Télécharger - from sys core

Détection de
Malware Windows
MÉTHODES DE RÉPONSE AUX INCIDENTS
Réaliser par :
Equipe SYSTEM Core
Agenda

Préparation

Identification

Confinement

Assainissement

Récupération

Conséquences
2
Préparation

Un accès physique au système suspect devrait être offert à
l'enquêteur médico-légale.

Une bonne connaissance du réseau habituel et des activités locales
de l'ordinateur sont appréciées. Vous devriez avoir un fichier
décrivant l'activité des ports d'habitude, d'avoir une base de
comparaison avec l'état actuel.

Une bonne connaissance des services communs utilisés et des
applications installées est nécessaire. Ne pas hésiter à demander à
un expert de Windows son aide, le cas échéant.
3
Identification
Signes généraux de la présence de malwares du bureau
Plusieurs pistes pourraient laisser entendre que le système pourrait être compromise par
un malware:
Augmentation d’une alerte antivirus ou son incapacité de mettre à jour ses signatures ou
d'arrêter de fonctionner .
L’activité du disque dur Insolite: le disque dur réalise d’énormes opérations au moment
inattendu.
Ordinateur anormalement lent: alors qu'il livrait habituellement une bonne vitesse, il est
devenu plus lent récemment
Activité réseau inhabituelle: une connexion Internet est très lente la plupart du temps de
navigation.
L'ordinateur redémarre sans raison.
Certaines applications sont en chute, de manière inattendue.
Des fenêtres pop-up apparaissent lors de la navigation sur le web. (parfois même sans la
navigation).
Votre adresse IP (si statique) est blacklistée sur une ou plusieurs des listes noires Internet.
Les gens se plaignent de vos e-mailing, etc.
4
Identification
5
Les actions ci-dessous utilise par défaut des outils Windows. Les utilisateurs autorisés peuvent utiliser les
Utilitaires de Dépannage Sysinternals à effectuer ces tâches.
Comptes inhabituelles
Regardez les comptes insolites et inconnus créés, en particulier dans le groupe Administrateurs:
C: \> lusrmgr.msc
Fichiers Insolite
Recherchez les gros fichiers inhabituels sur le support de stockage, plus grand que 10 Mo semble être
raisonnable.
Recherchez les fichiers inhabituels ajouté récemment dans les dossiers système, surtout C: \
WINDOWS \ system32.
Recherchez les fichiers en utilisant l'attribut "caché":
C: \> dir / S / A: H
Entrées de registre inhabituelles
Recherchez des programmes insolites lancés au démarrage dans ls Registres Windows, en particulier:
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Runonce
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion\ Winlogon
Vérifiez pour les mêmes entrées dans HKCU,
Identification
Procédés et services inhabituels
Vérifiez tous les processus en cours d'exécution pour les entrées inhabituelles / inconnues,
traitez surtout avec le nom d'utilisateur "SYSTEM" et «Administrateur»:
C: \> taskmgr.exe
Recherchez des services de réseau inhabituels / inattendus installés et lancés:
C: \> services.msc
C: \> net start
Remarque: une bonne connaissance des services habituels est nécessaire.
Activité réseau Insolite
Vérifiez les partages de fichiers et de vérifier que chacun est lié à une activité normale:
C: \> net view \\ 127.0.0.1
Regardez les sessions ouvertes sur la machine:
C: \> net session
Jetez un oeil sur les actions de la machine ouvertes avec d'autres systèmes:
C: \> net use
Vérifier toute connexion Netbios suspect:
C: \> nbtstat- S
6
Identification
Cherchez toute activité suspecte sur le protocole TCP / IP du système ports:
C: \> netstat -na 5
Utilisez -o pour Windows XP / 2003 pour voir le propriétaire de chaque processus:
C: \> netstat -nao 5
Utilisez un sniffer (Wireshark, tcpdump, etc.) et voir s’il y a des tentatives de connexions
inhabituelles ou à des systèmes distants. Si aucune activité suspecte n’est témoin, utilisez
le tout sniffer parcourant certains sites sensibles (site bancaire pour
exemple) et voir s’il y a une activité réseau particulière.
Remarque: Une bonne connaissance de l'activité de réseau est légitimeent nécessaire.
Tâches automatisées inhabituelles
Regardez la liste des tâches planifiées pour toute entrée inhabituelle:
