RESSOURCES

Toutes les ressources

Exfiltration de données : Les techniques ICMP et DNS tunneling

Description

Aujourd’hui, l’un des principaux objectifs des cyberattaques est l’exfiltration d’informations, que ce soit à but d’espionnage ou de chantage. Souvent consécutif à des attaques de type phishing ou par l’exploitation de vulnérabilités connues, les techniques classiques d’exfiltration de données reposent sur des protocoles communs (http, https, tcp, imap, etc.). Simples à mettre en œuvre, elles sont cependant peu furtives et souvent bloquées par des protections mises en place.
Pour les contourner, les cybercriminels ont développé de nouvelles approches qui s’appuient sur les protocoles DNS et ICMP, présents dans tous les systèmes d’information et généralement moins surveillés.


L’ICMP TUNNELING

Le protocole ICMP ou « ping » est notamment utilisé par les administrateurs pour diagnostiquer les problèmes réseau. Les messages ICMP sont donc souvent autorisés à traverser les pare-feux et les segments de réseau qui filtrent généralement le trafic malveillant entrant et sortant.
Ce protocole est défini dans la RFC 792. Cette documentation spécifie que les datagrammes ICMP comprennent une section de données qui peut contenir une « charge utile » de n'importe quelle taille.

Datagrammes ICMP

 

C’est la possibilité d’ajouter des données arbitraires dans un paquet de type « echo » qu’un attaquant va utiliser pour faire un tunnel ICMP.

 

MISE EN PRATIQUE

Pour matérialiser cette pratique, voici un exemple de scénario d’exfiltration de données dans le réseau local entre :

  • La machine de l’attaquant (192 .168.3.129)
  • La machine contenant les informations à exfiltrer (192.168.3.130)

Voici une capture d’un trafic ICMP généré par l’outil : ptunnel-ng 

Capture d’un trafic ICMP

On peut y voir qu’au travers de cette requête ICMP, l’attaquant utilise la possibilité d’intégrer de la donnée pour exfiltrer des informations.

 

COMMENT EMPÊCHER LA CRÉATION DE TUNNELS ICMP ?

Étant donné que le protocole ICMP contribue à maintenir des connexions réseau saines, le blocage de l'ensemble du trafic ICMP peut poser des problèmes. Un monitoring du réseau et une analyse des paquets ICMP est nécessaire pour mettre en évidence ce genre de tunnel.

 

DNS TUNNELING

Sur le même principe que précédemment, il est possible de faire un tunnel via les requêtes DNS.

 

Mise en pratique

Pour matérialiser cette pratique, voici un exemple de scénario d’exfiltration de données dans le réseau local entre :

  • Le serveur de l’attaquant (test.com)
  • La machine contenant les informations à exfiltrer (192.168.5.128)
  • Le routeur qui relaie les informations DNS (192.168.5.2)

Le nom de domaine utilisé par le pirate pour son attaque est : « tunnel.this.a.test.com »

Voici une capture d’un trafic DNS généré par l’outil : iodine 

Capture d’un trafic DNS

On peut remarquer que l’information est contenue dans le sous-domaine de la requête DNS.

NB : Cette information est encodée car la RFC (RFC 1035) concernant le DNS limite les caractères acceptables pour un nom de domaine.

 

Détection de tunnel DNS

Comme pour le tunnel ICMP, le meilleur moyen de détecter un tunnel DNS est le monitoring du réseau et l’analyse des paquets DNS.


 

CONCLUSION

Les attaques présentées permettent généralement 3 objectifs :

  • Exfiltrer des données de manière furtive ;
  • Mettre en place un serveur « Commande et contrôle » (C2) : à partir du moment où l’on peut établir une connexion entre deux machines alors il est possible de transmettre des commandes ;
  • Déployer un Tunnelage IP : Il existe des services qui ont implémenté une pile IP sur le protocole ICMP ou DNS (par exemple mais ne sont pas limités à ces deux protocoles). Cela rend relativement simple le transfert de données à l’aide de logiciels de communication standards tels que FTP, Netcat, SSH, etc.

Ces attaques présentent l’avantage d’une plus grande furtivité mais sont cependant bien plus lentes pour transférer des fichiers que leurs prédécesseurs. Elles s’inscrivent donc généralement dans une stratégie d’attaque persistante sur le long terme (APT).

Différentes méthodes permettent de réduire les risques, pouvant prendre, par exemple, la forme d’une surveillance fine du trafic et des requêtes, ou d’une recherche d’anomalie sur des ouvertures de flux illégitimes. Elle nécessite cependant une étude et personnalisation préalable des fonctionnalités nécessaires à la gestion du système d’information, afin que les mesures de sécurisation n’entravent pas les besoins de production.
 

