Les « Hacking Tools » (« HackTools »- (« Hack Tools » - « Outils de hack ») sont des programmes (du code exécutable, des « utilitaires pour hackers », voire de véritables boîtes à outils) employés par des hackers dans différents buts tournant autour du piratage/hacking (préparation à un piratage, facilitateur de piratage ou piratage lui-même). Les termes associés sont :
- HackTool
- HackTools
- Hack Tool
- Hack Tools
- Hacktool Spammer
- Hacktool Flooder
- Hacking Tool
- Hacking Tools
Les « HackTools » incluent :
- Scanners de ports
- Renifleurs et usurpateur de réseau.
- Scanners de vulnérabilités et d'exploitation de failles d'ordinateurs. Ceux-ci peuvent être employés sur (contre) un réseau ou sur (contre) le réseau des réseaux (Internet).
- Voleurs de mot de passe stockant les mots de passe volés localement (à l'usage d'une personne indélicate ayant accès physiquement aux ordinateurs) ou les mettant à disposition d'outils les expédiant à l'extérieur. Cette catégorie, parfois classée avec les HackTools, est plus précisément décrite sous la rubrique « Passwords Stealer ».
- Outils d'envoi de messages en masse (outils pour spammeurs, parfois appelés « mass mailler » ou « Flooder » (notion de Flood) utilisant les ordinateurs connectés à Internet à l'insu de leurs propriétaires) dans le but de spammer les internautes ou d'attaquer par saturation une boîte email particulière.
- Floods de groupes de discussion qui inondent des newgroups USENET de messages (publicitaires ou autres).
Les « HackTools » sont plutôt des outils du darkweb, bien que plusieurs d'entre eux viennent de l'usage dévoyé par des hackers d'outils de sécurisation des systèmes d'information. La plupart cherchent à détecter ou à exploiter des failles de sécurité dans les réseaux et les frameworks.
Certains outils de recherches de vulnérabilité, y compris gratuits, sont utilisés par les directeurs de la sécurité des systèmes d'information (SSI) comme par les hackers. Ces outils sont mis à jour en permanance pour identifier DES FAILLES DE SECURITE CONNUES et :
- Les corriger du côté des directeurs de la SSI (application des correctifs ou mesures de contournement) - Nos alertes et avis quotidiens de sécurité.
- Les exploiter du côté des hackers
Exemples de tels outils :
- ActiveX : la technologie scélérate de Microsoft, est utilisée en outil de hacking.
- Ani-Shell (mass-mailing, mail-bomber, brouilleur de serveur, DDoS, backdoor, BIND Shell, ...)
- ARM exploit development : exploits
- ARPwner – ARP et DNS Poisoning Attack Tool (technique utilisée en informatique pour attaquer tout réseau local utilisant le protocole de résolution d'adresse ARP, les cas les plus répandus étant les réseaux Ethernet et Wi-Fi. Cette technique permet à l'attaquant de détourner des flux de communications transitant entre une machine cible et une passerelle : routeur, box, etc. L'attaquant peut ensuite écouter, modifier ou encore bloquer les paquets réseaux [Wikipedia] )
- BlackHole Exploit Kit (le plus utilisé au monde - exploits)
- BSDAUTOPWN détecte les failles et embarque tous les codes d'exploits.
- C4 - WAST, une version de WAST qui donne aux utilisateurs la liberté de sélectionner et d'exploiter des exploits individuels.
- Core Impact (Pro) : vous donne une visibilité sur l'efficacité de vos défenses de points de terminaison et vous révèle les risques les plus pressants sur votre réseau.
- Craqueurs de mots de passe : Liste de logiciels craqueurs de mots de passe
- Crimepack exploit kit : un ensemble de logiciels criminels commerciaux préemballés que les attaquants peuvent utiliser pour piéger des sites Web piratés avec des logiciels malveillants - exploits (Krebs on Security).
- Dril (Domain Reverse IP Lookup) : outil open source particulièrement utile pour les testeurs d'intrusion afin de connaître les noms de domaine répertoriés dans l'hôte cible. DRIL est une application à interface graphique écrite en JAVA (donc devrait fonctionner sous tous les systèmes d'exploitation). Utilise une clé API Bing.
