Outils du tech

Audit client : Les outils

Je vais vous présenter trois outils très intéressants, afin de réaliser de bons audits. Ils sont disponibles librement, et peuvent rendre de vrais services en environnement réseaux chez nos chers clients. Découvrons donc ces outils, qui vous serviront non seulement à réaliser des audits dignes avec un minimum de sérieux, mais aussi dans le cadre d’investigations.

Sharescan

Cet premier outil, proposé par McAfee, permet de scanner, sur un réseau, les partages qui sont accessibles. La fonction « credentials » en fait un outil très pratique lorsqu’on doit paramétrer des droits d’accès un peu complexes sur un réseau.

ShareScan

Sur la partie du haut, on retrouve notre l’adresse IP de la machine sur laquelle on lance cet outil. Ensuite, on peut définir une plage d’adresses IP à tester, ou définir une liste d’adresses IP à tester, en utilisant un fichier qu’on lui soumet.

En dessous, les options du test qu’on lance :

  • Use credentials : Permet de renseigner un utilisateur spécifique. Si on ne l’utilise pas, l’utilisateur courant est utilisé. Ce test est très pratique pour se rendre compte, lorsqu’on défini des droits, si un utilisateur précis à accès ou pas à des partages réseau, et ce qu’il peut voir.
  • Randomize scan order : Test des adresses aléatoirement.
  • Ping before checking : Ping l’adresse avant le test. Si la machine ne répond pas au ping, le test n’est pas réalisé.
  • Test for open port 445 before checking : Test si la cible répond sur le port SMB. Si elle ne répond pas, le test n’est pas réalisé.
  • Show all systems : Donne le résultat de toutes les adresses testées, même si aucun partage n’est actif.
  • Resolve IP adresses to names : Renvoi le nom d’hôte des cibles.

La capture que je vous fourni a toutes options activées. Ca permet de se rendre parfaitement compte de l’état du réseau. D’habitude, je décoche uniquement « Ping before checking ». Comme ca, j’obtiens la liste de toutes les machines du réseau, avec celle qui n’ont pas de partages actifs (pas d’écoute sur le port 445).

Sur la liste de résultats, on obtient un détail des partages. Prenons la quatrième ligne sur la capture (IP 192.168.0.2). Il s’agit du serveur de fichiers de mon client. On obtient :

  • 30 disks : Il y a 30 partages sur cette machine.
  • (22r, 29w) : L’utilisateur avec lequel je fais le test a accès à 22 de ces partages en lecture, et 29 en écriture)
  • 3 printers : Trois imprimantes partagées.
  • 1 IPC : Un partage administratif accessible. Si vous ne savez pas ce que c’est, vous avez quelques lacunes en réseau, je vous encourage donc à effectuer des recherches!!! 😉

Un must have pour les audits réseau!!

Astuce : Perso, j’utilise la commande de « ping » lorsque j’arrive dans un réseau que je ne connais pas. Je relève donc les adresses utilisées ou pas utilisées, afin de savoir quelles plages d’adresses sont libres pour les nouveaux matériels par exemple (pensez à vérifier aussi les plages dhcp après).

Télécharger ShareScan

Forensic Toolkit

Ce deuxième outil est en fait un package d’applications en ligne de commande, là aussi proposé par McAfee. Ces applications ont pour but de faciliter les recherches d’activité sur les fichiers d’une partition NTFS. En résumé, si vous avez besoin d’analyser qu’est ce qui a été modifié après le lancement de quelque chose, ou à une période donnée, c’est cette suite d’outils qui peut vous aider.

AFind

Si vous avez besoin de trouver ce qui a été modifié à un moment donné, c’est l’outil qu’il vous faut. Au lieux de galérer dans une arborescence de répertoires et fichiers, à faire des clics droits pour regarder les propriétés, vous pouvez ici demander à l’outil de scanner un répertoire donné par exemple, en lui demandant de vous retourner uniquement les fichiers modifiés durant les 20 dernières minutes par exemple, ou entre 5H et 3H précédant, ou encore en lui soumettant une liste de fichiers et lui demander de remonter les dates de dernier accès.

Ca peut être utile après une suspicion d’intrusion, après le lancement d’un script ou soft pour voir exactement ce qui a été modifié, ou particulièrement efficace pour tracer ce qui a été fait par rapport à une connexion précise, remontée par NTLast par exemple.

AFind

HFind

Cet outil scan le disque afin de trouver les fichiers cachés dans le répertoire que vous lui indiquerez. Il remonte en même temps la date de leur dernier accès.

