Réaction face à une menace non détecté Flashcards
La détection n’est jamais
La détection n’est jamais assurée
… que ce soit par des moyens techniques … ou humains.
Les failles ZERO DAY
C’est une vulnérabilité sur un SI jamais fait l’objet d’une publication ou d’un corectif.
les acteurs de la detection ?
- les utilisateurs
- les Techniciens (Rzo, si, sssi)
Quels sont les symptomes d’une infection ?
- Ralentissements
- Accès impossible à des ressources
- Comportements suspects
- Emails suspects
- Utilisation élevée du processeur/de la mémoire
- Activité réseau importante
- Nouveaux services ou logiciels
- Trafic réseau suspect
- Logs suspects
Investigation
Que doit-on chercher ?
- Tout élément pouvant être la cause des symptômes.
Quelques processus légitimes
- csrss
- rundll32
- svchost
- taskmgr
- dwm
csrss
Client/serveur Runtime Subsystem
- Gestion des fenetres et éléments graphiques de Windows
- C:\WINDOWS\SYSTEM32
rundll32
Run a DLL
- Charge les librairies dynamiques (DLLs) en mémoire
- C:\WINDOWS\SYSTEM32
svchost
Generic Host Process
- Exécute les services DLL
- C:\WINDOWS\SYSTEM32
taskmgr
Task Manager
- Affiches applications et processus en cours.
- C:\WINDOWS\SYSTEM32
dwm
Desktop Windows Manager
- Gère les affichages des fenêtres
- C:\WINDOWS\SYSTEM32
Dossiers cibles :**
- Utilisateur
- AppData
- Roaming
- Temp
(car utilisateur peux exécuter tout les fichiers avec ces droit et il est cacher)
Clés de registre cibles :**
- HKEY LOCAL > Run et RunServices
- HKEY CURRENT USER > Run et RunServices
- HKEY USERS\DEFAULT > Run
\Software\Microsoft\Windows \CurrentVersion\
Le réseau
netstat -ano* : affiche les connexion à l’instant T ( Il s’ajoute a la liste des processus)
netstat -anob* : affiche les connexion à l’instant T pour un administrateur et affiche la liste des processus.
Méthode d’investigation
- Paramétrage de la station infectée
- Technique de la clé USB
- Paramétrage de la station infectée
- Affichage des fichiers cachés.
- Affichage les fichiers système.
- Technique de la clé USB
- Connecter une clé USB vierge*
- Attendre 30 secondes
- Controlé contenu de la clé USB
- Toujours vierge = risque modéré
- Nouveaux fichiers = infection très probable.
- Contrôler la liste des processus actifs
- Processus inhabituels* (DLL en dehors de system32)
- Processus ayant des droits inadaptés*
En cas de suspicion, NE SURTOUT PAS ***
- éteindre ou redémarrer la station suspecte. (car ça efface la RAM)
- Rester sur un doute. (dans le doute pas de doute)
- mener des actions trop hâtives (réinstaller l’UC)
Les mesures immédiates
Je suis un utilisateur.
- Je découvre ou suspect un incident.
- Je me conforme a la fiche reflex.
- Je rends compte :
- à OSSI/CSSI
- Centre d’appel SDK (13°
Les mesures immédiates
Je suis un administrateur.
- Je découvre un incident.
- Je fait cesser l’incident (coupe le réseau, isole le poste).
- J’assure la préservation des preuves. ( RAM).
-Les mesures immédiates
Je suis OSSI, CSSI, CCPA,
- Je qualifie l’incident.
- j’évaluai l’impact opérationnel.
- Je rends compte :
- Intra-def, intra-ced, FR-ops»_space; SOC DIRISI.
- Autre réseau»_space; CALID.
La traçabilité
Afin d’exécuter un compte rendu à l’échelon supérieur, tous les évènements et actions, depuis le début de suspicion, pour :
* Prendre des mesures adaptées
* Orienter une étude plus poussée
La traçabilité
Il faut donc :
- Conserver des traces écrites des opérations réalisées :
◦ condition de découverte
◦ actions entreprises. . . - Garder un mémo chronologique de la progression d’une infection (cas
d’une infection se propageant sur un ou plusieurs SIC)
Le compte rendu
- OSSI / CSSI
» Intradef Intraced FrOps
> SOC DIRISI > FOURMI
» Autre Réseaux.
> CALID > Formulaire de
déclaration d’incident.
Les autres moyens de détection
Selon le système d’information dans lequel se situe la station suspecte,
d’autres moyens peuvent aider à confirmer l’infection :
* Pare-feu
* Trafic réseau
* HIPS (Host-base Intrusion Prevention System)
Les autres moyens de détection
* Pare-feu
- Pare-feu
◦ Interroger les alertes et fichiers de journalisation (log)
◦ Essayer de repérer toute connexion suspecte
Les autres moyens de détection
* Trafic réseau
- Trafic réseau
◦ analyser le flux réseau afin de détecter du trafic suspect.
Les autres moyens de détection
* HIPS
- HIPS (Host-base Intrusion Prevention System)
◦ Surveiller les modifications des éléments de sécurité du système
Afin de limiter les risques, la première défense est la prévention.
- Technique
- Humaine
Technique
- Antivirus à jour
- Système à jour
- Applications à jour
- Pare-feu activé
Humaine
- Comportement cybernétique
- Gestion des supports amovibles
Conclusion
- Les antivirus détectent ce qu’ils connaissent.
- Nous sommes tous acteur de la détection d’une infection.
- Une connaissance des systèmes est primordial.
- La collecte d’informations est essentielle pour un compte rendu efficace.
- L’application des mesures de prévention réduit considérablement le risque.