Réaction face à une menace non détecté Flashcards
La détection n’est jamais
La détection n’est jamais assurée
… que ce soit par des moyens techniques … ou humains.
Les failles ZERO DAY
C’est une vulnérabilité sur un SI jamais fait l’objet d’une publication ou d’un corectif.
les acteurs de la detection ?
- les utilisateurs
- les Techniciens (Rzo, si, sssi)
Quels sont les symptomes d’une infection ?
- Ralentissements
- Accès impossible à des ressources
- Comportements suspects
- Emails suspects
- Utilisation élevée du processeur/de la mémoire
- Activité réseau importante
- Nouveaux services ou logiciels
- Trafic réseau suspect
- Logs suspects
Investigation
Que doit-on chercher ?
- Tout élément pouvant être la cause des symptômes.
Quelques processus légitimes
- csrss
- rundll32
- svchost
- taskmgr
- dwm
csrss
Client/serveur Runtime Subsystem
- Gestion des fenetres et éléments graphiques de Windows
- C:\WINDOWS\SYSTEM32
rundll32
Run a DLL
- Charge les librairies dynamiques (DLLs) en mémoire
- C:\WINDOWS\SYSTEM32
svchost
Generic Host Process
- Exécute les services DLL
- C:\WINDOWS\SYSTEM32
taskmgr
Task Manager
- Affiches applications et processus en cours.
- C:\WINDOWS\SYSTEM32
dwm
Desktop Windows Manager
- Gère les affichages des fenêtres
- C:\WINDOWS\SYSTEM32
Dossiers cibles :**
- Utilisateur
- AppData
- Roaming
- Temp
(car utilisateur peux exécuter tout les fichiers avec ces droit et il est cacher)
Clés de registre cibles :**
- HKEY LOCAL > Run et RunServices
- HKEY CURRENT USER > Run et RunServices
- HKEY USERS\DEFAULT > Run
\Software\Microsoft\Windows \CurrentVersion\
Le réseau
netstat -ano* : affiche les connexion à l’instant T ( Il s’ajoute a la liste des processus)
netstat -anob* : affiche les connexion à l’instant T pour un administrateur et affiche la liste des processus.
Méthode d’investigation
- Paramétrage de la station infectée
- Technique de la clé USB
- Paramétrage de la station infectée
- Affichage des fichiers cachés.
- Affichage les fichiers système.
- Technique de la clé USB
- Connecter une clé USB vierge*
- Attendre 30 secondes
- Controlé contenu de la clé USB
- Toujours vierge = risque modéré
- Nouveaux fichiers = infection très probable.
- Contrôler la liste des processus actifs
- Processus inhabituels* (DLL en dehors de system32)
- Processus ayant des droits inadaptés*
En cas de suspicion, NE SURTOUT PAS ***
- éteindre ou redémarrer la station suspecte. (car ça efface la RAM)
- Rester sur un doute. (dans le doute pas de doute)
- mener des actions trop hâtives (réinstaller l’UC)
Les mesures immédiates
Je suis un utilisateur.
- Je découvre ou suspect un incident.
- Je me conforme a la fiche reflex.
- Je rends compte :
- à OSSI/CSSI
- Centre d’appel SDK (13°
Les mesures immédiates
Je suis un administrateur.
- Je découvre un incident.
- Je fait cesser l’incident (coupe le réseau, isole le poste).
- J’assure la préservation des preuves. ( RAM).
-Les mesures immédiates
Je suis OSSI, CSSI, CCPA,
- Je qualifie l’incident.
- j’évaluai l’impact opérationnel.
- Je rends compte :
- Intra-def, intra-ced, FR-ops»_space; SOC DIRISI.
- Autre réseau»_space; CALID.
La traçabilité
Afin d’exécuter un compte rendu à l’échelon supérieur, tous les évènements et actions, depuis le début de suspicion, pour :
* Prendre des mesures adaptées
* Orienter une étude plus poussée
La traçabilité
Il faut donc :
- Conserver des traces écrites des opérations réalisées :
◦ condition de découverte
◦ actions entreprises. . . - Garder un mémo chronologique de la progression d’une infection (cas
d’une infection se propageant sur un ou plusieurs SIC)
