Ce lapin est-il vraiment aussi terrible qu’on le dit ?
lundi 30 octobre 2017
Mercredi 25 octobre 2017, de très nombreux médias ont annoncé une nouvelle épidémie de ransomware à chiffrement touchant la Russie et l'Ukraine. En premier lieu, regardons ce que représente ce DPH : Trojan.Encoder.32 (nom donné au malware par la protection préventive Dr.Web avant son entrée dans la base virale sous le nom Trojan.BadRabbit-) baptisé « BadRabbit ».
Tout d’abord, à propos de la méthode de propagation. Les malfaiteurs ont piraté plusieurs sites de médias (selon les informations dans la presse, les journaux russes " Fontanka " et " Novaya gazeta " ont été touchés) en utilisant des injections JavaScript. Jusque là rien de particulier puisque comme nous l’avons déjà écrit à plusieurs reprises, plus de 80% des sites sont vulnérables au piratage. Un code malveillant peut être intégré à une page web ainsi qu'à des scripts, il peut également être chargé depuis une autre ressource web au moment du téléchargement de la page piratée. Il existe beaucoup de méthodes.
Nous avons également déjà expliqué que le piratage d'un site peut devenir une attaque très efficace, d’autant plus si un code malveillant est placé sur le site juste avant le pic de fréquentation, par exemple, à la fin d'une journée ouvrable.
http://blog.ptsecurity.ru/2017/09/web-apps-attacks-2017.html
En ce qui concerne cette attaque, lors de la visite du site, l'utilisateur était invité à installer une mise à jour de Flash Player. L'utilisateur devait lui-même cliquer sur le bouton « Install » et lancer ainsi l'injecteur.
Plusieurs questions se posent :
- Question 1 Quid des politiques de consultation de sites d’info ou autres durant les heures de travail ? Il est clair que certains collaborateurs ont besoin d’accéder à ces sites, mais pourquoi leurs ordinateurs se trouvent-ils alors dans le réseau qui rassemble les ressources critiques de l'entreprise ?
- Question 2 Pourquoi l'utilisateur a-t-il le droit d'installer de nouvelles applications ?
- Question 3 Pourquoi les JavaScripts n'ont-ils pas été désactivés dans les navigateurs des utilisateurs touchés
Les trois questions. Si ces trois possibilités n'existaient pas, aucune épidémie de BadRabbit n'aurait eu lieu. DPH : Trojan.Encoder.32 n'utilise aucune vulnérabilité pour pénétrer sur les ordinateurs, tout est fait par les utilisateurs eux-mêmes.
Rappelons que les Chevaux de Troie (dont DPH : Trojan.Encoder.32) sont propagés et installés par les utilisateurs malgré eux.
Selon les rapports, DPH : Trojan.Encoder.32 n'utilise aucune technique de contournement UAC. C'est l'utilisateur qui accepte le lancement d'une nouvelle application.
- Question 4 Les entreprises touchées ont-elles utilisé UAC ou l'ont-elles désactivé pour ne pas être dérangées ?
Après son lancement, DPH : Trojan.Encoder.32 vérifie si les processus dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe sont présents sur la machine, et si Dr.Web est en effet installé, il saute la première étape de chiffrement, afin d'éviter d'être détecté.
De plus, DPH : Trojan.Encoder.32 tente de modifier le MBR. Cette opération est bloquée par l’antivirus Dr.Web.
- Question 5 Pourquoi les utilisateurs n’ont-ils pas installé un antivirus moderne disposant de mécanismes de protection préventive contrôlant les processus en cours d'exécution et pouvant détecter les logiciels malveillants qui ne sont pas encore reçus par les laboratoires antivirus ? Il a été expliqué mainte fois que l’antivirus «simple" qui n'utilisent qu'un noyau antivirus ne peuvent pas assurer une protection fiable.
DPH : Trojan.Encoder.32 tente de scanner le réseau à la recherche de ressources partagées. Mais il n'utilise pour cela aucune vulnérabilité, le Trojan comprend une liste de mots de passe et de noms d'utilisateur standard.
- Question 6 Faut-il encore expliquer que le mot de passe 12345678 ne protège rien du tout ?
Cette publication n'a pas pour but de décrire de nouveauvle Trojan, sa description est déjà disponible . Nous tenons à souligner que l'épidémie aurait pu être évitée si les mesures élémentaires de sécurité étaient prises dans les entreprises. Mais l'épidémie a eu lieu (chez les utilisateurs qui n'avaient pas Dr.Web).
Le projet Lumières sur la sécurité recommande
Souvent, on installe un antivirus « histoire de », ou on le laisse désactivé. Mais l'antivirus doit protéger !
- L'antivirus doit être mis à jour régulièrement.
- L'antivirus doit avoir une licence valide.
- L'antivirus doit être actif.
- L'antivirus doit être capable de détecter les programmes malveillants inconnus.
- L'antivirus doit utiliser une protection préventive.
- Les exclusions de l'analyse sont très risquées !
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
14:22:43 2018-08-26
Неуёмный Обыватель
02:42:56 2018-07-18
Bernard
20:52:45 2017-10-30
Pourquoi tant de négligence au sein de certaines sociétés en regard des risques qu'elles encourent pouvant aller jusqu'à la perte de leurs données vitales pour la poursuite de leur activité.
L'autre problème est que comme pour toute épidémie les malades peuvent transmettre à d'autres n'ayant pas été vaccinés leurs maladies.
Un peu de rigueur de la part de l'entreprise, un bon produit de sécurité et une bonne sensibilisation des collaborateurs ne conduisent pas au risque zéro mais le diminue fortement.