Trend Micro Update for Nestle

TREND MICRO
Démonstration Deep Discovery
08.06.2016
Boris Martinod
Attaque ciblée et partage de l’information en interne
Téléchargement d’un
malware
2
1
DDI détecte le
fichier comme
étant un malware
et envoie ces
informations a
TMCM sous
forme de SO (IP,
SHA1, Domain,
URL)
Install Backdoor
3
4
C&C Connection
OSCE bloque le fichier
ainsi que les callback vers
le server C&C
Desktop
1
4
DDI
Attaques interne et Infections
3
TMCM
2
OSCE
OSCE synchronise la liste SO de TMCM et
basé sur les policies de TMCM log, block
ou effectue des mises en quarantaine
OSCE envoie les mise à
jour aux agents
Detail du Ransomware Locky
-
Diffusion par Email (fichier zip, doc ou exe)
Non détecté par les antivirus basés sur la réputation.
Utilisation de DGA (Domain Generation Algorism) afin d’éviter le blocage par URL filtering.
Modification de clef de registre pour un démarrage automatique :
- Stockage de la clef publique d’encryption dans le registre dans
HKEY_CURRENT_USER\Software\Locky :
Copyright 2012 Trend Micro Inc.
3
Locky (suite)
- Encryption des fichiers de type :
- Extension après encryption en .locky
- Demande d’une rançon payable en Bitcoins (anonymat)
- Apparition de variantes
Copyright 2016 Trend Micro Inc.
4
Derniers Ransomwares Notables (non exhaustif)
Copyright 2016 Trend Micro Inc.
5
Liste des familles de Ransomware (non exhaustive)
Copyright 2016 Trend Micro Inc.
6
Liens utiles
Information sur les Ransomware :
http://www.trendmicro.com/vinfo/us/security/definition/ransomware
Recherches et analyses:
http://www.trendmicro.com/vinfo/us/security/research-and-analysis
Rapport de Menaces :
http://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports
Copyright 2016 Trend Micro Inc.
7
Questions & Answers
Thank You!
Copyright 2016 Trend Micro Inc.
Gartner's Endpoint Detection and Response
Trend Micro is the first
of the established EPP
vendors to deliver an EDR
solution
Source: Trend Micro / Gartner [www]
9
Copyright 2016 Trend Micro Inc.