Comment traiter les incidents et effectuer des levées de
Transcription
Comment traiter les incidents et effectuer des levées de
eGambit Forensic Comment traiter les incidents et effectuer des levées de doutes, grâce aux outils de type autopsies numériques proposés dans eGambit ©TEHTRIS www.tehtris.com 1 A propos de l’activité “forensic” o Dans les équipes CSIRT/SOC, nous sommes tous concernés par la sécurité des postes, et nous avons parfois des doutes quant à certains hôtes • Est-il compromis ou non ? C’est l’une des questions essentielles o Votre infrastructure peut inclure différents systèmes d’exploitation et distributions, qui ne peuvent pas forcément être gérés par un outil central d’analyse de sécurité • • • • Ordinateurs portables / Postes de travail / Serveurs Windows : XP, 2003, Vista, 2008, 7, 2012… Linux : Ubuntu, Debian, CentOS, Fedora, ArchLinux, OpenSUSE… Mac OS X : Yosemite, El Capitan… o Un lecteur “forensic” a besoin d’analyser divers endroits de vos systèmes pour pouvoir détecter un programme ou une activité suspecte • Processus, Fichiers, Mémoire, Registres, Réseau, Démarrage… o Dans certains cas, une infrastructure de sandbox est nécessaire pour analyser le comportement d’un fichier étrange, comme un document ou un binaire o Avec eGambit Forensic, vous avez toutes ces fonctionnalités essentielles ©TEHTRIS www.tehtris.com 2 A propos de eGambit Forensic oeGambit Offline Forensic ou “E.O.F.” • C’est un programme qui peut inspecter de nombreuses zones de vos systèmes, et générer un rapport. Pas besoin d’être connecté à Internet oSite web eGambit Forensic • Ce site web peut lire les rapports générés par “E.O.F.”, pour que vous puissiez obtenir un diagnostic basé sur des bases de données internes / externes o Cela revient à scanner vos systèmes par plus de 50 antivirus • Vous pouvez aussi utiliser des hashs, domaines, URLs et adresses IP pour obtenir le rapport de sécurité associé • Vous pouvez mettre en ligne des fichiers suspects pour un scan complet par des bases internes / externes • Pour une analyse avancée, vous pouvez envoyer des fichiers à la sandbox eGambit pour les analyser / exécuter de manière sécurisée ©TEHTRIS www.tehtris.com 3 eGambit Forensic Assets Inventory Threat Intelligence Post Intrusion Security Assessments eGambit 360° Network Detection System & App Monitoring Network Monitoring System Protection ©TEHTRIS www.tehtris.com 4 eGambit Offline Forensic “E.O.F.” – Vue d’ensemble rapport généré Fichiers, processus, démarrage, mémoire, réseau… Mettez-le en ligne sur le site eGambit Forensic E.O.F fonctionne sous Windows, Linux ou Mac OS X Binaires • • update.exe driver.exe Documents • • • Contract.doc Manual.pdf … goodware malware malware goodware 9 / 56 23 / 55 Le site eGambit Forensic va lire les ”rapports E.O.F” pour vous proposer un diagnostic ©TEHTRIS www.tehtris.com 5 eGambit Offline Forensic “E.O.F.” Fonctions principales o Scan Standard • Processus, Programmes au démarrage, Fichiers du disque. De nombreux formats sont gérés : • Plus de 70 extensions, comme EXE, DLL, SYS, BAT, PDF, DOC… o Scan Avancé • Scan de mémoire, Macros office, Scans de navigateurs, Logiciels installés, Antivirus… o Commandes et actions spécifiques • Configuration réseau (routage, proxy…), Groupes, Utilisateurs, Informations système… ©TEHTRIS www.tehtris.com 6 eGambit Offline Forensic “E.O.F.” – Options oScan de fichiers : peut durer très longtemps s’il y a plusieurs millions de fichiers à analyser oScan de documents : doc, ppt, xls ou fichiers pdf. Ils peuvent contenir des noms/infos sensibles oScan de fichiers en profondeur pour détecter des portes dérobées cachées : peut être très long oScan personnalisé : ajoutez vos propres règles pour détecter des menaces spécifiques grâce à un format standard ©TEHTRIS www.tehtris.com 7 eGambit Forensic – Fonctionnalités du Site Web o Vous pouvez lancer une analyse de sécurité par le biais de sources internes ou externes • Actuellement, TEHTRIS propose environ 50 millions de hashs dans sa base interne • De plus, des millions de hashs sont disponibles par l’intermédiaire de liens vers des bases privées externes o “Search” • Ici, vous pouvez soumettre des hashs de fichiers, adresses IP, domaines internet et URLs o “File” • Ici, vous pouvez facilement mettre en ligne vos propres fichiers pour analyse o “E.O.F [Forensic]” • Téléchargez l’outil forensic & lancez-le sous MS Windows, Linux et Apple Mac OS X • Puis mettez en ligne les rapports E.O.F générés, et obtenez un rapport forensic complet o “Sandbox” • Soumettez des fichiers pour une analyse en profondeur, en les exécutant dans un environnement Windows sain • Choisissez les options d’analyse : scan mémoire, hooks noyau ou utilisateur, Windows XP ou 7 ©TEHTRIS www.tehtris.com 8 Analyse par la Sandbox – Vue d’ensemble les fichiers sont exécutés mettez en ligne des fichiers Site web eGambit Forensic o Les Sandbox Windows environnements Windows émulés analysent de manière sécurisée tous types de fichiers suspects • Supporte de nombreux formats : .exe, .dll, .msi, .pdf, .doc, .xls, .ppt, .vbs, .jar, .html, .ps1, .zip, .rar… o Traque toute activité impliquant des fichiers, registres, réseaux, processus… o Détecte les menaces fréquentes • Keylogger, injection dans le navigateur, modification du proxy, collecte d’identifiants/mots de passe, exfiltration… o Détecte les comportements furtifs • Fichiers cachés, arrêt d’antivirus, anti-sandbox, persistance furtive, anti-debug… o Cela peut fournir d’intéressants IOC (“Indicator Of Compromise”) • Assistance pour votre équipe afin de repérer la menace dans tout votre environnement IT ©TEHTRIS www.tehtris.com 9 Analyse par la Sandbox – Echantillons ©TEHTRIS www.tehtris.com 10 Synthèse – eGambit Forensic oTrois niveaux d’enquêtes « forensic » • Analyseur hors-ligne pour Windows, Linux et Mac OS X [“E.O.F”] • Site web pour recherches spécifiques & mise en ligne pour analyse avec base de données • Infrastructure de Sandbox pour analyse en profondeur oServices à jour pour chaque fonctionnalité – continuité • Ajouts réguliers de nouvelles fonctions mortelles dans “E.O.F” • Nos bases sont automatiquement remplies, et mises à jour quotidiennement avec de nouvelles données venant de sources internes et externes • L’infrastructure de Sandbox est constamment améliorée pour lutter contre les nouvelles menaces, et proposer de nouvelles fonctionnalités ©TEHTRIS www.tehtris.com 11 Let’s adopt eGambit ©TEHTRIS www.tehtris.com 12