Sources :

https://www.cynet.com/attack-techniques-hands-on/how-hackers-use-icmp-tunneling-to-own-your-network/
https://github.com/DhavalKapil/icmptunnel
https://github.com/bdamele/icmpsh
https://blog.varonis.fr/quest-ce-que-le-dns-tunneling-guide-de-detection/
https://code.kryo.se/iodine/
https://calebmadrigal.com/dns-tunneling-with-iodine/ 
https://datatracker.ietf.org/doc/html/rfc1035 
 

Télécharger l'infographie

Mentions légales

Informations générales

  • Dénomination ou raison sociale : Vialis
  • Adresse et numéro de téléphone du siège social : 64 rue de Miromesnil, 75008 Paris - FRANCE - Tél.+33 (0)1 55 06 11 91
  • Inscription RCS ou chambre des métiers : RCS PARIS B 509 081 006
  • Directeur de la publication : Roland Mor, DP

Hébergement et réalisation du site

Droits de propriété intellectuelle et industrielle

La structure générale, ainsi que les logiciels, textes, images, informations, documents, services et tout autre élément composant ce site sont protégés notamment au titre du droit d'auteur par les dispositions du Code de la Propriété Intellectuelle ou toute autre réglementation relative à la propriété intellectuelle. Toute représentation et/ou reproduction totale ou partielle de ce site (ou de l'un quelconque des éléments qui le composent) par quelque procédé que ce soit, sans l'autorisation expresse préalable de Vialis est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.Tous documents téléchargeables sont également protégés par le droit d'auteur, leur utilisation est limitée à la seule prestation de service assurée par l'éditeur via le site transformation.quodagis.fr/ Egalement, les marques et/ou logos figurant sur ce site sont des marques déposées et/ou des créations protégées, propriété exclusive de Vialis.Toute reproduction ou représentation totale ou partielle de ces marques et/ou de ces logos, sans l'autorisation expresse préalable de l'éditeur est interdite et peut constituer un acte de contrefaçon pénalement sanctionné.

Protection des informations

Google Analytics utilise des cookies, qui sont des fichiers texte placés sur votre ordinateur, pour aider le site internet à analyser l'utilisation du site par ses utilisateurs.Les données générées par les cookies concernant votre utilisation du site (y compris votre adresse IP) seront transmises et stockées par Google sur des serveurs situés aux Etats-Unis.Google utilisera cette information dans le but d'évaluer votre utilisation du site, de compiler des rapports sur l'activité du site à destination de son éditeur et de fournir d'autres services relatifs à l'activité du site et à l'utilisation d'Internet.Google est susceptible de communiquer ces données à des tiers en cas d'obligation légale ou lorsque ces tiers traitent ces données pour le compte de Google, y compris notamment l'éditeur de ce site.Google ne recoupera pas votre adresse IP avec toute autre donnée détenue par Google.Vous pouvez désactiver l'utilisation de cookies en sélectionnant les paramètres appropriés de votre navigateur. Cependant, une telle désactivation pourrait empêcher l'utilisation de certaines fonctionnalités de ce site.En utilisant ce site internet, vous consentez expressément au traitement de vos données nominatives par Google dans les conditions et pour les finalités décrites ci-dessus.

Informatique et liberté | Données Personnelles

L’utilisateur est informé que les informations qu’il communique par les formulaires présents sur le site de Vialis groupe QUODAGIS sont nécessaires pour répondre à sa demande et sont destinées aux services en charge de répondre à sa demande à des fins de suivi de cette demande. Les informations recueillies font également l’objet d’un traitement destiné à communiquer sur des évènements, des offres promotionnelles, des actualités ou tout autre document de communication. Vos données ne sont pas partagées avec des tiers.
Conformément aux articles 38, 39, 40, 41 et 42 de la loi Informatique et liberté du 6 janvier 1978, chaque utilisateur ayant déposé des informations nominatives le concernant sur le site, dispose des droits d'opposition, d'accès et de rectification de ces données. Ainsi, il peut exiger que soient rectifiées, complétées, clarifiées, mises à jour ou effacées les informations le concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte ou l'utilisation, la communication ou la conservation est interdite. Chaque utilisateur peut exercer ses droits en écrivant à Vialis groupe QUODAGIS, 64 rue de Miromesnil, 75008 PARIS - FRANCE.