Project

General

Profile

Alertes en provenance du CERTA CERT-Renater » History » Version 18

Herve Ballans, 15/10/2013 14:58

1 1 Herve Ballans
h1. Alertes en provenance du CERTA  CERT-Renater
2 1 Herve Ballans
3 14 Herve Ballans
{{>toc}}
4 14 Herve Ballans
5 15 Herve Ballans
h2. Cryptolocker : une rançon pour déchiffrer vos données (Avis de sécurité CNRS du 7 octobre 2013)
6 12 Herve Ballans
7 12 Herve Ballans
Il nous a été signalé qu’une machine avait été infectée  par « Cryptolocker ». Ce logiciel malfaisant chiffre les différents fichiers de la machine et présente une demande de rançon pour les déchiffrer.
8 12 Herve Ballans
9 16 Herve Ballans
!cryptolocker.png!
10 16 Herve Ballans
11 12 Herve Ballans
L’implémentation de la cryptographie y est suffisamment robuste pour qu’à ce jour, il n’existe aucune méthode connue permettant de retrouver la clé de chiffrement et donc de déchiffrer les fichiers. Seul le pirate qui possède la clé peut le faire.
12 12 Herve Ballans
13 12 Herve Ballans
Il ne faut jamais payer la rançon. Il y a pour cela plusieurs raisons :
14 12 Herve Ballans
15 13 Herve Ballans
* On ne peut faire confiance à un criminel. Rien ne garantit qu’il fournisse la clé de déchiffrement. Les expériences relatées sur Internet montrent que, généralement, ce n’est pas le cas.
16 13 Herve Ballans
* Le pirate pourrait utiliser les éléments fournis lors du paiement pour détourner des sommes encore plus élevées que celle demandée.
17 1 Herve Ballans
* Céder montre que l’on est vulnérable et que l’on est une cible susceptible de céder à d’autres chantages encore plus importants. C’est d’autant plus grave que le pirate, outre le fait de chiffrer les fichiers, a bien évidemment espionné le contenu de la machine et possède donc des éléments pour cibler ses prochaines tentatives de chantage.
18 13 Herve Ballans
19 17 Herve Ballans
La seule parade est donc d’avoir une sauvegarde récente des fichiers. On ne répètera jamais assez l’absolue nécessité d’avoir des sauvegardes. Si une information n’est pas stockées en plusieurs endroits, c’est comme-ci elle n’existait pas. Attention ! Une vraie sauvegarde permet de récupérer les fichiers tels qu’ils étaient dans un état antérieur. La redondance des informations comme avec les RAID ne protège que d’une défaillance matérielle. La simple synchronisation de répertoires à la Dropbox protège contre la perte du support, à la suite d’une panne ou d’un vol par exemple, mais ne permet pas de rétablir les fichiers  tels qu’ils étaient avant l’incident. 
20 12 Herve Ballans
21 1 Herve Ballans
Comment est-ce arrivé ? L’utilisateur a reçu un message en provenance de auto-confirmnnn@amazon.com où nnnn est un nombre, dont le sujet est :
22 17 Herve Ballans
<pre>
23 17 Herve Ballans
Your Amazon.com order #R-7-8007143-1656114
24 17 Herve Ballans
</pre>
25 12 Herve Ballans
26 17 Herve Ballans
et le contenu :
27 17 Herve Ballans
28 17 Herve Ballans
!phishing_cryptolocker.png!
29 12 Herve Ballans
30 12 Herve Ballans
Le fichier joint était une archive ZIP qui contenait un exécutable Windows portant le nom de « Order details .exe ». L’utilisateur ne se méfiant pas a cliqué un certain nombre de fois pour récupérer  la pièce jointe, en extraire le fichier de l’archive et exécuter le programme. Evidemment l’exécutable contenait un code malfaisant.
31 12 Herve Ballans
32 12 Herve Ballans
 
