Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Antivirus pour des raisons formelles

Lu par: 4716 Commentaires: 1 Cote de popularité: 41

jeudi 12 janvier 2017

Les lecteurs réguliers des publications de " Lumières sur la sécurité " ont probablement remarqué que les principaux conseils que nous donnons, et qui devraient fournir une protection contre les logiciels malveillants, ne sont pas très compliqués :

  • maintenir l'antivirus à jour,
  • ne pas travailler en utilisant des privilèges élevés,
  • installer toutes les mises à jour de sécurité,
  • ne pas cliquer sur n'importe quels liens,
  • faire des copies de sauvegarde des données importantes.

Rien de particulier ou secret, tout est flagrant et logique. Mais alors pourquoi les médias relatent-ils souvent des faits de piratage, de fuites de données ? Il y a deux écoles : soit nos conseils ne fonctionnent pas, car les pirates peuvent facilement les contourner, soit les produits n’assurent pas une protection assez fiable, mais rappelons que pour bénéficier d’un haut niveau de sécurité, il est nécessaire d’investir.

En ce qui concerne la problématique de la sécurité informatique des entreprises, il est intéressant de mentionner le phénomène des employés dits « insiders ».

Une entreprise se trouve piratée. La contamination initiale est due au fait que l'antivirus installé sur l'ordinateur de l'employé qui a lancé un programme malveillant depuis un message de phishing et contenant un fichier « documents.exe », a été désactivé ou utilisait des bases virales obsolètes.

Il convient de noter que le logiciel antivirus détectait les pièces jointes malveillantes ainsi que l'activité des pirates après la compromission de la machine, et bien avant le vol d'argent. Entre autres, une activité suspecte du logiciel légitime Ammyy Admin a été détectée. Dans certains cas, l'antivirus a empêché la contamination.

https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

documents.exe ! Qui aurait jamais pensé à essayer d'exécuter un tel fichier ?!

Il est à noter que l'antivirus aurait pu détecter ce malware car il le connaissait mais qu’il avait été désactivé ! Là où il était actif, sans l'aide d’outils d’analyse comportementale, la contamination n'a pas eu lieu.

Mais allons plus loin :

L'enquête a révélé que le lancement du fichier depuis des messages de phishing a été effectué par plusieurs employés.

Cela signifie qu'il n'y avait aucune restriction liée au lancement d’applications ou de logiciels dans la banque en question !

Pour trouver et télécharger différents utilitaires (par exemple, Mimikatz), les malfaiteurs ont utilisé des ressources légitimes, en particulier, les moteurs de recherche connus, directement depuis les machines compromises.

Non seulement les ordinateurs du personnel n'ont pas été isolés d'Internet, mais les pirates, lors de l'attaque, ont pu chercher les utilitaires dont ils avaient besoin directement sur les machines contaminées.

Les facteurs clés qui ont contribué à la propagation rapide du vecteur d'attaque à d'autres ressources du réseau local étaient le manque de segmentation du réseau et des privilèges excessifs attribués au compte concerné (l'utilisateur attaqué était administrateur sur tous les postes de travail dans le réseau local). Cela a permis aux attaquants de développer facilement l'attaque, car ils n'avaient pas à utiliser d'autres exploits pour augmenter les privilèges, ni à chercher des moyens pour pénétrer dans le segment de contrôle.

Pour télécharger des fichiers, ils ont utilisé la ressource partagée utilisée pour l'échange de fichiers sendspace.com.

L'analyse des journaux du système de protection a confirmé le transfert via le réseau depuis les ordinateurs compromis, y compris une connexion aux GAB à l'aide de RAdmin. L'infrastructure de la banque ayant subi cette attaque est activement utilisée par les administrateurs pour la gestion à distance, y compris la gestion à distance des GAB.

Mais le réseau de GAB n'a pas été séparé du réseau local principal et, probablement, de l'Internet non plus, et leurs spécialistes en sécurité ne se sont pas aperçus que des étrangers pénétraient dans le système bancaire.

Par ailleurs, si vous utilisez Dr.Web, le démarrage de RAdmin (ou d'un autre outil de gestion à distance) provoque une alerte informant sur le lancement d'un programme potentiellement dangereux.

Au final :

  • Les postes de travail d’employés importants ont été compromis, ainsi que les serveurs critiques, y compris le serveur terminal et le contrôleur de domaine. De plus, les attaquants ont obtenu les mots de passe de presque tous les utilisateurs de l'entreprise, y compris les comptes d'administrateur, ce qui leur a permis de se déplacer librement au sein du réseau.
  • En une nuit, les pirates ont volé au total l’équivalent de 2 213 056 de roubles russes en monnaie locale depuis 6 guichets automatiques de la banque.
  • Des personnes ont été engagées pour prendre l'argent aux distributeurs automatiques. L'une de ces personnes, un citoyen moldave, a été arrêtée en flagrant délit alors qu’il essayait de retirer des billets d'un GAB.

Le projet Lumières sur la sécurité recommande

Certaines personnes sont trop confiantes et ne voient pas la nécessité d'utiliser un antivirus, ou désactivent périodiquement leur antivirus pour ne par ralentir le système, tout en continuant à travailler en tant qu'administrateur. Tôt ou tard, cela leur jouera un tour.

Ce n’est pas une histoire de bons ou de mauvais conseils mais plutôt une réflexion que doivent mener ceux qui pensent que l'utilisation d'un antivirus est une formalité.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs