’attaquant à détecter et à géo localiser une cible
○ L’attaquant utilise des outils en ligne tel que FollowersWonk, Hootsuite et Sysomos pour rechercher les
informations géotagguée et non géotagguée sur les réseaux sociaux
○ L’attaquant utilise ces information pour effectuer des attaques d’ingénieurie social ou des attaques non
techniques
Contoso Ltd.
27
Ajouter un pied de pageOutils pour le footprinting via des réseaux sociaux
○ Sherlock : il est utilisé pour rechercher un nom d'utilisateur cible dans un grand nombre
de sites de réseaux sociaux
○ Social searcher : vous permet de chercher du contenu dans un réseau social en temps
réel et fournit des données analytiques
Contoso Ltd.
28
Ajouter un pied de pageFootprinting de sites web
○ Fait référence au monitoring et à l’analyse du site web de la cible
○ Le parcours du site web de la cible peut fournir les informations suivantes :
• Logiciels utilisés et leurs versions
• OS et platform de scripting
• Sous-dossiers et paramètres
• Noms de fichiers, paramètres, nom des champs de la BD, les requêtes
• Technologies utilisées
• Contacts et détails du CMS
○ L’attaquant peut utiliser Burp suite, Zapoxy, Wappalanlyzer,…
○ L’examen du code HTML permet de lire les commentaires du code, connaitre le types de
scriptet la structure des fichiers système, …
○ L’examen des cookies fournit le logiciel utilisé et son comportement, la plateforme de
script utilisée
Contoso Ltd.
29
Ajouter un pied de pageFootprinting de sites web
○ Le footprinting de sites web peut se faire via
• des spiders web tel que WebData Extractor, ParseHub
• Des outils de mirroring tel que HTTrack, Website copier, Ncollector Studio
• Extraction des informations du site web via archive.org
• Extraction des liens du site : ceci représente une partie importante du footprinting durant
laquelle l’attaquant identifie tous les liens internes et externes. Il peut utiliser des outils tel que
: Octoparse, NetpeakSpider ou link extractor
• Récolte de wordlist pour brute forcer les adresses mail. Quelques outils : CeWL
• Monitorer les mises à jour via Wensite-Watcher, visualping,…
• Cherches des informations de contact (nom, tel, mail,…)
• Monitorer le traffic via web-stat, alexa, monitis,…
Contoso Ltd.
30
Ajouter un pied de pageTracking des communications par mail
○ le suivi des e-mails est utilisé
pour surveiller la livraison des e-
mails à un destinataire prévu
○ L’attaquant suit un mail pour
récolter des informations à
propos de la cible (OS, @IP,
géolocalisation,…) permettant
d’établir une stratégie
d’ingénieurie social
○ eMailTrackerPro, infoga,
Politemail sont des outils
potentiels
Contoso Ltd.
31
Ajouter un pied de pageWhois
Contoso Ltd.
32
Ajouter un pied de pageRIR Acronyme Emplacement
African Network Information AFRINIC Africa
Center
American Registry for Internet ARIN USA, Canada, plusieurs régions
numbers des caraïbes, antartique
Asia-Pacific Network information APNIC Asie, Astralie, Nouvelle Zélande et
center les pays proches
Latin America and caribbean LACNIC Amérique latine et le reste des
network information center caraïbes
Réseaux IP Européens RIPE Europe, Russie, moyen orient et
network coordination center NCC asie centrale
Outils :nirsoft.net, networkmost.com, lantricks.com, tialsoft.com, robtex.com,….
Contoso Ltd.
33
Ajouter un pied de pageGéo localiser une adresse IP
○ La géolocalisation d’une adresse IP permet d’identifier le pays, la région, la ville, le code
postal, le faisceau horaire, vitesse de connexion, ISP, nom de domaine,…
○ On peut utiliser IP2Location, IP Location finder,
Contoso Ltd.
34
Ajouter un pied de pageExtraction des informations DNS
○ Les enregistrements DNS fournissent d’importantes informations concernant
l’emplacement et le type de serveurs
○ L’attaquant interroge le serveur DNSen utilisant des outils tem que : profesional toolset,
DNS Records
Contoso Ltd.
35
Ajouter un pied de pageReverse DNS lookup
○ L’attaquant execute un reverse dns lookup sur une plage IP afin de tenter de localiser les enregistrements
DNS PTR
○ Il peut utiliser DNSRecon,
○ L’attaquant peut ainsi trouver d’autres domaines qui partagent le même serveur web en utilisant des outils
tel que reverse IP Domain Check
Contoso Ltd.