SFind

Cet outil recherche les ADS (flux de données additionnelles). Ces métas-données, propres au système de fichier NTFS, permettent d’ajouter aux objets visibles de type « fichiers » (racine d’un disque, répertoires, fichiers), en plus des données « normales » le constituant (le flux de données principal), un à plusieurs flux de données additionnelles (données alternatives), totalement invisibles, pouvant être de toutes natures (texte, graphique, code exécutable…).
Si jusque là, pour vous, ADS signifiait uniquement « Active Directory Service », peu de chance que vous ayez besoin de cet outil un jour. Si par contre vous savez que les ADS sont souvent utilisés pour cacher du code malveillant derrière un fichier parfaitement légitime et clean, alors vous pourriez en faire bon usage!

FileState

Permet pour un fichier donné de relever tout ce que les outils précédents font. Listing des ADS, derniers accès, date de création, taille du fichier, etc.

Hunt

Permet de remonter les infos qu’on peut obtenir en réalisant un NULL Session.

C’est une attaque qui vise à tenter une connexion sans identifiants sur un serveur, afin de retourner le maximum d’infos (sur les partages et utilisateurs notamment).

Très pratique pour les audits!

Télécharger Forensic Toolkit

Microsoft Baseline Security Analyzer

Le dernier outil est made in Microsoft. Dans sa dernière version, cet outil mis à disposition et maintenu par Microsoft, est compatible avec Windows 8.1 et Windows Server 2012 R2, ainsi qu’avec les dernières versions de l’agent Windows Update (WUA) reposant sur la technologie Microsoft Update. Le but est de détecter les erreurs de configuration de sécurité courantes et les mises à jour de sécurité manquantes sur les ordinateurs.

Cet outil vous demande quel est l’ordinateur à analyser (soit en local, le pc qui lance le test, soit indiquez une adresse IP d’un pc ou serveur à analyser sur le réseau).

Résultats d’analyse :

MBSA

Sur ce début de résultat, on voit les problèmes de mise à jour, et ensuite d’administration. Il s’agit d’un vieux serveur, plus en prod. Le client Windows Update est visiblement dans une ancienne version, et doit être mis à jour pour fonctionner correctement.

Il y a deux comptes avec les droit d’administrateur, ce qui peut potentiellement être un problème (vérifier que les deux comptes sont bien utilisés et ont été créé par une personne de l’entreprise par exemple). Il nous signale que des comptes ont subit une modification de stratégie, visant à ne pas faire expirer leur mot de passe. Il nous signal aussi ce qui est bien!!

On a ensuite des rapports d’autres domaines (IIS, SQL server, etc).

Télécharger Microsoft Baseline Security Analyzer

Conclusion

D’autres outils existent. Je vous ai mis là les plus faciles à utiliser, et les plus pertinents. Il existe aussi un outil d’audit développé par Sophos, mais qui n’est plus disponible actuellement, car en cours de refonte. Lorsqu’il sera de nouveau disponible, je ne manquerais pas de faire un article dédié.

Néanmoins, vous avez ici de quoi déceler des problèmes de sécurité potentiels chez vos clients et prospects. Croisez ces infos avec vos investigations personnelles sur site, et vous avez de quoi fournir un beau compte rendu au client, qui verra à travers ce rapport votre sérieux et votre professionnalisme. Il ne reste qu’à assurer! N’oubliez pas que si vous présentez explicitement des failles de sécurité ou problèmes à votre client, il faut être en mesure de pouvoir les régler!

Et si vous êtes un client final (chef d’entreprise ou responsable) et que vous tombez sur cet article, sachez que je suis disponible pour effectuer l’audit de votre entreprise dans le cente de la France! (parce que dans la vie, il faut bien s’aider un peu!!!)

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

3 commentaires

  1. Petite précision sur AFind, du toolkit Forensic :
    C’est très utile pour analyser un fichier suspect. Par exemple, votre antivirus ne dis rien sur un exe que vous voulez tester. Afin d’être plus sur, vous pouvez le lancer dans une VM « crash test ». Immédiatement aprés son lancement, lancez AFind, donnez lui toute la partition active à analyser, et demandez lui ce qui a été modifié dans les 10 dernières minutes.
    Vous verrez ainsi ce que votre exe a modifié ou créé, et ainsi vous assurer exactement de ce qui a pu être fait au niveau de votre système de fichiers.

  2. Merci Mr Xhark! Samedi je dois garder ma fille, et avec la neige on se croirait en Sibérie… Donc je suis bloqué chez moi. Une excellente raison de tester un produit que je ne connais pas! Et qui viendra agrémenter l’article si ca se révèle intéressant!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page