Télécharger - from sys core
Transcription
Télécharger - from sys core
Détection de Malware Windows MÉTHODES DE RÉPONSE AUX INCIDENTS Réaliser par : Equipe SYSTEM Core Agenda Préparation Identification Confinement Assainissement Récupération Conséquences 2 Préparation Un accès physique au système suspect devrait être offert à l'enquêteur médico-légale. Une bonne connaissance du réseau habituel et des activités locales de l'ordinateur sont appréciées. Vous devriez avoir un fichier décrivant l'activité des ports d'habitude, d'avoir une base de comparaison avec l'état actuel. Une bonne connaissance des services communs utilisés et des applications installées est nécessaire. Ne pas hésiter à demander à un expert de Windows son aide, le cas échéant. 3 Identification Signes généraux de la présence de malwares du bureau Plusieurs pistes pourraient laisser entendre que le système pourrait être compromise par un malware: Augmentation d’une alerte antivirus ou son incapacité de mettre à jour ses signatures ou d'arrêter de fonctionner . L’activité du disque dur Insolite: le disque dur réalise d’énormes opérations au moment inattendu. Ordinateur anormalement lent: alors qu'il livrait habituellement une bonne vitesse, il est devenu plus lent récemment Activité réseau inhabituelle: une connexion Internet est très lente la plupart du temps de navigation. L'ordinateur redémarre sans raison. Certaines applications sont en chute, de manière inattendue. Des fenêtres pop-up apparaissent lors de la navigation sur le web. (parfois même sans la navigation). Votre adresse IP (si statique) est blacklistée sur une ou plusieurs des listes noires Internet. Les gens se plaignent de vos e-mailing, etc. 4 Identification 5 Les actions ci-dessous utilise par défaut des outils Windows. Les utilisateurs autorisés peuvent utiliser les Utilitaires de Dépannage Sysinternals à effectuer ces tâches. Comptes inhabituelles Regardez les comptes insolites et inconnus créés, en particulier dans le groupe Administrateurs: C: \> lusrmgr.msc Fichiers Insolite Recherchez les gros fichiers inhabituels sur le support de stockage, plus grand que 10 Mo semble être raisonnable. Recherchez les fichiers inhabituels ajouté récemment dans les dossiers système, surtout C: \ WINDOWS \ system32. Recherchez les fichiers en utilisant l'attribut "caché": C: \> dir / S / A: H Entrées de registre inhabituelles Recherchez des programmes insolites lancés au démarrage dans ls Registres Windows, en particulier: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Runonce HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion\ Winlogon Vérifiez pour les mêmes entrées dans HKCU, Identification Procédés et services inhabituels Vérifiez tous les processus en cours d'exécution pour les entrées inhabituelles / inconnues, traitez surtout avec le nom d'utilisateur "SYSTEM" et «Administrateur»: C: \> taskmgr.exe Recherchez des services de réseau inhabituels / inattendus installés et lancés: C: \> services.msc C: \> net start Remarque: une bonne connaissance des services habituels est nécessaire. Activité réseau Insolite Vérifiez les partages de fichiers et de vérifier que chacun est lié à une activité normale: C: \> net view \\ 127.0.0.1 Regardez les sessions ouvertes sur la machine: C: \> net session Jetez un oeil sur les actions de la machine ouvertes avec d'autres systèmes: C: \> net use Vérifier toute connexion Netbios suspect: C: \> nbtstat- S 6 Identification Cherchez toute activité suspecte sur le protocole TCP / IP du système ports: C: \> netstat -na 5 Utilisez -o pour Windows XP / 2003 pour voir le propriétaire de chaque processus: C: \> netstat -nao 5 Utilisez un sniffer (Wireshark, tcpdump, etc.) et voir s’il y a des tentatives de connexions inhabituelles ou à des systèmes distants. Si aucune activité suspecte n’est témoin, utilisez le tout sniffer parcourant certains sites sensibles (site bancaire pour exemple) et voir s’il y a une activité réseau particulière. Remarque: Une bonne connaissance de l'activité de réseau est légitimeent nécessaire. Tâches automatisées inhabituelles Regardez la liste des tâches planifiées pour toute entrée