36
Ajouter un pied de pageIdentifier l’étendue du réseau
○ Cette information permet une cartographie du réseau de la cible
○ On peut utiliser les outils tel que les bases de données Whois
Contoso Ltd.
37
Ajouter un pied de pageTracerout
○ C’est un programme qui utilise le protocole ICMP et le champs TTL pour decouvrir les
equipements sur le chemin menant à la cible (path analyser pro, visualroute)
Contoso Ltd.
38
Ajouter un pied de pageAnalyse tracerout
Contoso Ltd.
39
Ajouter un pied de pageFootprinting via ingénierie sociale
○ En matière de footprinting, l’un des composants les plus faciles à pirater est l’être
humain. Nous pouvons facilement collecter des informations auprès d'un humain plutôt
que de rechercher des informations dans des systèmes. En utilisant certaines techniques
d’ingénierie sociale de base tel que :
• Eavesdropping
• Shoulder surfing
• Dumpster Diving
• Imitation (Impersonation)
Contoso Ltd.
40
Ajouter un pied de page○ C’est l’art d'extraire des informations sensibles des gens. Le footprinting via l'ingénierie
sociale rassemble des informations relatives aux :
• cartes de crédit
• Username et mot de passe
• équipements et technologies de sécurité
• OS, logiciels et réseaux
• Adresses IP et noms de serveurs
○ Eavesdropping est une technique d'ingénierie sociale dans laquelle l'ingénieur social
collecte des informations en écoutant la conversation secrètement. L'écoute de
conversations comprend l'écoute, la lecture ou l'accès à toute source d'informations sans
notification préalable.
Contoso Ltd.
41
Ajouter un pied de pagePhishing
○ Dans le processus de phishing, les e-mails envoyés à un groupe ciblé contiennent un
corps de message qui semble légitime.
○ Le destinataire clique sur le lien mentionné dans l'e-mail en le considérant comme un lien
légitime. Une fois que le lecteur a cliqué sur le lien, incité à fournir des informations. Il
redirige les utilisateurs vers la fausse page Web qui ressemble à un site Web officiel. Par
exemple, le destinataire est redirigé vers une page Web d'une fausse banque, demandant
des informations sensibles.
○ De même, le lien redirigé peut télécharger n’importe quel script malveillant sur le
système du destinataire pour récupérer des informations.
Contoso Ltd.
42
Ajouter un pied de pageShoulder surfing
○ Consiste à se tenir derrière une cible lorsqu‘elle interagit avec des informations sensibles.
Les mots de passe, numéros de compte ou autres informations secrètes peuvent être
collectés en fonction de la négligence de la cible.
Contoso Ltd.
43
Ajouter un pied de pageDumpster diving
○ ou la recherche de trésors cachés. Cette technique est plus ancienne mais toujours
efficace. Cela inclut l’accès à la corbeille de la cible, telle que la corbeille de l’imprimante,
le bureau de l’utilisateur, la corbeille de la société pour trouver les factures de téléphone,
les informations de contact, les informations financières, les codes sources et d’autres
documents utiles.
Contoso Ltd.
44
Ajouter un pied de pageOutils utilisés
○ Matelgo : outil de datamining qui récolte des informations les présente sous forme de
graphes pour analyse. Le est de mener une enquête en ligne sur les relations entre
différentes informations obtenues de diverses sources sur Internet
○ Recon-ng
○ FOCA
○ OCRFramework
○ Billcipher
○ Recon-dog
Contoso Ltd.
45
Ajouter un pied de pageFootprinting
Contremesure
Contoso Ltd.
46
Ajouter un pied de page○ L’accès aux réseaux sociaux doit être restreint à partir du réseau de l’entreprise
○ Les périphériques et les serveurs doivent être configurés pour éviter les fuites de
données.
○ Fournissez aux employés d'une organisation une éducation, une formation et une
sensibilisation sur le footprinting, les impacts, les méthodologies et les contre-mesures.
○ Évitez de révéler des informations sensibles dans les rapports annuels, les communiqués
de presse, etc.
○ Empêcher les moteurs de recherche de mettre en cache des pages Web.
○ Désactiver les fonctionnalités géotag
Contoso Ltd.
47
Ajouter un pied de pageContoso Ltd.
48
Ajouter un pied de page○ 252
○ 3430
Contoso Ltd.
49
Ajouter un pied de pageVous pouvez aussi lire
