Cheval de Troie "ArpIframe" et attaques "Man In The Middle"

Date : 03 Juillet 2007

"ArpIframe" est un code malveillant actuellement assez peu répandu (seul Symantec en donne une description), mais dont le comportement est assez original. C'est pourquoi nous lui consacrons cet article.

Lorsque "ArpIframe" est installé sur un poste compromis (poste Windows) :

  • Il installe l'outil (légitime) "WinPcap" qui permet d'écouter le réseau et de fabriquer "à façon" des trames réseaux (contrôle complet sur les trames fabriquées).
  • Il utilise cet outil pour réaliser sur le réseau local des attaques par "ARP poisoning". Cette technique consiste à diffuser de fausses trames ARP de façon à dévier le trafic destiné à d'autres machines du réseau local vers le poste infecté.
  • Il relaye les trames déviées, vers son destinataire original après y avoir éventuellement apporté des modifications malicieuses.

Cette technique permet donc à "ArpIframe" de réaliser des attaques "Man In The Middle" ("MITM") sur le flux réseau qu'il dévie.

L'attaque "Man In The Middle" réalisée par "ArpIframe" (selon Symantec) consiste à espionner les communications web (trafic HTTP), et à insérer dans les pages web qui passent par lui des tags "IFRAME" invisibles pointant vers des sites web malicieux. Lorsqu'une page ainsi modifiée arrive sur le poste de l'internaute consultant un site web arbitraire (par exemple un site Intranet), le site web malicieux est automatiquement consulté (à l'insu de l'Internaute) et peut alors tenter d'utiliser une faille dans le navigateur web de l'internaute pour infecter le poste. "ArpIframe" est donc un compagnon "idéal" à l'outil d'attaque "Mpack" (qui a été présenté dans un article précédent  du bulletin) : il permet d'envoyer vers le serveur malicieux "MPack" tous les utilisateurs voisins du poste infecté par "ArpIframe".

Cette attaque "ArpIframe" est assez redoutable, car il suffit qu'un poste soit infecté par ce Cheval de Troie, pour que tous les postes voisins se fassent attaquer dés qu'ils utilisent leur navigateur web.

Jusqu'à présent il existait déjà, plusieurs outils capables de réaliser des attaques de type "ARP-poisoning" (cette technique étant connue en particulier pour espionner les communications réseaux dans un environnement "switché"), mais le couplage de cette technique avec l'injection de tags "IFRAME" malicieux et l'automatisation de l'ensemble dans un Cheval  de Troie est un événement nouveau. Nos échanges sur ce sujet avec nos contacts chez les éditeurs antivirus nous ont permis d'identifier que "ArpIframe" a eu cependant un prédécesseur : "NetSniff" (détecté début novembre 2006). Il s'agit là aussi d'un Cheval de Troie installant "WinPcap" et réalisant aussi plusieurs autres attaques "MITM" (vol de mots de passes et "DNS spoofing").

De façon plus générale, les attaques "MITM" semblent actuellement en augmentation. Il s'agit en principe d'attaques internes (attaques nécessitant un accès sur le réseau local de l'entreprise), mais comme on le voit ici avec "ArpIframe", il peut être aussi possible de réaliser ces attaques à distance, en utilisant un poste interne infecté (rebond).


Pour plus d'information

 

 

Précedent Précedent Suivant Suivant Imprimer Imprimer