- Fiddler : analyse du trafic HTTPS - HTTPS Sniffing
- Fragus exploit kit : l'un des packs d'exploits les plus répandus (2009)
- Havij - Advanced SQL Injection
- HexorBase : une application de base de données conçue pour administrer et auditer simultanément plusieurs serveurs de base de données à partir d'un emplacement centralisé. Elle est également capable d'exécuter des requêtes SQL et des attaques en force brute contre des serveurs de base de données courants (MySQL, SQLite, Microsoft SQL Server, Oracle, PostgreSQL). Routage par le biais de mandataires (proxys) ou même d'imitations (tromperies) Métasploit pour communiquer avec des serveurs inaccessibles à distance cachés dans des sous-réseaux locaux. Fonctionne sous Linux et Windows.
- iKeyMonitor : espionnage complet de smartphones sous prétexte de contrôle parental
- Immunity Canvas : met à disposition des centaines d'exploits, un système d'exploitation automatisé et un cadre de développement d'exploits fiable et complet pour les testeurs d'intrusion et les professionnels de la sécurité du monde entier.
- Intercepter Sniffer : diverses fonctionnalités, y compris la détection des fonctions de hachage de mots de passe liés à ICQ / IRC / AIM / FTP / IMAP / POP3 / SMTP / LDAP / BNC / SOCKS / HTTP / WWW / NNTP / CVS / TELNET / MRA / DC ++ / VNC / MYSQL et ORACLE. Il détecte également les protocoles ICQ / AIM / JABBER / YAHOO / MSN / GADU-GADU / IRC et MRA. Il possède un module d'empoisonnement ARP intégré, peut modifier les address MAC des adaptateurs de réseau local et diverses autres fonctionnalités.
- John the Ripper : le cracker de mots de passe
- Maltego : logiciel propriétaire utilisé pour l'intelligence (l'espionnage) et la criminalistique open source. Maltego se concentre sur la fourniture d'une bibliothèque de transformations pour la découverte de données à partir de sources ouvertes et sur la visualisation de ces informations sous forme de graphique, ce qui convient à l'analyse de liens et à l'exploration de données. Maltego autorise la création d'entités personnalisées, ce qui lui permet de représenter tout type d'informations en plus des types d'entités de base faisant partie du logiciel. l'objet principal de l'application est d'analyser les relations réelles (réseaux sociaux et nœuds de réseaux informatiques) entre des personnes, des groupes, des pages Web, des domaines, des réseaux, une infrastructure Internet et des affiliations à des services en ligne tels que Twitter et Facebook. Parmi ses sources de données figurent les enregistrements DNS, les enregistrements whois, les moteurs de recherche, les réseaux sociaux en ligne, diverses API et diverses métadonnées. Il est utilisé par les chercheurs en sécurité et les enquêteurs privés (et, bien entendu, par les hackers pour, entre autres, chercher tous les points d'accès à une cible et la profiler).
- Metasploit : Le cadre de travail (Framework) gratuit, en tests de pénétration, le plus utilisé au monde. Aide les équipes de sécurité à vérifier bien plus que des vulnérabilités, à gérer des évaluations de sécurité et à renforcer la sensibilisation à la sécurité. Metasploit donne aux responsables de la sécurité des systèmes d'information les moyens d'avoir un coup ou deux d'avance sur les hackers (mais les hackers utilisent aussi Metasploit !).
- mSpy : espionnage complet de smartphones sous prétexte de contrôle parental
- Nessus : outil de sécurité informatique signalant les faiblesses potentielles ou avérées des machines testées. Ceci inclut, entre autres : les services vulnérables à des attaques permettant la prise de contrôle de la machine, l'accès à des informations sensibles (lecture de fichiers confidentiels par exemple), des dénis de service, les fautes de configuration (relais de messagerie ouvert par exemple), les patchs de sécurité non appliqués (que les failles corrigées soient exploitables ou non dans la configuration testée), les mots de passe par défaut, quelques mots de passe communs, l'absence de mots de passe sur certains comptes systèmes (Nessus peut aussi appeler le programme externe Hydra pour attaquer les mots de passe à l'aide d'un dictionnaire), les services jugés faibles (suggestion de remplacer Telnet par SSH), les dénis de service contre la pile TCP/IP. Les hackers utilisent exactement le même outil, mais avec un objectif inverse.
- Net Tools : open source pour Linux. Regroupe un large éventail d'outils IP utiles aux administrateurs de réseau et aux utilisateurs avancés. l'une des collections d'utilitaires réseau les plus complètes.
- Nmap : scanner de ports d'une machine distante (sans pare-feu, vous avez 4 minutes pour survivre), Libre et Open Source, créé par Fyodor et distribué par Insecure.org. Détecte les ports ouverts et identifie les services derrière ces ports maintenus ouverts (avec informations sur le système d'exploitation de l'ordinateur distant). Une référence pour les administrateurs réseau (SSI - Sécurité des Systèmes d'Information), car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris. Les hackers utilisent exactement le même outil pour détecter les ports ouverts, identifier le service en écoute derrière ce port et tenter d'exploiter les failles de sécurité (security breach) répertoriées dans ces services.
