Réaction face à une menace non détecté Flashcards

1
Q

La détection n’est jamais

A

La détection n’est jamais assurée
… que ce soit par des moyens techniques … ou humains.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Les failles ZERO DAY

A

C’est une vulnérabilité sur un SI jamais fait l’objet d’une publication ou d’un corectif.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

les acteurs de la detection ?

A
  • les utilisateurs
  • les Techniciens (Rzo, si, sssi)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Quels sont les symptomes d’une infection ?

A
  • Ralentissements
  • Accès impossible à des ressources
  • Comportements suspects
  • Emails suspects
  • Utilisation élevée du processeur/de la mémoire
  • Activité réseau importante
  • Nouveaux services ou logiciels
  • Trafic réseau suspect
  • Logs suspects
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Investigation
Que doit-on chercher ?

A
  • Tout élément pouvant être la cause des symptômes.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Quelques processus légitimes

A
  • csrss
  • rundll32
  • svchost
  • taskmgr
  • dwm
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

csrss

A

Client/serveur Runtime Subsystem
- Gestion des fenetres et éléments graphiques de Windows
- C:\WINDOWS\SYSTEM32

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

rundll32

A

Run a DLL
- Charge les librairies dynamiques (DLLs) en mémoire
- C:\WINDOWS\SYSTEM32

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

svchost

A

Generic Host Process
- Exécute les services DLL
- C:\WINDOWS\SYSTEM32

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

taskmgr

A

Task Manager
- Affiches applications et processus en cours.
- C:\WINDOWS\SYSTEM32

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

dwm

A

Desktop Windows Manager
- Gère les affichages des fenêtres
- C:\WINDOWS\SYSTEM32

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Dossiers cibles :**

A
  • Utilisateur
  • AppData
  • Roaming
  • Temp
    (car utilisateur peux exécuter tout les fichiers avec ces droit et il est cacher)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Clés de registre cibles :**

A
  • HKEY LOCAL > Run et RunServices
  • HKEY CURRENT USER > Run et RunServices
  • HKEY USERS\DEFAULT > Run
    \Software\Microsoft\Windows \CurrentVersion\
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Le réseau

A

netstat -ano* : affiche les connexion à l’instant T ( Il s’ajoute a la liste des processus)
netstat -anob* : affiche les connexion à l’instant T pour un administrateur et affiche la liste des processus.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Méthode d’investigation

A
  1. Paramétrage de la station infectée
  2. Technique de la clé USB
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q
  1. Paramétrage de la station infectée
A
  • Affichage des fichiers cachés.
  • Affichage les fichiers système.
17
Q
  1. Technique de la clé USB
A
  • Connecter une clé USB vierge*
  • Attendre 30 secondes
  • Controlé contenu de la clé USB
  • Toujours vierge = risque modéré
  • Nouveaux fichiers = infection très probable.
18
Q
  1. Contrôler la liste des processus actifs
A
  • Processus inhabituels* (DLL en dehors de system32)
  • Processus ayant des droits inadaptés*
19
Q

En cas de suspicion, NE SURTOUT PAS ***

A
  • éteindre ou redémarrer la station suspecte. (car ça efface la RAM)
  • Rester sur un doute. (dans le doute pas de doute)
  • mener des actions trop hâtives (réinstaller l’UC)
20
Q

Les mesures immédiates
Je suis un utilisateur.

A
  • Je découvre ou suspect un incident.
  • Je me conforme a la fiche reflex.
  • Je rends compte :
  • à OSSI/CSSI
  • Centre d’appel SDK (13°
21
Q

Les mesures immédiates
Je suis un administrateur.

A
  • Je découvre un incident.
  • Je fait cesser l’incident (coupe le réseau, isole le poste).
  • J’assure la préservation des preuves. ( RAM).
22
Q

-Les mesures immédiates
Je suis OSSI, CSSI, CCPA,

A
  • Je qualifie l’incident.
  • j’évaluai l’impact opérationnel.
  • Je rends compte :
  • Intra-def, intra-ced, FR-ops&raquo_space; SOC DIRISI.
  • Autre réseau&raquo_space; CALID.
23
Q

La traçabilité

A

Afin d’exécuter un compte rendu à l’échelon supérieur, tous les évènements et actions, depuis le début de suspicion, pour :
* Prendre des mesures adaptées
* Orienter une étude plus poussée

24
Q

La traçabilité
Il faut donc :

A
  • Conserver des traces écrites des opérations réalisées :
    ◦ condition de découverte
    ◦ actions entreprises. . .
  • Garder un mémo chronologique de la progression d’une infection (cas
    d’une infection se propageant sur un ou plusieurs SIC)
25
Le compte rendu
- OSSI / CSSI >> Intradef Intraced FrOps > SOC DIRISI > FOURMI >> Autre Réseaux. > CALID > Formulaire de déclaration d'incident.
26
Les autres moyens de détection
Selon le système d’information dans lequel se situe la station suspecte, d’autres moyens peuvent aider à confirmer l’infection : * Pare-feu * Trafic réseau * HIPS (Host-base Intrusion Prevention System)
27
Les autres moyens de détection * Pare-feu
* Pare-feu ◦ Interroger les alertes et fichiers de journalisation (log) ◦ Essayer de repérer toute connexion suspecte
28
Les autres moyens de détection * Trafic réseau
* Trafic réseau ◦ analyser le flux réseau afin de détecter du trafic suspect.
29
Les autres moyens de détection * HIPS
* HIPS (Host-base Intrusion Prevention System) ◦ Surveiller les modifications des éléments de sécurité du système
30
Afin de limiter les risques, la première défense est la prévention.
- Technique - Humaine
31
Technique
* Antivirus à jour * Système à jour * Applications à jour * Pare-feu activé
32
Humaine
* Comportement cybernétique * Gestion des supports amovibles
33
Conclusion
* Les antivirus détectent ce qu’ils connaissent. * Nous sommes tous acteur de la détection d’une infection. * Une connaissance des systèmes est primordial. * La collecte d’informations est essentielle pour un compte rendu efficace. * L’application des mesures de prévention réduit considérablement le risque.