33 12 Herve Ballans
34 12 Herve Ballans
Le premier piège résidait dans le fait que l’adresse qui s’affichait auto-confirm@amazon.com n’était pas celle de l’expéditeur qui était en réalité xxxx@yahoo.com où xxxx est une suite de lettres et de chiffres relativement complexe et ne ressemblant pas à ce que choisirait un vrai humain. On peut donc présumer que cette adresse a été créée uniquement pour effectuer cette attaque. Comment le piège fonctionne-t-il ? Il faut savoir qu’une adresse complète de courrier électronique a le format suivant :
35 12 Herve Ballans
36 12 Herve Ballans
addresse_affichée<nom@domaine>
37 12 Herve Ballans
38 12 Herve Ballans
Ce qui est affiché dans l’outil de de messagerie est ce qui est extérieur à <> et ce qui est utilisé pour les échanges est ce qui est intérieur à <>. Evidemment dans le cas présent l’adresse affichée était une adresse du domaine amazon.com.
39 12 Herve Ballans
40 12 Herve Ballans
41 10 Herve Ballans
h2. Envoi d'exécutables malveillants par courriel (Bulletin d'actualité CERTA du 23 août 2013)
42 9 Herve Ballans
43 9 Herve Ballans
De nombreux incidents traités par le CERTA ont pour origine des courriels malveillants. Souvent, de simples exécutables malveillants sont envoyés en pièce jointe et traversent pourtant l'ensemble des dispositifs de sécurité mis en place.
44 9 Herve Ballans
45 9 Herve Ballans
Si la malveillance de ces courriels est généralement assez facilement identifiable par leur contenu négligé (fautes d'orthographe, français approximatif, etc.), certains attaquants sont plus subtils. Récemment, le CERTA a eu affaire à une vague de messages où le nom et le prénom de l'utilisateur étaient inscrits dans le nom d'un exécutable malveillant en pièce jointe, faisant croire à ce dernier qu'il était directement concerné par le sujet pour l'inciter à l'ouvrir.
46 9 Herve Ballans
47 9 Herve Ballans
Outre la sensibilisation des utilisateurs à ce genre d'attaques, quelques mesures permettent de s'en prémunir :
48 9 Herve Ballans
49 11 Herve Ballans
* le blocage des fichiers de type exécutable, y compris lorsqu'ils sont compressés, au niveau du serveur de messagerie est la solution la plus simple à mettre en œuvre. Cette recommandation peut aussi s'appliquer aux serveurs mandataires HTTP ;
50 11 Herve Ballans
* la mise en place des stratégies de restriction logicielles (SRP), ou d'AppLocker à partir de Windows Vista, sur les postes de travail protège non seulement de ce type d'attaques, mais aussi de nombreux logiciels malveillants circulant sur Internet.
51 9 Herve Ballans
52 1 Herve Ballans
Documentation
53 1 Herve Ballans
54 11 Herve Ballans
    Guide de configuration des stratégies de restriction logicielles : http://technet.microsoft.com/library/cc163080.aspx
55 11 Herve Ballans
   