C: \> ou sous Windows 2003 / XP: C: \> schtasks
Vérifiez également les répertoires de démarrage automatique de l'utilisateur:
C: \ Documents and Settings \ user \ Menu Démarrer \ Programmes \ Démarrage
C: \ WINNT \ Profiles \ user \ Menu Démarrer \ Programmes \ Démarrage
7
Identification
Inhabituels entrées de journal
Regardez vos fichiers journaux pour les entrées inhabituelles:
C: \> eventvwr.msc
Recherchez des événements tels que les suivants:
"Service de journal des événements a été arrêté"
"La protection de fichiers Windows n’est pas actif"
"Le fichier système protégé <nom> n'a pas été restauré à son origine"
"Service Telnet a démarré avec succès "
Surveillez votre pare-feu (le cas échéant) les fichiers journaux de l'activité suspecte. Vous pouvez
également utiliser un antivirus à jour pour identifier les logiciels malveillants sur le système, mais
sachez que cela pourrait détruire des preuves.
Dans le cas où rien de suspect n'a été trouvé, cela ne signifie pas que le système n’est pas infecté.
Un rootkit pourrait être actif par exemple, distrayant tous vos outils pour donner de bons résultats.
En outre, une enquête médico-légale peut être faite sur le système alors qu'il est éteint, si le
système est toujours suspect. Le cas idéal est de faire une copie bit par bit du disque dur
contenant le système, et d'analyser la copie à l'aide d’outils forensics comme EnCase ou X-Ways.
8
Confinement
Retirez la machine infectée hors du réseau physiquement, pour
prévenir l'infection de plus de machines sur le réseau et pour arrêter
l'action illégale probable qui peut être faite à partir de votre ordinateur
(le logiciel malveillant pourrait envoyer du spam en masse, prendre
part à une attaque DDoS ou stocker des fichiers illégaux sur le système
par exemple).
Envoyer les binaires suspects à votre CERT, ou demander au CERT
de vous aider si vous n'êtes pas sûr du malware. Le CERT devrait être
capable d'isoler le contenu malveillant et peut l'envoyer à toutes les
sociétés d’antivirus, en particulier avec les fournisseurs de votre
entreprise. (La meilleure façon est de créer un fichier zippé et chiffré
du binaire suspect, en utilisant un mot de passe).
9
Assainissement
Redémarrez à partir d'un CD et sauvegardez à la volée toutes les données
importantes sur un support de stockage externe. En cas de doute, apportez
votre disque dur au service d'assistance et leur demander de faire une copie
du contenu important.
Retirez les binaires et les entrées de registre connexes.
Trouvez les meilleures pratiques pour supprimer les logiciels malveillants.
Elles peuvent généralement être trouvées sur les sites d’éditeurs de logiciels
antivirus.
Exécutez une analyse antivirus en ligne.
Lancez une désinfection d'un anti-virus dédié en live CD (peut être téléchargé
à partir de sites AV).
10
Récupération
Si c’est possible de réinstaller le système d'exploitation et des
applications et de restauration les données de l'utilisateur provenant
d'une des sauvegardes de confiance.
Dans le cas où l'ordinateur n'a pas été réinstallé complètement:
Restaurez les fichiers qui auraient été corrompus par les logiciels
malveillants, en particulier les fichiers système.
Redémarrez la machine après que tout le nettoyage a été fait, et
vérifiez la santé le système, faite un scan de virus de l'ensembles du
système, des disques durs et de la mémoire.
11
Conséquences
Rapport
Un rapport d'incident doit être écrit et mis à la disposition de toutes les
parties prenantes.
Les thèmes suivants doivent être décrites:
 Détection initiale.
 Actions et les échéanciers.
 Quel est allé droit.
 Qu'est-ce qui a mal tourné.
 Le coût des incidents.
Capitaliser
Les actions visant à améliorer les processus de détection des logiciels
malveillants de Windows devraient être définis pour capitaliser sur cette
expérience.
12
13
“
Pour toute information veuillez
nous contacter sur l'adresse :
[email protected]
SUIVEZ NOUS SUR LES RÉSEAUX SOCIAUX :
https://www.facebook.com/syscorema
https://www.twitter.com/syscore1
https://plus.google.com/+SyscoreTk_IT_Security
https://youtube.com/c/SyscoreTk_IT_Security
https://ma.linkedin.com/in/syscore
”