Hack.lu 2011 - Fruit: Why You So Low?
par Metlstorm
Un talk sur le scanning de réseau en masse pour trouver les hôtes les plus facilement exploitables (le fameux low hanging fruit). L’outil est écrit en python et permet de scanner des gros ranges et de tester l’exploitabilité des cibles de façon automatique afin de se faire une idée du volume de « low hanging fruit » sur un netblock.
L’application à été refaite pour améliorer les performances et tenir toutes les données collectés lors d’un scan complet d’un netblock de classe A/B (ce qui fait un sacré paquet de machines hein 😉 ). Pour « cibler » un pays, il utilise les bases GeoIP pour choisir les machines à scanner afin d’éviter tout problème juridictionnel.
L’outil utilise un Nmap tunné pour générer 4kpps soit 16 classe C scanné par seconde !!! Ensuite l’outil passe à la main à un framework qui récupère les bannières. Tout ceci génère un volume de données important, et on se heurte aux problématiques de datamining (stockage, accès sur des milliards d’entrées), d’ou le choix de mongodb.
Pour éviter de déclencher des IDS gouvernementaux, une fonction de randomisation du scan à été ajoutée, pour taper un port à la fois sur une machine à la fois, et il s’avère que peu d’e-mails d’abuse furent envoyé à l’auteur lors de ses scan d’échelle nationale ! Par contre, il y a eu beaucoup de recherches sur le PTR DNS correspondant à son IP 😉
Il existe une version publique du lowhangingkiwifruit.com, c’est shodan, mais seulement sur 4 ports ! Ici, le lowhangingkiwifruit scanner tape sur toute la plage des ports disponibles, et la complexité de l’outil n’est pas tellement grande, ce qui signifie que n’importe quel « bad guy » a pu créer un tel outil à base d’Nmap et de n’importe quel langage de script + BDD.
S’en suit une réflexion sur la reconnaissance de cibles et la valeur de cette reconnaissance, en croisant les données contractuelles issue des E-mails leaké d’HBGary, on se rend compte qu’il est plus payant de monter des botnets sur le long terme à l’aide de 0-day, plutôt que de les cramer sur une cible spécifique, ainsi, quand un attaquant souhaite attaquer une cible spécifique, il lui suffit de voir quelles box proches de sa cible sont compromises. Il est difficile, même pour un petit pays comme la nouvelle Zélande de se défendre contre des attaques avec des budgets de plusieurs millions. En plus les gens talentueux sont aspirés par les structures gouvernementales et militaires pour la « cyber warfare ».
Pour obtenir un accès à l’outil, poussez un e-mail à l’auteur : metlstorm [at) storm.net.nz