56 11 Herve Ballans
    Guide de configuration de AppLocker : http://technet.microsoft.com/library/dd723678.aspx
57 9 Herve Ballans
58 9 Herve Ballans
59 8 Herve Ballans
h2. Clés USB, encore et toujours un risque pour le SI (Bulletin d'actualité CERTA du 2 août 2013)
60 7 Herve Ballans
61 7 Herve Ballans
Comme mentionné par le passé, l'utilisation de clés USB non maitrisées présente un risque important pour la sécurité du SI.
62 7 Herve Ballans
63 7 Herve Ballans
Cette menace est aujourd'hui d'autant plus importante que depuis quelques semaines, certains constructeurs commercialisent des clés piégées prêtes à l'emploi, utilisant un mécanisme d'émulation d'un périphérique clavier plutôt que l'utilisation des fonctionnalités dîtes d'exécution automatique (Autorun).
64 1 Herve Ballans
65 7 Herve Ballans
Cette technique, bien que déjà connue dans le milieu de la recherche en sécurité, n'en reste pas moins efficace et permet d'exécuter une charge malveillante lors de la connexion de la clé à un poste Windows.
66 7 Herve Ballans
67 7 Herve Ballans
De plus, même si les modèles actuels semblent limités au système de Microsoft, des clés utilisant des principes similaires pourraient voir le jour sur d'autres systèmes.
68 7 Herve Ballans
69 7 Herve Ballans
D'un point de vue extérieur, rien ne permet aujourd'hui de différencier ce type de clé piégée d'une clé saine. Il est cependant possible d'observer les activités malveillantes car elle fait apparaitre une invite de commandes lors de son insertion.
70 7 Herve Ballans
71 7 Herve Ballans
Le CERTA recommande, une nouvelle fois, de prendre garde à ce type de périphériques aujourd'hui largement accessibles. Il est notamment nécessaire de sensibiliser les utilisateurs à ce type d'attaque afin qu'ils puissent prévenir rapidement la chaîne SSI en cas de comportements suspects.
72 7 Herve Ballans
Documentation
73 7 Herve Ballans
74 11 Herve Ballans
    Bulletin d'actualité CERTA-2013-ACT-029, périphériques USB promotionnels et cadeaux électroniques : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-029/index.html
75 7 Herve Ballans
76 7 Herve Ballans
77 18 Herve Ballans
h2. Protections dans les applications Adobe reader et Adobe Acrobat (Avis CERTA du 18 février 2013)
78 1 Herve Ballans
79 5 Herve Ballans
L’ANSSI a publié une alerte sur une faille activement exploitée des produits Adobe Reader et Adobe Acrobat. L’ANSSI recommande d’utiliser la version XI (11) de ces produits qui offrent des fonctionnalités supplémentaires de sécurité (sandbox) permettant de contrer nombre d’attaques. Il faut noter que cette version XI n’est pas disponible sur tous les systèmes. Pour ces systèmes (Vista, Linux) où il n’est pas possible d’installer la version XI, il est vivement conseillé d’utiliser la dernière version disponible (X pour Vista, 9 pour Linux) qui est plus sécurisée que les précédentes.  Dans tous les cas il faut appliquer les derniers correctifs de sécurité. Le CERTA recommande aussi d’activer la « Vue protégée », cette fonctionnalité n’est disponible que pour la version XI :
80 1 Herve Ballans
81 5 Herve Ballans
(Edition à Préférences à Protection (renforcée) à cocher « Activer le mode protégée au démarrage » et sous « Vue protégée » « Tous les fichiers ».
82 5 Herve Ballans
83 5 Herve Ballans
Pour toutes les versions il est aussi recommandé d’activer la « Protection renforcée » ce qui en principe est la valeur par défaut à l’installation :
84 5 Herve Ballans
85 5 Herve Ballans
Edition à Préférences à Protection (renforcée) à cocher « Activer la protection renforcée ».
86 5 Herve Ballans
87 5 Herve Ballans
L’ANSSI recommande aussi de désactiver JavaScript :
88 5 Herve Ballans
89 5 Herve Ballans
Edition à Préférences à JavaScript à Ne pas cocher la case « Activer Acrobat JavaScript ».
90 5 Herve Ballans
91 5 Herve Ballans
L’ANSSI recommande aussi de désactiver (désinstaller) les logiciels Adobe Reader et Acrobat. Cette mesure, certes efficace, ne nous semble pas réaliste et nous préférons insister sur la vigilance nécessaires vis-à-vis de fichiers PDF téléchargés et le durcissement des configurations évoqué précédemment.
92 5 Herve Ballans
93 5 Herve Ballans
h2. Un code malveillant utilise GoogleDocs (Alerte CERTA du 21 décembre 2012)
94 5 Herve Ballans
95 2 Herve Ballans
Les cas d'utilisation malveillante des réseaux sociaux ou de l'informatique dans le nuage, voire de webmails, se multiplient.
96 2 Herve Ballans
97 2 Herve Ballans
Cette année le CERTA a également été amené à traiter plusieurs incidents en relation avec ces services. Symantec a récemment publié un article à propos d'un code malveillant dont les connexions aux serveurs de commande et contrôle passaient par Google Docs. Un tel détournement a été rendu possible par une fonctionnalité de visualisation de fichier, à laquelle on peut soumettre une URL, sans vérification de sa malveillance. Ce phénomène rend difficile la détection des flux illégitimes :