inhabituelle: C: \> ou sous Windows 2003 / XP: C: \> schtasks Vérifiez également les répertoires de démarrage automatique de l'utilisateur: C: \ Documents and Settings \ user \ Menu Démarrer \ Programmes \ Démarrage C: \ WINNT \ Profiles \ user \ Menu Démarrer \ Programmes \ Démarrage 7 Identification Inhabituels entrées de journal Regardez vos fichiers journaux pour les entrées inhabituelles: C: \> eventvwr.msc Recherchez des événements tels que les suivants: "Service de journal des événements a été arrêté" "La protection de fichiers Windows n’est pas actif" "Le fichier système protégé <nom> n'a pas été restauré à son origine" "Service Telnet a démarré avec succès " Surveillez votre pare-feu (le cas échéant) les fichiers journaux de l'activité suspecte. Vous pouvez également utiliser un antivirus à jour pour identifier les logiciels malveillants sur le système, mais sachez que cela pourrait détruire des preuves. Dans le cas où rien de suspect n'a été trouvé, cela ne signifie pas que le système n’est pas infecté. Un rootkit pourrait être actif par exemple, distrayant tous vos outils pour donner de bons résultats. En outre, une enquête médico-légale peut être faite sur le système alors qu'il est éteint, si le système est toujours suspect. Le cas idéal est de faire une copie bit par bit du disque dur contenant le système, et d'analyser la copie à l'aide d’outils forensics comme EnCase ou X-Ways. 8 Confinement Retirez la machine infectée hors du réseau physiquement, pour prévenir l'infection de plus de machines sur le réseau et pour arrêter l'action illégale probable qui peut être faite à partir de votre ordinateur (le logiciel malveillant pourrait envoyer du spam en masse, prendre part à une attaque DDoS ou stocker des fichiers illégaux sur le système par exemple). Envoyer les binaires suspects à votre CERT, ou demander au CERT de vous aider si vous n'êtes pas sûr du malware. Le CERT devrait être capable d'isoler le contenu malveillant et peut l'envoyer à toutes les sociétés d’antivirus, en particulier avec les fournisseurs de votre entreprise. (La meilleure façon est de créer un fichier zippé et chiffré du binaire suspect, en utilisant un mot de passe). 9 Assainissement Redémarrez à partir d'un CD et sauvegardez à la volée toutes les données importantes sur un support de stockage externe. En cas de doute, apportez votre disque dur au service d'assistance et leur demander de faire une copie du contenu important. Retirez les binaires et les entrées de registre connexes. Trouvez les meilleures pratiques pour supprimer les logiciels malveillants. Elles peuvent généralement être trouvées sur les sites d’éditeurs de logiciels antivirus. Exécutez une analyse antivirus en ligne. Lancez une désinfection d'un anti-virus dédié en live CD (peut être téléchargé à partir de sites AV). 10 Récupération Si c’est possible de réinstaller le système d'exploitation et des applications et de restauration les données de l'utilisateur provenant d'une des sauvegardes de confiance. Dans le cas où l'ordinateur n'a pas été réinstallé complètement: Restaurez les fichiers qui auraient été corrompus par les logiciels malveillants, en particulier les fichiers système. Redémarrez la machine après que tout le nettoyage a été fait, et vérifiez la santé le système, faite un scan de virus de l'ensembles du système, des disques durs et de la mémoire. 11 Conséquences Rapport Un rapport d'incident doit être écrit et mis à la disposition de toutes les parties prenantes. Les thèmes suivants doivent être décrites: Détection initiale. Actions et les échéanciers. Quel est allé droit. Qu'est-ce qui a mal tourné. Le coût des incidents. Capitaliser Les actions visant à améliorer les processus de détection des logiciels malveillants de Windows devraient être définis pour capitaliser sur cette expérience. 12 13 “ Pour toute information veuillez nous contacter sur l'adresse : [email protected] SUIVEZ NOUS SUR LES RÉSEAUX SOCIAUX : https://www.facebook.com/syscorema https://www.twitter.com/syscore1 https://plus.google.com/+SyscoreTk_IT_Security https://youtube.com/c/SyscoreTk_IT_Security https://ma.linkedin.com/in/syscore ”