Reponse questions Webinaire Ransomware 8 mars 2016
Transcription
Reponse questions Webinaire Ransomware 8 mars 2016
Q : Vous avez dit qu'il était possible que le ransomware utilise une clé privée/publique pour chaque fichier chiffré, est-ce fréquent ? Si oui, comment est-il possible que le chiffrement se fasse aussi vite ? R : Certains ransomwares génèrent en effet des centaines de paires de clés publiques/privées une fois qu’ils sont en contact avec leur serveur de Command & Control. Ce n’est pas la méthode la plus utilisée. Le chiffrement peut se faire assez vite étant donné que les clés publiques sont importées dans la base de registre et donc à portée de main. . Le chiffrement ne démarrant qu’une fois les clés obtenues du C&C, le chiffrement n’est pas plus lent avec plusieurs clés qu’avec une clé unique. Q: Que se passe-t-il lorsque Locky (ou un autre ransomware) s'exécute sur le poste client mais n'arrive pas à communiquer avec ses serveurs C&C ? R: Il arrive que des ransomwares disposent de leurs propres clés de chiffrement (stockés dans le binaire). Certains vont essayer de rentrer en contact avec leur serveur de C&C avant de commencer à chiffrer, d’autres lancent directement le chiffrement du poste. Pour information, si le ransomware a pu établir une première communication avec un de ses serveurs de Command & Control, il obtient en général une liste complémentaire de proxys et de serveurs de Command & control. En cas de perte de communication avec un de ses serveurs de C&C, le ransomware pourra être redirigé vers un autre serveur afin de tenter la récupération d’une paire de clés publique/privée afin de lancer le chiffrement. Q: A quoi sert le module PUA de Sophos? Ne peut-il pas tout simplement détecter un tel comportement? R :Le module PUA dans Sophos Endpoint est utilisé pour détecter les applications potentiellement Indésirables (Potentially Unwanted Applications) au sein d’un réseau d’entreprise (PSExec,PSkill, Outils de prise de main à distance). Elles ne contiennent pas du code malveillant mais mal utilisées peuvent représenter une menace. Q: Avez-vous une règle "modèle" pour bloquer les flux vers les serveurs C2C mise à part le drecryptage HTTPS ? R: Le filtrage des URLs malveillantes permet aussi de bloquer les liens vers des serveurs de type C&C Q: Les fileSystem de type Mac ou Linux sont- ils concernés par ces attaques ? R: La grande majorité des ransomwares a pour cible les plateformes Windows. Toutefois, beaucoup de clients qui utilisent des serveurs de fichiers Unix/Linux avec des partages Samba rendent l’infection possible. Nous avons observé un des premiers Ransomwares sous Mac OS X la semaine dernière. Plus d’information à ce sujet ici Q: Un organisme centralise t-il les statistiques relatives à ces attaques ? ( nombre d'entreprise recevant les emails , nombre touchées, amplitude rançon, ect, ... ) R: Lorsque ces informations sont publiées, nous traitons généralement cette information sur les blogs Sophos (http://nakedsecurity.sophos.com et http://www.sophosfranceblog.fr. Vous pouvez également consulter le site du CERT-FR qui lance régulièrement des alertes sur les dernières attaques malveillantes. http://www.cert.ssi.gouv.fr/ A titre d’exemple, un de leur dernier bulletin d’alerte datant du 4 mars 2016, donne la liste d’URLs connues pour être utilisées pour télécharger Locky et pour héberger des serveurs de type Command & Control. Q: Est-ce qu'il est envisageable d'avoir un ransomware qui sommeil pendant plusieurs semaines ? R: Oui, cela est possible est assez fréquent dans le cas de ransomware installé sur une machine et restant derrière un firewall empêchant de récupérer la clé de chiffrement, mais déclenchant le chiffrement lorsque la connectivité est restaurée. Le cas fréquent est la machine PC portable infectée restant sur un bureau pendant quelque temps, puis le collaborateur se déplaçant ou travaillant à domicile. N’étant plus protégé par le firewall, l’obtention de la clé de chiffrement est possible. Nous avons eu des cas de ransomwares qui restaient inactifs pendant quelques jours (le dernier en date était sous Mac OS X). Il n’est pas impossible que des Ransomwares puissent rester en sommeil pendant plusieurs semaines. Toutefois, le but premier étant de collecter de l’argent, ils se déclarent en règle générale au bout de quelques heures, une fois le chiffrement des données terminé. Q: Est-ce que le nouveau client Sophos Endpoint offre une meilleure protection? R: En plus de proposer des évolutions sur nos solutions existantes afin de mieux protéger nos clients (MTD, Heartbeat, Synchronised Security etc…), nous travaillons en permanence à l’intégration de nouvelles fonctionnalités. A titre d’exemple, avec le rachat de la société SurfRight (commercialisation du produit HitManPro), notre offre Sophos Endpoint intégrera un module supplémentaire permettant d’améliorer la détection des exploits. Il est en outre recommandé d’activer l’ensemble des fonctions de sécurité de la solution afin de réduire la surface d’exposition aux risques. Q: Est-il envisagé de pouvoir proposer le Sandboxing avec les licences "Cloud Email Security" ? R: L’intégration de Sandstorm dans l’ensemble des produits Sophos fait effectivement partie de notre stratégie produits Q: Ne peut-on pas bannir les IP des serveurs Malicieux ? R: Il est tout à fait possible et même recommandé de bannir les @IP des serveurs malicieux quand l’information est disponible et valide Nous vous recommandons de vous rapprocher du CERT-FR qui publie régulièrement la liste des URLs de serveurs de type C&C. http://www.cert.ssi.gouv.fr/ Q: Avez-vous des packages de paramètres installables sur vos Firewall pour bloquer le trafic sortant vers TOR et les autres sources pour les C&C ? R: TOR est pris en charge comme application dans les firewalls Sophos et filtré comme tel. Il suffit de bloquer TOR pour régler le problème sur ce point. Q: Bonjour, Y a-t-il des règles particulières à mettre en place sur le client Sophos Endpoint pour contrer les ransomwares ? R: Voici quelques bonnes pratiques pour le produit Sophos Endpoint. S’assurer que les options de contrôle de l’antivirus : lecture, écriture et renommage soient bien activées Activer la protection Live Sophos Activer la détection comportementale/Heuristique (HIPS), (et surtout le blocage sur détection!) Activer la protection Web, au strict minimum sur les URLs malveillantes, mais réduisez le risque avec les catégories indésirables Pare-feu client activé et filtrant Détecter les communications suspectes en activant le module Malicious Traffic Detection Mise en place du contrôle d’applications autorisées sur le poste de travail Vous devriez également comparer les politiques actives avec nos recommandations grâce à Sophos Policy Evaluator : https://www.sophos.com/support/knowledgebase/122615.aspx Enfin, je vous invite à consulter les articles suivants pour plus d’information. https://www.sophos.com/en-us/support/knowledgebase/114345.aspx Q: Est-il possible d'envoyer les fichiers cryptés chez Sophos pour trouver une solution ? R: Malheureusement nous ne pourrons rien faire si vous nous faîtes parvenir des fichiers chiffrés par un Ransomware. En effet, nous ne disposons évidemment pas des clés privées nécessaire pour déchiffrer les fichiers. En cas de non détection du ransomware, vous pouvez soumettre l’échantillon via ce formulaire : https://secure2.sophos.com/en-us/support/contact-support/sample-submission.aspx