Analyse d'Artefact : Gestionnaires de Paquets Linux (APT, DPKG, RPM, DNF)

Note

Résumé exécutif : les gestionnaires de paquets (APT/DPKG sur les systèmes Debian, DNF/RPM sur les systèmes RHEL) sont les utilitaires natifs utilisés pour installer, mettre à jour et supprimer des logiciels sous Linux. Pour les analystes DFIR, ces utilitaires remplissent un double objectif critique lors des investigations post-mortem. Premièrement, leurs journaux historiques révèlent exactement quels outils un acteur de la menace a pu installer pour faciliter son mouvement latéral ou l’exfiltration de données. Deuxièmement, leurs bases de données cryptographiques agissent comme un système intégré de contrôle d’intégrité des fichiers (FIM), permettant aux analystes de détecter rapidement les binaires système “trojanisés” (modifiés) par des rootkits en espace utilisateur.

1. Retracer la chronologie : journaux du gestionnaire de paquets

Lorsque les acteurs de la menace compromettent un serveur, ils manquent souvent des outils spécifiques nécessaires à leurs objectifs (ex: scanners de ports, outils de compilation ou utilitaires de reverse shell). Ils s’appuient fréquemment sur le gestionnaire de paquets natif du système pour télécharger ces dépendances, laissant ainsi une trace historique permanente.

En supposant que l’image forensique compromise est montée sur /mnt/analyse/, les analystes doivent cibler les fichiers de logs suivants selon la famille du système d’exploitation.

A. Famille Debian / Ubuntu (APT et DPKG)

• /var/log/apt/history.log : c’est le journal le plus lisible pour l’analyste. Il enregistre la commande de haut niveau exacte exécutée par l’utilisateur (ex: apt install netcat), les paquets demandés, ainsi que les horodatages de début et de fin.
• /var/log/dpkg.log : hautement verbeux. Il trace le décompactage et la configuration de bas niveau de chaque fichier individuel. Il est inestimable pour une reconstitution chronologique granulaire lors de la corrélation avec les MAC times du système de fichiers.

B. Famille RHEL / CentOS / Fedora (DNF et RPM)

• /var/log/dnf.log (ou yum.log sur les anciens systèmes) : l’enregistrement historique principal. Il liste tous les paquets installés, mis à jour ou effacés avec des horodatages précis.
• La base de données de transactions DNF : sur un système actif (ou via chroot), la commande dnf history fournit un aperçu puissant des transactions passées, y compris la possibilité de voir les actions annulées (“Undo”) que les attaquants pourraient utiliser pour nettoyer les paquets qu’ils ont déposés.

2. Détection de Rootkits : vérification de l’intégrité cryptographique

Au-delà de la journalisation, les gestionnaires de paquets maintiennent une base de données locale contenant les empreintes cryptographiques (hashs), les tailles de fichiers et les permissions de chaque fichier qu’ils installent. Les analystes DFIR peuvent militariser cette base de données pour détecter les binaires trojanisés (ex: un attaquant remplaçant /usr/sbin/sshd ou /bin/ls par une version malveillante dotée d’une porte dérobée).

Intégrité RPM (RHEL/CentOS)

verify_rpm_offline.sh

# RPM prend nativement en charge l'analyse hors ligne via l'indicateur --root.
# -V signifie Verify (Vérifier), -a signifie All (Tous les paquets installés).
rpm --root /mnt/analyse -Va

Décoder la sortie : RPM renvoie une chaîne de 8 caractères pour tout fichier s’écartant de sa ligne de base.

• S : la taille (Size) diffère
• 5 : le hash MD5 diffère (l’indicateur le plus critique)
• M : les permissions (Mode) diffèrent
• T : l’heure de modification (Time) diffère
• U / G : le propriétaire utilisateur ou groupe diffère

Exemple d’alerte rouge : S.5....T. /usr/sbin/sshd indique que la taille, le hash et l’horodatage du démon SSH ont changé. Il est hautement probable que le binaire ait été compromis (backdoored).

Intégrité DPKG (Debian/Ubuntu)

verify_dpkg_chroot.sh

# DPKG nécessite un environnement chroot pour vérifier correctement une image montée hors ligne.
# Montez d'abord les pseudo-systèmes de fichiers nécessaires (bind /dev, /proc, /sys)
chroot /mnt/analyse /bin/bash -c "dpkg -V"

Décoder la sortie : si la commande ne renvoie aucune sortie, tous les fichiers sont intacts. Si elle renvoie 5?? /bin/ps, cela indique une non-correspondance MD5. L’utilitaire de liste des processus (ps) a probablement été modifié par un rootkit en espace utilisateur pour masquer des PID malveillants.

3. Stratégies de Threat Hunting DFIR

Lors de l’analyse des artefacts du gestionnaire de paquets, les analystes doivent se concentrer sur trois hypothèses de chasse principales :

1. Chasser les capacités de “compilation sur site” : si les journaux révèlent l’installation d’outils de compilation (gcc, make, kernel-headers), c’est une alerte rouge majeure. Les attaquants installent ces paquets pour compiler des exploits d’élévation locale de privilèges (LPE) personnalisés directement sur la machine victime afin de contourner les incompatibilités de version du noyau.
2. Chasser les outils réseau à double usage : interrogez les journaux pour trouver l’installation d’outils comme nmap, netcat, socat, tcpdump, wireshark, python3-pip ou whois. Si ces outils ne font pas partie de “l’image de base” standard de l’entreprise, ils ont probablement été installés par l’adversaire pour faciliter le mouvement latéral et la reconnaissance.
3. Isolation temporelle (La fenêtre de l’incident) : l’application légitime de correctifs système implique généralement la mise à jour de dizaines ou centaines de paquets simultanément. Une entrée isolée montrant l’installation d’un seul paquet (ex: screen ou rsync) à 03h00 du matin le jour de l’intrusion suspectée est hautement anormale et nécessite une investigation immédiate.

---

Références et lectures complémentaires

• SANS Institute : Advanced Incident Response and Threat Hunting
• Documentation Red Hat : Verifying Packages with RPM
• Artefact lié : Analyse des comptes et privilèges Linux
• Artefact lié : Persistance héritée Linux (init.d)