98 1 Herve Ballans
99 3 Herve Ballans
* les serveurs destinataires ne sont, par essence, pas malveillants ;
100 3 Herve Ballans
* les flux entre le poste infecté et le serveur sont généralement chiffrés.
101 2 Herve Ballans
102 2 Herve Ballans
Ce comportement confirme également que les botnets évoluent vers des alternatives plus discrètes qu'IRC, historiquement utilisé comme protocole de communication, et donc plus difficile à bloquer.
103 2 Herve Ballans
104 2 Herve Ballans
Le CERTA recommande donc de faire preuve de vigilance, voire de réserve, à l'égard de l'utilisation des réseaux sociaux, des services de stockage dans le nuage ou de messagerie en ligne, quelle que soit la réputation de l'hébergeur.
105 1 Herve Ballans
106 2 Herve Ballans
Il est également préconisé de surveiller de tels flux à des heures qui ne correspondent pas une activité classique de bureau.
107 2 Herve Ballans
Documentation
108 3 Herve Ballans
109 2 Herve Ballans
Symantec - Malware targeting Windows 8 Uses Google Docs
110 2 Herve Ballans
111 2 Herve Ballans
    www.symantec.com/connect/blogs/malware-targeting-windows-8-uses-google-docs
112 3 Herve Ballans
113 2 Herve Ballans
Bulletin d'actualité CERTA-2009-ACT-045 :
114 2 Herve Ballans
115 2 Herve Ballans
    http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-045/
116 2 Herve Ballans
117 1 Herve Ballans
118 2 Herve Ballans
119 6 Herve Ballans
h2. Vigilance vis à vis des rançongiciels ou ransomwares (annonce CERT-RENATER du 22 août 2012)
120 1 Herve Ballans
121 1 Herve Ballans
De : rssi-request@ml.recherche.gouv.fr [mailto:rssi-request@ml.recherche.gouv.fr] De la part de Dominique Launay
122 1 Herve Ballans
Envoyé : mercredi 22 août 2012 16:14
123 1 Herve Ballans
À : rssi@ml.recherche.gouv.fr
124 1 Herve Ballans
Objet : [rssi] Vigilance vis à vis des rançongiciels ou ransomwares
125 1 Herve Ballans
126 1 Herve Ballans
Bonjour à toutes et à tous,
127 1 Herve Ballans
128 1 Herve Ballans
Nous attirons votre attention sur l’augmentation de l’activité d'un type de malware appelé « ransomware » ou « rançongiciel ». 
129 1 Herve Ballans
Il s’agit de malware infectant l’ordinateur cible par différents biais, notamment des pages web piégés (streaming ou autre).
130 1 Herve Ballans
131 1 Herve Ballans
Le malware bloque alors tout accès à l’ordinateur (chiffrement de vos données par exemple) et, se faisant passer souvent pour un logiciel des autorités, demande le paiement d’une somme d’argent en échange du déblocage de la machine.
132 1 Herve Ballans
133 1 Herve Ballans
Cette somme est vue par l’utilisateur comme une amende car il croit avoir affaire aux autorités et, de plus, est souvent honteux du type de contenu qui l’a amené à cette situation (téléchargement illégal entre autre).
134 1 Herve Ballans
Les sommes demandées vont parfois jusqu’à 500€.
135 1 Herve Ballans
136 1 Herve Ballans
Le paiement de cette somme passe généralement par des systèmes type ukash ( http://www.ukash.com/fr/fr/home.aspx ) ou paysafecard ( http://www.paysafecard.com/fr/fr-paysafecard/ ) et on perd alors toute trace des commanditaires.
137 1 Herve Ballans
138 1 Herve Ballans
Le CERT polonais propose une page afin d’aider les personnes bloquées par ce type de logiciels : http://www.cert.pl/news/5707/langswitch_lang/en
139 1 Herve Ballans
140 1 Herve Ballans
Nous avons peu de cas pour le moment sur RENATER mais suffisamment pour se dire que la rentrée risque de compliquer les choses.
141 1 Herve Ballans
142 1 Herve Ballans
La sensibilisation des usagers est importante et un antivirus à jour est très efficace contre ces malware. Il est essentiel que les usagers ne paient pas.
143 1 Herve Ballans
144 1 Herve Ballans
Il ne faut pas hésiter à porter plainte pour escroquerie si un paiement a été effectué.
145 1 Herve Ballans
146 1 Herve Ballans
Quelques références sur le sujet :
147 1 Herve Ballans
- Abuse.ch : https://www.abuse.ch/?p=3718 
148 1 Herve Ballans
- ANSSI : http://www.ssi.gouv.fr/fr/menu/actualites/attention-arnaque-en-ligne-portant-le-logo-de-l-anssi.html
149 1 Herve Ballans
- à propos du malware citadelle : http://www.ic3.gov/media/2012/120809.aspx
150 1 Herve Ballans
- le virus « gendarmerie » : http://blog.crimenumerique.fr/2011/12/17/le-virus-gendarmerie-bilan-de-la-semaine/
151 1 Herve Ballans
- FBI (ransomware reveton): http://www.fbi.gov/news/stories/2012/august/new-internet-scam
152 1 Herve Ballans
- Article de l’ANSSI sur le site sécurité informatique : http://www.securite-informatique.gouv.fr/gp_article781.html
153 1 Herve Ballans
154 1 Herve Ballans
Si des cas apparaissent dans votre établissement, n’hésitez pas à le signaler au CERT RENATER : certsvp@renater.fr
155 1 Herve Ballans
156 1 Herve Ballans
-- 
157 1 Herve Ballans
Dominique Launay
158 1 Herve Ballans
RENATER