- p0f (« passive OS fingerprinting ») : logiciel permettant de faire de la détection de systèmes d'exploitation de manière passive, par écoute du réseau. Analyse les trames transitant sur le réseau et les compare avec une base de données des caractéristiques de chaque OS (prise d'empreintes) afin d'en retrouver l'OS correspondant (détection de la présence d'un pare-feu et NAT, détection d'un load balancer (répartiteur de charge réseau), détection de la distance (TTL) de la machine distante ainsi que depuis combien de temps la machine est démarrée). p0f est totalement passif. Il ne génère aucun trafic réseau supplémentaire puisqu'il ne fait qu'analyser le trafic réseau.
- Phoenix Exploit's Kit : un outil commercial destiné aux criminels, vendu par son auteur au prix de base de 2 200 dollars. Conçu pour piéger des sites Web piratés de manière à ce qu'ils fassent des téléchargements (Drive-by download) occasionnels sur les appareils de leurs visiteurs.
- Sakura Exploit Pack : pack d'exploits.
- Serenity Exploit Kit : pack d'exploits.
- sqlmap : un outil de test de pénétration open source qui automatise le processus de détection et d'exploitation de l'injection SQL.
- SqlNinja : un outil destiné à permettre l'exploitation des serveurs de base de données Microsoft, jusqu'à l'obtention d'un accès shell, à partir d'une vulnérabilité applicative de type SQL injection (secuobs).
- The Mole : Injection automatique d'exploits SQL
- winAUTOPWN : test automatique de vulnérabilité
- winAUTOPWN Active Systems Transgressor GUI (WAST) : un cadre d'exploitation de systèmes d'exploitation et de réseaux basé sur un GUI avec winAUTOPWN à l'autre bout.
- Winzapper : un utilitaire gratuit et outil de piratage utilisé pour supprimer des événements du journal (log) de sécurité Microsoft Windows NT 4.0 et Windows 2000. Développé initialement par Arne Vidstrom en tant qu'outil de preuve de concept (Proof of Concept - POC), pour démontrer qu'une fois le compte administrateur compromis, les journaux des événements ne sont plus fiables.
- Wireshark? : analyseur de paquets libre et gratuit utilisé dans le dépannage et l'analyse de réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie.
- BEP (Browser Exploit Pack) : liste de plus de 60 paks d'exploits orientés attaque des navigateurs Web.
Ces programmes sont, en eux-mêmes, non viraux, et ne cause généralement pas de dégât à l'internaute qui les emploie à son insu (sauf vol de mots de passe) ni à ses fichiers et données (au contraire - le hacker qui déploie ces « HackTools » a besoin de squatter des machines parfaitement opérationnelles et certains vont même jusqu'à les « nettoyer » des « HackTools » concurrents qu'ils pourraient y trouver, voire même les décontaminer totalement).
Cependant, le déploiement de ces « utilitaires » est nettement ciblé vers la préparation d'une attaque à venir, soit du réseau ou de la machine qui a été pénétrée, soit vers une cible pour :
- une attaque en DOS
- une attaque en DDoS
Le déploiement de ces « utilitaires » va, également, exploiter la puissance de calcul des machines pénétrées et la bande passante des réseaux squattés.
Il est donc naturel de considérer ces « utilitaires » comme une menace d'autant plus qu'en cas d'attaque d'une tierce partie, les propriétaires des ordinateurs squattés d'où est partie l'attaque peuvent être considérés comme complice et non pas victime : Risque juridique de complicité passive de l'internaute.
Note :
Les « HackTools » comme « Cain et Abel » sont des « Script Kiddie Tools » utilisés par des « Script Kiddies » (apprentis pirates, jeunes et immatures).
En conclusion, si un outil de type antivirus ou antimalwares détecte un parasite de type « HackTool », vous devez simplement en autoriser la destruction.
S'il n'est pas possible de le supprimer, c'est probablement parce qu'il est actif en mémoire en ce moment et vous devez alors redémarrer votre ordinateur en mode sans échec, relancer une analyse complète de votre système avec l'outil qui a précédemment détecté la menace et la supprimer.
Tous les système d'exploitation 32 bits et 64 bits de la famille Windows, sauf Windows NT, peuvent être relancés en mode sans échec. Pour savoir comment relancer Windows en mode sans échec, lire le document « Comment démarrer/redémarrer Windows en mode sans échec (toutes versions) »